Helft van de industriële bedrijven heeft vitale infrastructuur adequaat beveiligd

Slechts de helft van de industriële bedrijven is van mening dat zijn vitale infrastructuur adequaat is beschermd tegen cyberaanvallen. 40% van de bedrijven geeft aan dat hun industriële netwerken in de afgelopen zes maanden doelwit zijn geweest van cyberaanvallen. 66% van de organisaties maakt zich vooral zorgen over de impact van cyberaanvallen op het productieproces.

Dit blijkt uit onderzoek van IT-beveiligingsbedrijf Kaspersky Lab onder 320 besluitvormers in industriële beveiliging bij organisaties wereldwijd. 25% van de onderzochte organisaties is gevestigd in West-Europa. Ook zijn voor het onderzoek 12 experts op het gebied van industriële beveiliging geïnterviewd. Onderbezetting, gebrek aan investeringen en menselijke fouten vormen de grootste bedreigingen voor de digitale veiligheid van ondermeer industriële netwerken, concludeert het beveiligingsbedrijf. 

Beveiliging van vitale infrastructuur blijft achter

52% van de ondervraagde industriële organisaties heeft volgens Kaspersky Lab voorzorgsmaatregelen genomen om zich adequaat te beschermen tegen cyberaanvallen op hun vitale infrastructuur. Hiermee blijft de beveiliging van vitale infrastructuur achter bij de beveiliging van de reguliere IT-omgeving. Zo geeft 77% van de respondenten in het onderzoek aan dat hun IT-landschap voldoende is beveiligd. 

Dit blijkt ook uit het soort beveiligingsmaatregelen dat organisaties hebben geïmplementeerd voor de beveiliging van respectievelijk kritieke netwerken en de algemene IT-omgeving. Zo geeft slechts 56% van de onderzochte bedrijven aan netwerkverkeer te monitoren en logbestanden te analyseren als onderdeel van de beveiliging van zijn vitale infrastructuur, terwijl dit bij de beveiliging van de reguliere IT-omgeving een vast gegeven is. Andere voorbeelden zijn netwerksegmentatie en intrustion detection, die respectievelijk door 47% en 45% van de bedrijven is geïmplementeerd om kritieke infrastructuur te beschermen. Beide worden voor de beveiliging van reguliere IT door het overgrote deel van de bedrijven ingezet.

Wie is verantwoordelijk?

De bescherming van vitale netwerken is in de industrie vaak de verantwoordelijkheid van security professionals; bij 40% van de productiebedrijven is ICS-bescherming de verantwoordelijkheid van de IT security professionals. Kaspersky Lab wijst erop dat in veel andere sectoren deze taak is neergelegd bij een speciaal team dat zich fulltime richt op de bestrijden van cyberdreigingen. Zo geeft 58% van de respondenten binnen de transport en logistieke sector aan dat dit het geval is. 

Het IT-beveiligingsbedrijf stelt dan ook dat industriële organisaties hooggespecialiseerde en gekwalificeerde medewerkers nodig hebben om gaten in hun beveiliging te dichten. Dit geldt met name voor industriebedrijven met complexe technologische processen. 58% van de bedrijven noemt het inhuren van medewerkers die gespecialiseerd zijn in de beveiliging van kritieke netwerken echter een grote uitdaging. 

Ook de toenemende risico’s door connectiviteit en integratie van productiesystemen in nieuwe Internet of Things (IoT) ecosystemen wordt door meer dan de helft (54%) van de respondenten genoemd als grote uitdaging. Het moeten implementeren van nieuwe vormen van IT-beveiliging om IoT-apparaten te beschermen en het vinden van betrouwbare partners die industriële beveiligingsoplossingen kunnen implementeren staan op een gedeelde derde positie. Beide worden in het onderzoek door de helft van de respondenten als grote uitdaging genoemd. 

Management is lang niet altijd betrokken

35% van de respondenten stelt dat de beveiliging van vitale infrastructuur in 2017 een prioriteit was van de directie, terwijl 15% het zelfs de topprioriteit noemt. Tegelijkertijd blijkt dat bij 54% van de productiebedrijven het topmanagement niet of nauwelijks betrokken in het afgelopen jaar is geweest bij vraagstukken op het gebied van beveiliging van vitale netwerken. Dit heeft in veel gevallen geleid tot een gebrek aan de benodigde investeringen. Zo geeft 66% van de respondenten aan geen specifiek budget beschikbaar te hebben voor de beveiliging van kritieke infrastructuur. Opvallend is ook dat 17% van de productiebedrijven aangeeft dat het risico slachtoffer te worden van cyberincidenten onvoldoende reden is om te investeren in de beveiliging van kritieke netwerken. 

Meer informatie is te vinden in het onderzoeksrapport State of Industrial Cybersecurity (ICS) 2018, dat hier kan worden gedownload.  

Auteur: Wouter Hoeffnagel
Bron foto: Pixabay / pixelcreatures