Cybersecurity voor de water- en afvalwaterindustrie

Cyberaanvallers weten maar al te goed dat ze kritieke infrastructuur in een lastig parket kunnen brengen. Segmenten zoals water en afvalwater hebben gebruikers die sterk afhankelijk zijn van hun nutsvoorzieningen, wat betekent dat een cyberaanval grote gevolgen kan hebben. Bedrijven kunnen ook dit water gebruiken voor processen zoals koeling of de productie van een product, dus een aanval zou ook gevolgen hebben voor hun operationele kosten. Om een aanval tegen te gaan zijn er al verschillende initiatieven om publiek-private samenwerking op het gebied van cyberbeveiliging uit te breiden naar de watersector. Dit vergroot de zichtbaarheid van cyberdreigingen en beschermt federale netwerken.

Verbonden apparaten zijn door de digitalisering niet meer weg te denken. Het helpt bij efficiëntie, datagestuurde inzichten en- uiteindelijk- duurzaamheid. Apparatuur die tegenwoordig wordt gemaakt, heeft een grotere mate van connectiviteit om bedrijven te helpen concurrerend te blijven en hun winst te vergroten. In tegenstelling tot andere sectoren is water en afvalwater echter een cruciale nutsvoorziening. De organisaties die in die sector actief zijn, moeten streven naar de hoogste cyberbeveiligingsniveaus volgens de wereldwijde normen van IEC 62443.

Hoe voorbereid is de waterindustrie?
Uit onderzoek van Claroty, een toonaangevende leverancier van cybersecurityplatforms, in het hele water- en afvalwatersegment, bleek dat 34% van de bedrijven een ransomware-aanval meemaakte die alleen IT trof. 22% van de ransomware-aanvallen trof alleen OT. Bovendien ondervond 52% van de respondenten een gedeeltelijke impact op één locatie, terwijl 30% aangaf gedurende een week een aanzienlijke impact op meerdere locaties te hebben ondervonden. Sommigen werden zelfs geconfronteerd met een soortgelijke impact op meerdere sites gedurende meer dan een week. Voor 37% van alle respondenten resulteerde deze impact in een kosten van 100.000 tot 500.000 dollar per uur, en voor 12% van de respondenten kostte dit 1 miljoen tot 5 miljoen dollar per uur. Uiteindelijk betaalde 60% van de respondenten het losgeld.

In Nederland heeft Minister Harbers van Infrastructuur en Waterstaat aangekondigd dat er momenteel wordt gewerkt aan een IenW Cybersecurity Strategie (2022–2026). De IenW Cybersecurity Strategie beschrijft de cybersecurity-aanpak en heeft als doel om Infrastructuur, Waterstaat en de vitale sectoren waar IenW een verantwoordelijkheid heeft digitaal veiliger te maken. Daarmee kan op een betere manier gedigitaliseerd worden in de sector en wordt tegelijkertijd de veiligheid beschermd.

Veel bedrijven worden geconfronteerd met uitdagingen bij het analyseren van de hoofdoorzaken van een aanval – waarbij ze niet definitief kunnen uitsluiten wat er al dan niet is gebeurd waardoor de aanval kon plaatsvinden. De mogelijkheid om een inbreuk te detecteren geeft de organisatie kennis en controle. Het maakt ook verdere analyses mogelijk, mocht zich een nieuwe aanval voordoen. Als er niets is om een inbreuk te detecteren, kunnen aanvallers zich al in een systeem bevinden en informatie verzamelen.

Door netwerksegmentatie binnen de gedigitaliseerde architectuur van een bedrijf te implementeren, kunnen de activiteiten tot op zekere hoogte doorgaan als een cyberaanval tot één gebied kan worden geïsoleerd. Met dat in gedachten zouden water- en afvalwaterbedrijven moeten streven naar beveiligingsniveau 3 binnen hun organisatie. Hier volgt een uitsplitsing van wat elk niveau inhoudt:

  • Beveiligingsniveau 1 – Beschermt tegen onbedoelde inbreuken of toevallige overtredingen.
  • Beveiligingsniveau 2 – Gaat dieper in op gebieden met ernstiger implicaties door bescherming te bieden tegen opzettelijke schendingen die worden begaan door personen met algemene vaardigheden en weinig middelen.
  • Beveiligingsniveau 3 – Een onderneming beschermt zich tegen professionele hackers – personen of entiteiten met systeemspecifieke vaardigheden die zich met geavanceerde middelen toegang verschaffen tot infrastructuren.
  • Beveiligingsniveau 4 – Organisaties beschermen zich tegen zeer gemotiveerde hackers die gebruik maken van geavanceerde middelen en over uitgebreide middelen beschikken om toegang te krijgen tot aanvallen op het niveau van een natie. Hoewel het moeilijk kan zijn aanvallen van niveau 4 te weerstaan, kunnen bedrijven zich beter verdedigen en interne zwakke plekken analyseren.

4 beveiligingspraktijken
Wanneer u de cybersecurity opnieuw beoordeelt, is het belangrijk om u vast te leggen op bepaalde doelen en praktijken. Er is geen wondermiddel als het gaat om cyberbeveiliging, maar een pad uitstippelen naar cybervertrouwen kan leiden tot efficiëntere activiteiten en de kans op een cyberaanval verkleinen.

  • Voer regelmatig cybersecuritybeoordelingen uit. Tools zoals edge data collectors richten zich op inventarisatie van bedrijfsmiddelen om bij te houden welke apparaten in alle activiteiten worden gebruikt. Kennis van alle toegangspunten is belangrijk, maar het bijhouden van firmware-updates, vooral naarmate bedrijven groeien en moderniseren, wordt een kritieke verdedigingspraktijk.
  • Implementeer netwerksegmentatie in de architectuur om het IT-netwerk te scheiden van het OT-netwerk. Dit kan bij een aanval een tussenstop zijn. Een dergelijke netwerksegmentatie staat bekend als een “gedemilitariseerde zone” (DMZ) en isoleert delen van het netwerk of apparaten die zijn aangetast. Firewalls en insluiting helpen om de controle terug te krijgen.
  • Maak een back-up van gegevens. Stel dit zo in dat het automatisch terugkeert om het IP- en kernsysteem te beschermen, en doe dit regelmatig. Mocht zich een cyberaanval voordoen, dan kan een organisatie sneller weer aan de slag. Frequente databack-ups kunnen het bedrijf minder aantrekkelijk maken voor potentiële hackers die aanzienlijke schade willen aanrichten. Bewaar ook alle superkritische configuraties en broncodes op meerdere plaatsen.
  • Herstellen van een aanval gaat het beste door oefening. ‘Cyberaanval-oefeningen’ bereiden bedrijven voor op het beperken van inbreuken wanneer deze zich voordoen en kunnen hen helpen sneller te herstellen. Training voor verschillende scenario’s in cyberbeveiligingsworkshops wekt vertrouwen en culturele betrokkenheid bij werknemers.

Cybervertrouwen in de watersector
Gezien de resultaten van de enquête is er duidelijk behoefte aan vertrouwen in cyberbeveiliging. De gevolgen van een cyberaanval kunnen levensbedreigend zijn en schadelijk voor de reputatie van een organisatie, naast de financiële gevolgen. Door bepaalde grondbeginselen te volgen, kunnen water- en afvalwaterorganisaties de cyberdefensie verbeteren – en het is geen reis die u alleen onderneemt. Schneider Electric heeft de expertise om u te helpen beoordelen waar u zich bevindt op de weg naar cybervertrouwen.

We werken samen met een ecosysteem van partners van wereldklasse om de juiste technologie en diensten te leveren die klanten nodig hebben voor hun specifieke omgeving. We maken gebruik van een netwerk van partners om toonaangevende cyberbeveiligingstechnologieën te integreren om de juiste leverancier-agnostische bescherming te bieden vanuit een OT-perspectief om te voldoen aan de behoeften van klanten voor alle bedrijfstypen en -sectoren, inclusief het water- en afvalwatersegment.

Regelmatige cyberbeveiligingsbeoordelingen uitvoeren, netwerksegmentatie implementeren, zorgen voor regelmatige back-ups en consistente cyberbeveiligingsopleidingen zijn enkele van de eerste stappen die uw organisatie kan nemen om haar cyberbeveiligingshouding te verbeteren. Cybervertrouwen is haalbaar; en Schneider Electric kan u helpen de weg te effenen naar uw cyberbeveiligingsdoelstellingen met toonaangevende OT-cyberbeveiligingsnormen, -diensten en -oplossingen.

Voor meer informatie over preventieve cyberbeveiligingsmaatregelen die specifiek in het water- en afvalwatersegment moeten worden genomen, bekijkt u de on-demand opname van het Webinar ‘Top Cybersecurity Risks Facing Water & Wastewater Utilities’.