De coronacris legde onlangs ook zwakheden bloot in de cyberveiligheid van kritieke infrastructuur zoals ziekenhuizen en gezondheidsinstellingen, die een cruciale rol spelen in de strijd tegen de huidige pandemie. Hoe beveiligd zijn ze?

Op 15 maart werd het Amerikaanse ministerie van Volksgezondheid, een belangrijk onderdeel van de strijd tegen het coronavirus, getroffen door een cyberaanval. Het persagentschap Bloomberg meldde de dag nadien, op basis van anonieme bronnen, dat de aanval waarschijnlijk deel uitmaakte van een verstorings- en desinformatiecampagne die bedoeld was om de reactie op de coronaviruspandemie te ondermijnen. Deskundigen besluiten daaruit dat ziekenhuizen en gezondheidsinstellingen overal ter wereld bijzonder kwetsbaar zouden kunnen zijn op het gebied van cyberveiligheid omdat velen overspoeld worden door uitbraken. 

Amerikaanse ziekenhuizen zijn het afgelopen jaar in toenemende mate het doelwit geworden van ransomware-aanvallen – waarbij hackers de bestanden of systemen van gegijzeld houden en pas na betaling van het losgeld de decoderingssleutel vrijgeven. Daarnaast lopen ook andere infrastructuren zoals water- en energievoorzieningen, transportsystemen, energie-installaties steeds meer risico op cyberaanvallen. Daarom leidde onze onderzoeksredactie Newsweek Vantage in samenwerking met Siemens, Nozomi Networks en Yubico een wereldwijd onderzoek naar de staat van de beveiliging van kritieke infrastructuur in het bijzonder.

Interne dreiging

Op basis van een analyse van de enquêteresultaten van meer dan 415 leidinggevenden uit 16 verschillende bedrijfstakken overal ter wereld en interviews met experts, blijkt dat bedrijven zich wel degelijk richten op betere beveiliging maar dat ze vaak moeilijk het evenwicht vinden tussen beveiliging en operationele prestaties. Opvallend: de grootste dreiging op het gebied van cyberveiligheid komt uit de hoek van hun eigen werknemers. Hoewel bijna de helft (47 procent) van de leidinggevenden aangeeft dat cybercriminelen het grootste risico vormen, beschouwt de meerderheid voormalige en huidige werknemers als een nog grotere bedreiging.

‘De meeste organisaties richten zich op de technische aspecten van het bouwen van een digitale perimeter rond een faciliteit’, zegt Steven Mustard, een expert bij de International Society of Automation, ‘maar waar ik me het meest zorgen over maak is de ontevreden medewerker of iemand die binnen kan komen, want zelfs als het systeem volledig geïsoleerd is, kan een insider het netwerk binnenkomen. Cybersecurity-technologie is belangrijk, maar eigenlijk zijn de mensen, het proces en het bewustzijn hieromtrent de dingen waar organisaties aan moeten werken.’

Ondanks de bevinding dat terroristen en staten aanzienlijk minder bedreigend zijn dan criminelen of werknemers, hebben sommige aanvallen op kritieke infrastructuur wel geleid tot een buitenproportioneel bedreigingsgevoel in het publieke bewustzijn. Neem bijvoorbeeld de cyberaanval op het Oekraïense elektriciteitsnet in 2015, waarbij hackers drie energiedistributiebedrijven in gevaar brachten en de elektriciteitsvoorziening grondig verstoorden. Die aanval werd later aan de Russische veiligheidsdiensten toegeschreven, en bleef daarom bij heel wat bedrijven en overheidsinstellingen nazinderen.

‘Overheidsactoren hebben de neiging om geen uitgebreide aanvallen uit te voeren, maar hebben meer specifieke doelstellingen voor ogen om van een specifiek doelwit te stelen of delen ervan te vernietigen’, zegt Daniel Henriksen, hoofd Legal & Security Management bij technologieplatform Intility. ‘Criminelen zullen zich richten op het verkrijgen van geld.’ De eenvoudigste manier voor een bedrijf om te voorkomen dat ze het doelwit wordt van criminelen, zegt Henriksen, is om een beter cybersecurityniveau te hebben dan dat van hun buren. ‘Als een hacker op de deur klopt en ziet dat alles goed beveiligd is, gaan ze naar de volgende.’ 

De voor- en nadelen van IT-integratie

Een andere belangrijke bevinding is dat de integratie tussen digitale en fysieke systemen sterk uit elkaar loopt op het gebied van kritieke infrastructuur. Doorgaans worden elektronisch systemen geïntegreerd in gebruiksartikelen of apparaten met de bedoeling deze een vorm van intelligent gedrag te bezorgen en de productiviteit te verhogen. Slechts één op 10 van de ondervraagde leidinggevenden zegt geen geïntegreerde systemen te hebben. De grote meerderheid (68 procent) kiest echter voor de gulden middenweg en isoleert slechts enkele fysieke systemen van IT. 

De 88 procent van de respondenten wier organisaties sommige of al hun systemen hebben geïntegreerd, zeggen dat ze daardoor aanzienlijke voordelen hebben vastgesteld. Een hoger reactievermogen dat leidt tot betere prestaties is het meest voorkomende. Andere verbeteringen zijn onder meer een striktere operationele controle, een grotere automatisering en een betere klantervaring. 

‘Organisaties weten dat het risico op cybersecurity toeneemt met de integratie en dat dit alleen gebeurt als dit leidt tot productiviteitsverbeteringen,’ zegt Hannes Barth, General Manager van Siemens Ruggedcom. ‘Onze klanten accepteren deze risico’s alleen omdat er grote voordelen verbonden zijn aan integratie als ze daardoor bijvoorbeeld kunstmatige intelligentie en voorspellende onderhoudstechnologieën kunnen inzetten.’

Maar zo ook werd de kwetsbaarheid van geïntegreerde systemen eerder al pijnlijk duidelijk in de gezondheidssector. Zo hoorde Eric Cosman, voorzitter van de International Society of Automation, verschillende berichten over primaire zorgsystemen die een netwerk delen met het verlichtingssysteem en de liften in een ziekenhuis, waardoor een indringer in theorie de lift kan hacken en vervolgens de weg naar de intensievezorgafdeling kan vinden. ‘Geïsoleerde systemen zijn geen optie meer’, zegt Cosman, ‘maar als je twee dingen met elkaar verbindt, dan moet je zorgen dat je de mogelijke gevolgen heel goed begrijpt.’

Nood aan een mentaliteitswijziging

Bijna alle ondervraagde leidinggevenden zeggen dat hun organisatie in de afgelopen 12 maanden minstens één beveiligingsincident heeft meegemaakt, en de helft heeft er twee of meer meegemaakt. De cijfers tonen duidelijk aan dat er behoefte is aan betere en hoogwaardige beveiligingsstrategieën.

Maar in het kader van risicomanagement is er vaak een crisis nodig om de mentaliteit binnen een bedrijf te veranderen. Op het gebied van cybersecurity is dat niet anders. Zo’n 36 procent van de ondervraagde leidinggevenden gaf grif toe dat een daadwerkelijke cyberaanval op hun systemen hen er pas toe aanzette om betere beveiligingsmaatregelen te nemen. 

‘Zonder crisis is het moeilijk om een bedrijfscultuur te veranderen’, zegt Steven Mustard, die het voorbeeld aanhaalt van een beveiligingsinbreuk bij Maroochy Water Services in Queensland, Australië in 2000. Een hacker die boos was omdat hij niet door de lokale overheid was ingehuurd, gebruikte een laptop en een radiozender om drie maanden lang de controle over 150 pompstations over te nemen, waardoor afvalwater in een regenwaterput terechtkwam. De dader werd uiteindelijk gevat en de verantwoordelijke overheidsdienst nam een reeks maatregelen om de cybersecurity te verbeteren. Dergelijke incidenten tonen volgens Mustard de noodzaak aan van preventieve, eerder dan reactieve cyberveiligheidmaatregelen.

Voor veel organisaties, is goed leiderschap daarvoor de cruciale factor. ‘Een goede cultuur vanuit een cybersecuritystandpunt begint bij de top, wanneer het senior management daadwerkelijk betrokken is’, zegt Daniel Henriksen. ‘Bij de meeste organisaties gebeurt dat niet voordat ze worden getroffen door een cyberaanval.’

Het volledige Newsweek Vantage onderzoek lees je hier.