‘Niet-vitale sectoren’ essentieel in bestrijding gevolgen van cybercriminaliteit
Data uit 'niet-vitale sectoren' kunnen waardevol zijn voor het detecteren van cyberaanvallen. Opvallende haperingen in dit soort systemen kunnen een signaal zijn van een actie van buiten. Het draait daarbij om de juiste inzet van Artificial Intelligence. Het is mede aan de overheid om dit soort doorbraaktechnologieën in de cybersecurity aan te jagen.
Om de functie van een datacenter te blokkeren is het voldoende om de airco uit te schakelen | Beeld: Shutterstock
Dat cybercriminaliteit complete bedrijven kan lamleggen, is dankzij een niet aflatende stroom aan nieuwsberichten inmiddels genoegzaam bekend. De risico’s hiervan voor onze meest vitale sectoren staan daarmee eveneens voldoende op het netvlies van de samenleving. De economische, fysieke en sociaal-maatschappelijke gevolgen van een aanval op ons drinkwater-, electriciteits- of waterkeringsstelsel kunnen ontwrichtend zijn. Logisch dus dat in de bestrijding van cybercriminaliteit juist voor de vitale processen alle aandacht is. Maar wie zich op basis daarvan veilig waant, kan nog voor onaangename verrassingen komen staan.
De maakindustrie en de logistieke sector zijn, mede door de toenemende digitalisering en de afhankelijkheden binnen de keten, aantrekkelijke doelwitten geworden voor cybercriminelen. Het platleggen van een schakel in de logistieke keten of een hapering in de supply chain van de hightech industrie kan desastreuze maatschappelijke gevolgen hebben. Desondanks worden deze sectoren momenteel niet gezien als vitaal. Ten onrechte, als je kijkt naar de mogelijke consequenties.
Rol voor de overheid
De overheid doet al veel als het gaat om het delen van relevante informatie. Het Nationaal Cyber Security Centrum (NCSC), verantwoordelijk voor de verspreiding van dreigingsmeldingen naar vitale sectoren, heeft onlangs het “Digital trust Center”;https://www.digitaltrustcenter.nl/ (DTC) gemandateerd om dezelfde informatie ook naar het mkb te sturen. Dat is een stap vooruit, maar niet genoeg. Ook technologisch is hulp nodig. Want het mkb moet niet alleen weten dat er een dreiging is, maar ook wat er gedaan kan worden om aanvallers te kunnen vinden en tegenhouden – zowel binnen de eigen muren als verderop in de keten.
Dat is des te belangrijker omdat er wel degelijk wat te doen is aan de dreiging, ook voor kleinere bedrijven. Op dit moment wordt er bijvoorbeeld nog weinig gedaan met de data die bedrijven uit hun fysieke systemen kunnen halen. Data afkomstig uit pompen of airco-systemen, eigenlijk bedoeld voor preventief onderhoud, kan ook waardevol zijn voor het detecteren van cyberaanvallen. Immers, opvallende haperingen in dit soort systemen kunnen een signaal zijn van een actie van buiten. Het draait daarbij om de juiste inzet van Artificial Intelligence en het is mede aan de overheid om dit soort doorbraaktechnologieën in de cybersecurity aan te jagen.
Deltaplan
Zo’n opstelling heeft bovendien een belangrijk bijeffect: niet alleen wordt de maatschappelijke cyberdreiging ermee gecounterd, maar tegelijkertijd bouwt Nederland hiermee aan een stevige cybersecurity industrie, waarmee we de afhankelijkheid van grote buitenlandse partijen kunnen inperken. Net als destijds bij het Deltaplan ter beveiliging van de Zeeuwse kust slaan we daarmee twee vliegen in één klap: we lossen er een actueel en acuut probleem mee op en vestigen voor de komende decennia onze naam op het wereldtoneel, met alle economische voordelen van dien. Een nationale cybersecurity industrie levert allereerst de dijken die de maatschappij beschermen tegen het wassende water van cyberaanvallen, om deze expertise vervolgens over de hele wereld te gelde te maken.
Nederland is, mede dankzij de expertise van TNO en de technische universiteiten, nu al koploper rond cybersecurity. Juist door de kennis die op de plank ligt beschikbaar te stellen aan het bedrijfsleven – iets waarbij de overheid een stimulerende rol kan spelen – ontstaan nieuwe technologische toepassingen en economische bedrijvigheid. Dat is vooral relevant voor het mkb in de niet-vitale sectoren, want daar zijn de investeringen in cybersecurity nog relatief beperkt.
De kortste weg van wetenschap naar valorisatie
Dcypher, een samenwerkingsverband voor onderzoek naar cybersecurity, zou daarvoor een goed vehikel kunnen zijn. Door de betrokkenheid van universiteiten, TNO, overheid en eindgebruikers is Dcypher de kortste weg van wetenschap naar valorisatie. De focus ligt op het omzetten van onderzoek in doeltreffende toepassingen, het opleiden van cyberbeveiligingsprofessionals en het versterken van de Nederlandse kennispositie op het gebied van cybersecurity. En dat zijn precies de factoren die het mkb kunnen bewegen van de praatgroepen naar de concrete acties.
Voorkom dat een cybercrimineel de essentiële onderdelen van een organisatie kan kraken, om daarmee het hele bedrijf lam te leggen.
Op die manier kunnen deze ondernemingen inderdaad aan de slag met de structurele monitoring van hun gevoelige processen en structuren. Cruciaal daarbij is de inzet van de juiste technologie om de zwakke plekken in de digitale verdediging te ontdekken. In de praktijk ligt dat voor elk bedrijf anders maar de systematiek is telkens hetzelfde: Voorkomen dat een cybercrimineel de essentiële onderdelen van een beoogde organisatie kan kraken, om daarmee het hele bedrijf lam te leggen. Neem een datacenter: de echte waarde zit in alle afzonderlijke servers, maar om hun functionaliteit te blokkeren is het ook voldoende om de airco uit te schakelen. Omdat deze op afstand – in de cloud – bediend kan worden, gaan de aanvallers op zoek naar dat ene kleine poortje waarmee toegang tot het geheel kan worden verschaft. Door in het beheer continu oog te houden op de data van de airco en daar kunstmatige intelligentie op los te laten, gaan afwijkingen sneller opvallen en kan een aanval worden afgewend.
Aanvallen in de supply chain
Datzelfde geldt voor bijvoorbeeld de voedselketen. Ook daar kan een storing in de koelinstallatie van één enkel bedrijf problemen veroorzaken in de gehele keten – met als resultaat dat de schappen in de supermarkt leeg blijven. Het is een extra bewijs dat de term ‘vitaal’ in onze beveiligingsperceptie wel wat ruimer gezien mag worden. Niet alleen vanwege de mogelijke ontwrichtende gevolgen van een enkele aanval, maar ook omdat juist deze sectoren hun beveiliging over de volle breedte nog onvoldoende op orde hebben.
Digitale aanvallers zijn immers altijd op zoek naar de zwakste plekken in de verdedigingslinie van hun doelen. Zeker bij het mkb zitten de zwaktes vaak in de fysieke installaties en systemen die van oudsher niet verbonden waren met het internet. Windows XP is bijvoorbeeld zo’n operating systeem dat in een analoge wereld altijd naar behoren heeft gewerkt, maar nu de poorten naar de buitenwereld open staan een groot risico is gaan vormen. De interne automatiseringswens of de eisen van klanten en vendoren, die op elk moment willen kunnen meekijken, hebben de deuren geopend voor digitaal kwaadwillenden. En het antwoord zit niet alleen in een Windows-update; wanneer kantoorautomatisering (‘IT’) en procesautomatisering (operationele technologie, ‘OT’) samenkomen, neemt ook de complexiteit van de beveiliging toe.
Een minimale zwakheid bij het ene bedrijf kan gevolgen hebben voor de volledige keten.
Bovendien is het in onze genetwerkte structuren niet meer voldoende om alleen de veiligheid van onze eigen IT-systemen te waarborgen. Het besef dat een minimale zwakheid bij het ene bedrijf gevolgen kan hebben voor de volledige keten dient nog beter post te vatten. Toeleveranciers en klanten zijn, via een aanval elders in het netwerk, een minstens zo groot risico geworden als de vijandige hackers zelf. Voor de aanvallers is het immers niet meer nodig om daadwerkelijk toegang te krijgen tot het hoofddoel. Omdat bepaalde rechten om productieredenen ondergebracht zijn op diverse plekken binnen de supply chain, kan ook een aanval op de (wellicht slechter beveiligde) toeleverancier al het gewenste effect hebben.
Niet-vitaal is ook vitaal
Werk aan de winkel dus, op alle niveaus. Natuurlijk is het van cruciaal belang om de vitale sectoren alle aandacht te geven als het aankomt op cyberweerbaarheid. Onze drinkwater- en energievoorziening mag nooit in gevaar komen. Maar die focus moet er niet toe leiden dat de sectoren die niet in die categorie vallen, maar bij een cyberaanval voor minstens zo ontwrichtende gevolgen zullen zorgen, uit de aandacht verdwijnen. Een extra duwtje vanuit de overheid hierbij is des te belangrijker omdat de duizenden kleine en middelgrote bedrijven die hierbinnen actief zijn, zelf minder voortvarend zijn in hun eigen en de ketengerelateerde cybersecurity. Dat zo’n duwtje nog wel eens behoorlijk lucratief zou kunnen zijn vanwege het economisch voordeel voor de BV Nederland, is daarbij mooi meegenomen.
Lees ook: cybersecurity in de supply chain
Dimitri Hehanussa is manager cybersecurity bij TNO