Slimme fabrieken, slimme cyberaanvallen

Industrie 4.0 biedt ongekende kansen voor innovatie en economische groei. Industriële systemen zijn steeds slimmer en helpen processen verregaand te automatiseren. Tegelijkertijd kleven aan innovatie nieuwe risico’s en uitdagingen. Bedrijven in de maak- en procesindustrie zien een enorme toename van het aantal cyberincidenten. Een rapport van Kaspersky uit 2024^* laat zien dat 94% van de Nederlandse industriële organisaties de afgelopen 12 maanden te maken had met een cybersecurity-incident. 41% classificeerde deze aanvallen als een ernstige verstoring. Bewustwording en voorbereiding zijn dus Heel belangrijk. Daarom is een goed beeld van het dreigingslandschap voor de industrie in 2025 onmisbaar. We zetten de belangrijkste risico’s op een rij.

Jacht op innovaties

Innovatie is een belangrijke drijfveer voor de industrie. Veel organisaties investeren in AI en machine learning, kwantumcomputing, optische elektronica, energiebronnen, satellieten, telecommunicatie en biotech. Deze ontwikkelingen zorgen echter wel voor extra cyberrisico’s. Zowel hacktivisten als ransomware groepen jagen continu op intellectueel eigendom van innovatieve organisaties, zoals ontwerpdocumenten of algoritmes van AI-modellen. 

Dit risico gaat verder dan de organisatie zelf en raakt het hele ecosysteem van leveranciers en partners. Aanvallers hoeven dus niet rechtstreeks de R&D-labs binnen te dringen om gevoelige data te stelen. Op diverse plekken in de keten, bijvoorbeeld op de productievloer, ligt waardevolle informatie die soms minder goed beveiligd is. Dit zijn aantrekkelijke doelwitten voor cybercriminelen.

Bewuste barrières en sancties

De geopolitieke spanningen groeien waardoor ook zogenaamde sanctieoorlogen ontstaan. Bepaalde landen hebben geen of beperkte toegang tot geavanceerde technologieën. Deze beperkingen kunnen leiden tot de inzet van illegale methodes die de cyberveiligheid bedreigen. Onderzoek onder 203 C-level beslissers van bedrijven met meer dan 1.000 medewerkers in de energie-, productie, olie- en gassector in Nederland in augustus 2024 onderstreept dit. Ruim 36 procent van deze respondenten had de afgelopen zes maanden te maken met cyberincidenten of pogingen van diefstal van intellectueel eigendom of andere vertrouwelijke bedrijfsdata. In de energiesector was dat zelfs 43 procent. Het resultaat is dat 69 procent zich zorgen maakt over verlies van intellectueel eigendom.

Deze situatie heeft uiteenlopende gevolgen voor de cyberveiligheid :

• Meer kwetsbaarheid omdat ontwikkelaars en leveranciers van OT-technologie hun intellectuele eigendom niet langer effectief kunnen beveiligen met de bestaande, ingebouwde mechanismen en maatregelen.
• Misbruik van fouten, ongeautoriseerde patches van derde partijen en manieren om licentiebeperkingen te omzeilen, vergroten de risico’s in OT-omgevingen.
• Naast de documentatie over technologische vernieuwingen zijn ook modellen, designs en simulatiebestanden interessant voor criminelen. 
• Programma’s voor PLC’s, SCADA-configuraties en andere digitale procesbestanden zijn ook een lucratief doelwit voor aanvallers. 

Nieuwe technologieën, nieuwe risico’s

Veel bedrijven experimenteren met augmented reality, kwantumcomputing en AI-toepassingen die om hun productieprocessen te optimaliseren. AI-optimalisatie van processen bespaart tijd, verlaagt kosten en verhoogt efficiëntie. Maar AI-systemen brengen ook nieuwe kwetsbaarheden mee: 

• Dataverlies en ongewenste inzage: Bij het trainen van AI-modellen komt veel vertrouwelijke informatie vrij. Als deze data in verkeerde handen valt, ontstaat een nieuw type datalek. 
• Gijzeling van AI-data: De kern van een AI-systeem, de getrainde modeldata, is net zo goed te gijzelen of vernietigen als traditionele data. Als deze kennis onherstelbaar beschadigd raakt, loopt de productie vast. 
• AI-aanvallen: Cybercriminelen gebruiken AI ook om sneller zwakheden te vinden, overtuigende phishing mails te maken en voor grootschalige aanvallen. 

Oude technologie, nieuwe gevaren

De uitdrukking ‘if it ain’t broke, don’t fix it’ leidt tot extra risico’s in OT-infrastructuren. Daar draaien systemen soms jaren zonder aanpassingen en zelfs zonder security patches. Ook zwakke wachtwoorden zijn gangbaar. Extra risicovol is dat documentatie over industriële netwerken vaak publiekelijk of intern eenvoudig te vinden is. Criminelen hoeven dus geen experts te zijn in complexe industriële processen, via het netwerk vinden ze snel wat ze nodig hebben.

Naast onbeveiligde industriële systemen zoals PLC’s en SCADA-servers, zijn ook andere apparaten en infrastructuren met het netwerk verbonden. De security van deze systemen krijgt niet altijd voldoende aandacht. De C-suite in de Nederlandse industriële sector is hierover aantoonbaar bezorgd. De grootste zorg is de kwetsbaarheid van verbonden en IoT-apparaten. Uit het eerder genoemde onderzoek blijkt volgens 22% van de respondenten dat IoT-kwetsbaarheden momenteel de grootste bedreiging zijn. Dit betreft kwetsbaarheden in bijvoorbeeld:

• Beveiliging van telecomapparatuur wordt als onnodig gezien of als de verantwoordelijkheid van de telecomoperator. Het idee is dat mobiele basisstations en netwerken van telecomoperators voldoende beschermd zijn tegen cyberaanvallen. Toch is deze apparatuur kwetsbaar, vooral tijdens onderhoud. Telecomoperators zijn zeker niet immuun voor cyberaanvallen, zoals blijkt uit de Blackwood-aanvallen. Het is dus zaak rekening te houden met:
  • Het dreigingsmodel: aandacht voor ‘man-in-the-middle’-aanvallen op telecomapparatuur en infrastructuur.
  • De beveiligingsprioriteit: De toename van slimme systemen voor monitoring en controle op afstand maakt security van de telecomomgeving steeds belangrijker.
  • Investeringen: Industriële ondernemingen moeten investeren in telecombeveiliging om cyberincidenten te voorkomen.
• Slimme sensoren en industriële IoT-apparaten: De security hiervan krijgt beperkte aandacht, terwijl het wel interessante aanvalsdoelen zijn, om data te bemachtigen of storingen te veroorzaken.
• Kleine, afgelegen faciliteiten: Deze gebruiken vaak goedkope netwerkapparatuur die lastig te beveiligen is.
• Linux-systemen in OT-systemen: Hoewel ze minder malware aantrekken, zijn ze net zo moeilijk te beschermen tegen gerichte aanvallen als Windows-systemen.

Verkeerde leverancierskeuze met grote gevolgen

Niet elke technologie- of softwareleverancier investeert evenveel in security. Als een nicheleverancier van essentiële procesautomatisering onvoldoende securitymaatregelen treft, loopt de eindgebruiker veel risico. Bij grootschalige ketenaanvallen kan één kwetsbare schakel in de supply chain tot grote verliezen leiden. Zo veroorzaakte de aanval op CDK Global meer dan een miljard dollar aan verliezen.

Belangrijkste complicerende factoren hierbij zijn de:

• Lange toeleveringsketens voor technologie: Complexe apparatuur en automatiseringssystemen vereisen samenwerking met meerdere fabrikanten, inclusief nicheontwikkelaars met beperkte securitymiddelen. Verder vereisen installatie en onderhoud externe specialisten, hierdoor is het aanvalsoppervlak groter.
• Zelf ontwikkelen: Grote organisaties ontwikkelen zelf of via dochterbedrijven maatwerkoplossingen. Security krijgt hierbij niet altijd de aandacht dit het verdient, wat de oplossingen kwetsbaar maakt.

Onderzoek van Kaspersky in 2024 in de Nederlandse industrie bevestigt deze risico’s. 31% ziet in dat industriële controlesystemen binnen de wereldwijde supply chain niet secure-by-design zijn. Een andere zwakke schakel zijn verouderde technologieën binnen de keten, bijvoorbeeld door leveranciers en onderaannemers (27% ). Verder erkent 27 procent van de respondenten dat  de volwassenheid van partners op het vlak van cybersecurity onvoldoende gecontroleerd wordt*.

Security by obscurity is verleden tijd

Voorheen dachten veel organisaties dat hun industriële netwerken ‘onzichtbaar’ waren voor de buitenwereld. Door digitale tools en meer transparantie van organisaties, is dat verleden tijd. Op GitHub staan bijvoorbeeld talloze bibliotheken met industriële protocollen. Een aanval op hoofdproductiesystemen is hierdoor steeds eenvoudiger. Bovendien delen bedrijven veel informatie in hun documentatie en netwerken. Bijvoorbeeld: onderhoudsinstructies, veiligheidsrichtlijnen en plattegronden van de fabriek. Dat helpt bij audits en digitale transformatie, maar het helpt ook criminelen die zich voorbereiden op een aanval.

Tijd voor bewustwording en actie

De industriële sector moet steeds complexere, digitale systemen beschermen. Het is hierbij niet de vraag óf, maar eerder wannéér een bedrijf doelwit wordt. Innovatie is erg belangrijk, maar AI en slimme sensoren vereisen dat security een integraal onderdeel van de bedrijfsstrategie is. Alleen dan kunnen industriële ondernemingen ook in 2025 veilig en concurrerend opereren.

Auteur: Tim de Groot, General Manager, Kaspersky UKI, Benelux en Nordics.

* Kaspersky heeft in augustus 2024 een uitgebreid onderzoek uitgevoerd onder 203 C-level besluitvormers van grote ondernemingen met meer dan 1.000+ werknemers in sectoren zoals energie, productie en olie & gas. De respondenten werden ondervraagd over cybersecuritymaatregelen binnen hun organisaties, de barrières waar zij als managementteam mee te maken hebben en de uitdagingen die kwetsbaarheden in hun toeleveringsketens met zich meebrengen.