Barracuda Networks heeft een nieuw rapport gepubliceerd over de status van IoT-security bij organisaties over de hele wereld, waaronder de Benelux. Het rapport The State of Industrial Security in 2022 laat zien dat kritieke infrastructuur wordt aangevallen. Hoewel ze het ermee eens zijn dat IIoT en IT security essentieel zijn, staan bedrijven voor grote uitdagingen staan, zeker gezien de toenemend onzekere geopolitieke situatie. Securityincidenten blijken ook meer impact te hebben dan alleen financiële schade, waaronder aanzienlijke downtime met langdurige consequenties.
Voor het onderzoek zijn 800 senior IT-managers, senior IT security managers en projectmanagers ondervraagd die binnen hun organisatie verantwoordelijk zijn voor industrial internet of things (IIoT)/operational technology (OT), om inzicht te krijgen in hun meningen over IIoT/OT securityprojecten, uitdagingen rond implementatie, securityincidenten, investeringen in technologie en andere onderwerpen rond cybersecurityrisico’s.
Het onderzoek wijst onder andere uit dat:
- Vrijwel alle organisaties worden aangevallen: 97 procent van de ondervraagde organisaties in de Benelux heeft de afgelopen 12 maanden te maken gehad met een securityincident.
- Zorgen rond de geopolitieke situatie: 87 procent van de Benelux-respondenten is redelijk tot zeer bezorgd over impact die het huidige dreigingslandschap en de actuele geopolitieke ontwikkelingen zullen hebben op hun organisatie.
- Impact van securityincidenten op operaties: bij 9 op de 10 ondervraagde Benelux-organisaties (90%) die te maken hebben gehad met een securityincident duurde de impact langer dan een dag.
“Ook in de Benelux is kritieke infrastructuur een aantrekkelijk doelwit voor aanvallers. Helaas hebben IIoT/IoT securityprojecten vaak een lagere prioriteit dan andere securityinitiatieven. Ook het groeiende tekort aan IT/security experts is een probleem. Organisaties raken soms midden in een project mensen kwijt, of ze krijgen andere prioriteiten. Denk bijvoorbeeld aan wat er gebeurde tijdens de coronaperiode, toen IT-personeel vrijwel van het ene op het andere moment aan de slag moest om ervoor te zorgen dat mensen op afstand konden werken. Verder mislukken deze projecten vaak vanwege door de kosten of de complexiteit. Dit alles betekent dat organisaties een risico lopen”, zegt Alain Luxembourg, regional vice president Benelux & Nordics bij Barracuda.
Wereldwijd erkennen organisaties het belang van meer investeringen in IIoT en OT security. 96 procent van de ondervraagde zakelijke leiders is van mening dat hun organisatie de investeringen in industriële security moet verhogen. Bijna drie kwart (72%) van de organisaties wereldwijd geeft aan dat al IIoT/OT securityprojecten te hebben geïmplementeerd of dat ze daarmee bezig zijn. Maar veel organisaties hebben te maken met uitdagingen als het gaat om de implementatie, waaronder het onderhouden van ‘basishygiëne’ voor de digitale omgeving.
- De verwerkende industrie en de gezondheidszorg lopen achter: organisaties op het gebied van kritieke infrastructuur lopen voorop met de implementatie van IIoT/OT security en de helft (50%) van de ondervraagde bedrijven uit de olie & gas industrie heeft al projecten afgerond. In de verwekende industrie is dit minder dan een kwart (24%) en in de gezondheidszorg zelfs maar 17% van de ondervraagde organisaties wereldwijd.
- Securityprojecten mislukken: bij bijna 9 op de 10 Benelux-organisaties is een IIoT/OT securityproject mislukt.
- Effectieve IIoT securityimplementaties hebben een positieve impact: van de organisaties die met succes IIoT en OT securityprojecten hebben afgerond, heeft drie kwart (75%) geen gevolgen meer ervaren ten gevolge van een ernstig securityincident.
- Er wordt nog weinig gebruikgemaakt van multifactorauthenticatie (MFA): slechts een op de vijf (21%) van de ondervraagde Benelux-organisaties beperkt de netwerktoegang en vereist multifactorauthenticatie voor toegang van buitenaf tot OT-netwerken.
- Zelfs in kritieke industriesectoren is het gebruik van MFA laag: wereldwijd staat bijna de helft (47%) van kritieke industriesectoren zoals de energiesector nog altijd volledige toegang op afstand toe zonder MFA.
- De juiste kennis en vaardigheden zijn essentieel: minder dan de helft (48%) van de ondervraagde Benelux-organisaties geeft aan zelf in staat te zijn om security updates te installeren.
- Het gebruik van Zero-trust Network Access (ZTNA) is nog zeer laag: geen van de ondervraagde Benelux-organisaties heeft ZTNA volledig geïmplementeerd. Een enkel bedrijf past ZTNA toe voor remote desktop (RDP) toepassingen.
IIoT/OT security blijft een belangrijk doelwit voor aanvallers, maar bedrijven die proactief te werk gaan maken een goede kans om aanvallen af te slaan. Bedrijven zouden daarom tools moeten implementeren om deze uitdagingen het hoofd te bieden, waaronder het gebruik van beveiligde connectiviteit voor endpoints en robuuste netwerkfirewalls. Allemaal centraal geïmplementeerd en beheerd via een veilige cloudservice die voorziet in effectieve netwerksegmentatie, geavanceerde bescherming tegen dreigingen en multifactorauthenticatie en die bij voorkeur ook Zero Trust-toegang mogelijk maakt.
“De impact van IIoT-aanvallen gaat verder dan alleen de digitale wereld; ze kunnen gevolgen hebben voor de ‘echte’ wereld. Denk bijvoorbeeld aan de aanval op de Duitse windmolenfabrikant Nordex, begin dit jaar. Daardoor stond ook een aantal Nederlandse windmolens maandenlang stil. Zo kunnen deze aanvallen voor instabiliteit in de energiemarkt zorgen”, vervolgt Luxembourg. “Aangezien het aantal aanvallen op de verschillende industriesectoren blijft toenemen, is een proactieve aanpak van industriële security nodig om te voorkomen dat bedrijven het slachtoffer worden. Maatregelen zoals netwerksegmentatie om delen van de infrastructuur van elkaar te scheiden en het gebruik van multifactorauthenticatie zijn bijvoorbeeld essentieel om het IIoT te beschermen.”