BLOG – Industrie 4.0 biedt ongekende kansen voor innovatie en economische groei. Industriële systemen zijn steeds slimmer en helpen processen verregaand te automatiseren. Tegelijkertijd kleven aan innovatie nieuwe risico’s en uitdagingen. Bedrijven in de maak- en procesindustrie zien een toename van het aantal cyberincidenten.
Een rapport van Kaspersky1 laat zien dat 94 procent van de Nederlandse industriële organisaties de afgelopen twaalf maanden te maken had met een cybersecurity-incident. Iets meer dan veertig procent classificeerde deze aanvallen als een ernstige verstoring. Bewustwording en voorbereiding zijn dus cruciaal. Daarom is een goed beeld van het dreigingslandschap voor de industrie in 2025 onmisbaar.
De risico’s op een rij.
- Jacht op innovaties
Innovatie is een drijfveer voor de industrie. Veel organisaties investeren in ai en machine learning, quantumcomputing, optische elektronica, energiebronnen, satellieten, telecommunicatie en biotech. Deze ontwikkelingen brengen extra cyberrisico’s met zich mee. Zowel hacktivisten als ransomwaregroepen jagen continu op intellectueel eigendom van innovatieve organisaties, zoals ontwerpdocumenten of algoritmes van ai-modellen.
Dit risico gaat verder dan de organisatie zelf en raakt het hele ecosysteem van leveranciers en partners. Aanvallers hoeven dus niet rechtstreeks de r&d-labs binnen te dringen om gevoelige data te stelen. Op diverse plekken in de keten, bijvoorbeeld op de productievloer, ligt waardevolle informatie die soms minder goed beveiligd is. Dit zijn aantrekkelijke doelwitten voor cybercriminelen.
- Bewuste barrières en sancties
De geopolitieke spanningen groeien waardoor ook sanctieoorlogen ontstaan. Bepaalde landen hebben geen of beperkte toegang tot geavanceerde technologieën. Deze beperkingen kunnen leiden tot de inzet van illegale methodes die de cyberveiligheid bedreigen. Genoemd onderzoek onderstreept dit. Ruim 36 procent van de respondenten had de afgelopen zes maanden te maken met cyberincidenten of pogingen van diefstal van intellectueel eigendom of andere vertrouwelijke bedrijfsdata. In de energiesector was dat zelfs 43 procent. Het resultaat is dat 69 procent zich zorgen maakt over verlies van intellectueel eigendom.
Deze situatie heeft uiteenlopende gevolgen voor de cyberveiligheid:
- Meer kwetsbaarheid omdat ontwikkelaars en leveranciers van ot-technologie hun intellectuele eigendom niet langer effectief kunnen beveiligen met de bestaande, ingebouwde mechanismen en maatregelen;
- Misbruik van fouten, ongeautoriseerde patches van derde partijen en manieren om licentiebeperkingen te omzeilen, vergroten de risico’s in ot-omgevingen;
- Naast de documentatie over technologische vernieuwingen zijn ook modellen, designs en simulatiebestanden interessant voor criminelen;
- Programma’s voor plc’s, scada-configuraties en andere digitale procesbestanden zijn ook een lucratief doelwit voor aanvallers.
- Nieuwe technologieën, nieuwe risico’s
Veel bedrijven experimenteren met augmented reality, quantumcomputing en ai-toepassingen die om hun productieprocessen te optimaliseren. Ai-optimalisatie van processen bespaart tijd, verlaagt kosten en verhoogt efficiëntie. Maar ai-systemen brengen ook nieuwe kwetsbaarheden mee:
- Dataverlies en ongewenste inzage: bij het trainen van ai-modellen komt veel vertrouwelijke informatie vrij. Als deze data in verkeerde handen valt, ontstaat een nieuw type datalek;
- Gijzeling van ai-data: de kern van een ai-systeem, de getrainde modeldata, is net zo goed te gijzelen of vernietigen als traditionele data. Als deze cruciale kennis onherstelbaar beschadigd raakt, loopt de productie vast;
- AI-aanvallen: Cybercriminelen gebruiken ai ook om sneller zwakheden te vinden, overtuigende phishingmails te maken en voor grootschalige aanvallen.
- Oude technologie, nieuwe gevaren
De uitdrukking ‘if it ain’t broke, don’t fix it’ leidt tot extra risico’s in ot-infrastructuren. Daar draaien systemen soms jaren zonder aanpassingen en zelfs zonder securitypatches. Ook zwakke wachtwoorden zijn gangbaar. Extra risicovol is dat documentatie over industriële netwerken vaak publiekelijk of intern eenvoudig te vinden is. Criminelen hoeven dus geen experts te zijn in complexe industriële processen, via het netwerk vinden ze snel wat ze nodig hebben.
Naast onbeveiligde industriële systemen zoals plc’s en scada-servers, zijn ook andere apparaten en infrastructuren met het netwerk verbonden. De security van deze systemen krijgt niet altijd voldoende aandacht. De C-suite in de Nederlandse industriële sector is hierover aantoonbaar bezorgd. De grootste zorg is de kwetsbaarheid van verbonden en iot-apparaten. Uit het eerder genoemde onderzoek blijkt volgens 22 procent van de respondenten dat iot-kwetsbaarheden momenteel de grootste bedreiging zijn. Dit betreft kwetsbaarheden in bijvoorbeeld:
- Beveiliging van telecomapparatuur wordt als onnodig gezien of als de verantwoordelijkheid van de telecomoperator. Het idee is dat mobiele basisstations en netwerken van telecomoperators voldoende beschermd zijn tegen cyberaanvallen. Toch is deze apparatuur kwetsbaar, vooral tijdens onderhoud. Telecomoperators zijn zeker niet immuun voor cyberaanvallen, zoals blijkt uit de Blackwood-aanvallen. Het is dus zaak rekening te houden met:
- Het dreigingsmodel: aandacht voor ‘man-in-the-middle’-aanvallen op telecomapparatuur en infrastructuur.
- De beveiligingsprioriteit: toename van slimme systemen voor monitoring en controle op afstand maakt security van de telecomomgeving steeds belangrijker.
- Investeringen: industriële ondernemingen moeten investeren in telecombeveiliging om cyberincidenten te voorkomen.
- Slimme sensoren en industriële iot-apparaten; de security hiervan krijgt beperkte aandacht, terwijl het wel interessante aanvalsdoelen zijn, om data te bemachtigen of storingen te veroorzaken.
- Kleine, afgelegen faciliteiten; deze gebruiken vaak goedkope netwerkapparatuur die lastig te beveiligen is.
- Linux-systemen in ot-systemen; hoewel ze minder malware aantrekken, zijn ze net zo moeilijk te beschermen tegen gerichte aanvallen als Windows-systemen.
- Verkeerde leverancierskeuze met grote gevolgen
Niet elke technologie- of softwareleverancier investeert evenveel in security. Als een nicheleverancier van essentiële procesautomatisering onvoldoende securitymaatregelen treft, loopt de eindgebruiker veel risico. Bij grootschalige ketenaanvallen kan één kwetsbare schakel in de supply chain tot grote verliezen leiden. Zo veroorzaakte de aanval op CDK Global meer dan een miljard dollar aan verliezen.
Complicerende factoren hierbij zijn de:
- Lange toeleveringsketens voor technologie: complexe apparatuur en automatiseringssystemen vereisen samenwerking met meerdere fabrikanten, inclusief nicheontwikkelaars met beperkte securitymiddelen. Verder vereisen installatie en onderhoud externe specialisten, hierdoor is het aanvalsoppervlak groter.
- Zelf ontwikkelen: grote organisaties ontwikkelen zelf of via dochterbedrijven maatwerkoplossingen. Security krijgt hierbij niet altijd de aandacht dit het verdient, wat de oplossingen kwetsbaar maakt.
Onderzoek van Kaspersky in de Nederlandse industrie bevestigt deze risico’s. Circa dertig procent ziet in dat industriële controlesystemen binnen de wereldwijde supply chain niet secure-by-design zijn. Een andere zwakke schakel zijn verouderde technologieën binnen de keten, bijvoorbeeld door leveranciers en onderaannemers (27 procent). Verder erkent eenzelfde percent dat de volwassenheid van partners op het vlak van cybersecurity onvoldoende gecontroleerd wordt.1
- Security by obscurity is verleden tijd
Voorheen dachten veel organisaties dat hun industriële netwerken ‘onzichtbaar’ waren voor de buitenwereld. Door digitale tools en meer transparantie van organisaties, is dat verleden tijd. Op GitHub staan bijvoorbeeld talloze bibliotheken met industriële protocollen. Een aanval op hoofdproductiesystemen is hierdoor steeds eenvoudiger. Bovendien delen bedrijven veel informatie in hun documentatie en netwerken. Bijvoorbeeld: onderhoudsinstructies, veiligheidsrichtlijnen en plattegronden van de fabriek. Dat helpt bij audits en digitale transformatie, maar het helpt ook criminelen die zich voorbereiden op een aanval.
Tijd voor bewustwording en actie
De industriële sector moet steeds complexere, digitale systemen beschermen. Het is hierbij niet de vraag óf, maar eerder wannéér een bedrijf doelwit wordt. Innovatie is cruciaal, maar ai en slimme sensoren vereisen dat security een integraal onderdeel van de bedrijfsstrategie is. Alleen dan kunnen industriële ondernemingen veilig en concurrerend opereren.
Tim de Groot is general manager Kaspersky UKI, Benelux en Nordics
1. Kaspersky heeft in augustus 2024 een onderzoek uitgevoerd onder 203 C-level-besluitvormers van grote ondernemingen met meer dan duizend werknemers in sectoren als energie, productie en olie & gas. De respondenten werden ondervraagd over cybersecuritymaatregelen binnen hun organisaties, de barrières waar zij als managementteam mee te maken hebben en de uitdagingen die kwetsbaarheden in hun toeleveringsketens met zich meebrengen. Zie hier voor pdf.
Het is zeker tijd voor bewustwording als we kijken naar de kwetsbaarheid door ‘security by obscurity’ want het verschil tussen OT en IT ligt vooral in het feit dat de risico’s niet geïdentificeerd zijn. Hierin mis ik zoiets als een ouderwets configuratiemanagement proces want een keten begint bij de stack. Want kritische oplossingen kunnen extreem kwetsbaar worden doordat de lifecycle van de software uit de pas loopt met de afschrijving. Mogelijkheid om middels IP fingerprinting oude technologie en verkeerde zuinigheid te vinden is niet iets wat alleen Kaspersky doet. Technieken uit de IT zijn dan ook heel goed te gebruiken binnen de OT. Laten we zeggen dat technische kennis van zoiets als de infrastructuur zo’n 99% van het probleem dekt als ik kijk naar de convergentie. C-level-besluitvormers trekken hierdoor wit weg als het om een bewustzijn van de risico’s met een indicatie van de impact gaat. Tenslotte is statistiek een leuke in het ouderwets configuratiemanagement proces als ik kijk naar de zegeningen van digital twins. Van kosten naar bezuinigingen gaat Industrie 4.0 tenslotte vooral om het verbeteren van de efficiëntie, niet om meer angst te zaaien.
Om even terug te komen op de stack en de keten, het eerste gaat om een gelaagde structuur van technologieën of componenten die samen een systeem vormen. Ik kan het visualiseren om het te verduidelijken maar dit is niet mijn opinie dus ik beperk me voor het configuratiemanagement tot alle verschillende componenten zoals sensors, netwerk en software die tot een virtueel model samenkomen voor de monitoring. Want de OT wordt groot als we kijken naar alle mogelijkheden van IoT. De eindgebruiker kan hierdoor ook de huiseigenaar zijn die als kleine schakel in het grid voor de stabiliteit in de energie zorgt. Want de toekomst is zonnig als we de donkere wolken tijdig weten te voorspellen als ik kijk naar de convergentie van IT en OT met zoiets als de cloud en edge. Tegenover de risico’s staan namelijk kansen zoals de meeste ondernemers weten, het leuke van de Nederlandse industrie is namelijk dat er geen C-level-besluitvormers zijn maar eigenaren die zich mede door NIS2 bewust worden van hun positie in de keten.
Never waste a good crisis komt wet- en regelgeving altijd achteraf want het geopolitieke dreigingslandschap voor de industrie in 2025 gaat meer om de handelstarieven dan het geheim van de keuken. Het geheime recept van Heinz is hierdoor niet meer relevant want bijna hetzelfde maar dan goedkoper gaat om het alternatief. Goedkoper produceren wordt in Nederland behoorlijk lastig als de belastingtarieven op energie voor een slechte concurrentiepositie in de Europese markten zorgen. Tenzij de zon schijnt want die komt nog altijd gratis op….
Wij hebben veel met vooral de boardrooms en management te maken waar men het ‘wel eens’ heeft over cybercrime, en security, maar de werkelijke risico’s nauwelijks echt in kaart brengt. Wat we ook zien is dat er CISO’s worden aangesteld die ergens een ‘opleidinkje’ in hebben gedaan, maar weinig tot niets begrijpen van het werkelijke Risk & Crisis management.
Het directe gevolg daarvan is dat de werkelijke stappen op dit vlak niet worden gezet. Temeer omdat meer dan 85% van de IT professionals en meer dan 95% van boardroom en management geen enkel idee (meer) hebben van de essentie van digitale automatisering, zie je de problemen op dit vlak alleen maar toenemen.
Het gaat natuurlijk veel verder dan alleen maar een cosmetische invulling of het idee dat je cybercrime te lijf gaat met weer een opleidinkje en/of soft/hard-ware.
Er moet nog veel worden gedaan blijkt.