Er is weer een cyberaanval geweest op een van de meest kritieke infrastructuursectoren waar de Verenigde Staten van afhankelijk zijn om hun economie te voeden en hun burgers te beschermen – de energiesector. De inbreuk, die medio februari plaatsvond, bracht de Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security ertoe om een ongewone onthulling te doen over de aanval op een beheerder van een aardgaspijpleiding.
In dit geval gebruikten hackers een ransomware-aanval met de waarschijnlijke bedoeling om geld buit te maken. Hoewel het niet duidelijk is waar de ransomware vandaan kwam, weten we dat deze afkomstig is van wat een al te vaak voorkomende aanvalsvector lijkt te zijn, een phishingbericht dat een kwaadaardige link bevatte. Hoewel het virus geen substantiële schade leek te veroorzaken, heeft de aardgasmaatschappij haar activiteiten voorzichtigheidshalve twee dagen stilgelegd om de gezondheid van het bedrijfsnetwerk te beoordelen.
Het incident is een schokkend voorbeeld van het feit dat, hoewel de cyberverdediging van een netwerk ernstige inbreuken kan afweren, aanvallen vaak tot dure en storende onderbrekingen leiden. In dit geval was de volledige betrokken pijpleiding gedurende die twee dagen onbruikbaar.
Deze aanval heeft ons eraan herinnerd dat de belangstelling voor cyberverstoring vrij groot is, vooral bij door de staat gesponsorde daders en bij binnenlandse dreigingen die gericht zijn op economisch gewin.
Industriële besturingssystemen zijn afhankelijk van fysieke middelen zoals camera's, deuren en andere fysieke toegangssystemen, alsook van traditionele IT-netwerken. Naarmate er meer en meer apparaten aan het netwerk worden toegevoegd, moeten de operators van het Industrial Control System (ICS) voortdurend op de hoogte blijven van de huidige dreigingen die een willekeurig aantal kritische processen kunnen uitschakelen. Met behulp van de CISA kunnen energiebedrijven deel uitmaken van een cybersecuritygemeenschap die, net als in dit geval, heeft bewezen dat ze hulp kunnen bieden en de geleerde lessen kunnen delen met andere bedrijven die kwetsbaar zouden kunnen zijn voor soortgelijke cyberhacks. Naast fysieke veiligheid is betrouwbaarheid de grootste zorg van netbeheerders.
Onderhoudsperiodes worden tot een minimum beperkt door zorgvuldig geplande en efficiënte onderbrekingen. Elke onverwachte storing staat gelijk aan echte economische en serviceverstoringen die leiden tot:
- Overtredingen van service level agreements
- Inkomstenverlies
- Verhoging van de kosten voor reparaties en updates
Deze laatste gebeurtenis komt op een moment dat energiebedrijven al te maken hebben met door de staat gesponsorde cyberaanvallen, en nu in toenemende mate zowel buitenlandse als binnenlandse criminelen moeten afweren die vaak eropuit zijn om ofwel intellectueel eigendom te stelen, gecodeerde gegevens vast te houden voor losgeld, of erger nog, productiviteitsschade of zelfs fysieke schade te veroorzaken door de controle over schakelaars, apparaten en andere fysieke componenten van hun ICS over te nemen. Er is een nieuwe term bedacht om dit soort buitenlandse en binnenlandse bedreigingen te beschrijven, waarvan de beweegredenen meer financieel van aard zijn: “ecoterrorisme”.
Ik adviseer het energienet al jaren over cybersecurity, met onder meer een vijfjarig mandaat als bestuurslid van de North American Energy Standards Board (NAESB). Er zijn manieren waarop gas- en elektriciteitsbedrijven de risico's van op ransomware gebaseerde aanvallen kunnen beperken:
1. Communiceer cyberaanvallen aan de CISA, die op zijn beurt de dreigingen en aanbevolen risicobeperkende strategieën met de gemeenschap zal delen.
2. Leer uw personeel over de meest voorkomende manieren waarop malware wordt verspreid – door middel van e-mails van het type phishing en spear-phishing. Bedrijfsleiders zouden het volgende moeten doen:
- Eindgebruikers leren om altijd het domein van de afzender te bekijken door met de muis over het adres van de afzender te gaan, alle links en bijlagen zorgvuldig te controleren voordat ze erop klikken en IT-teams inzetten om alles te inspecteren wat er enigszins verdacht uitziet
- Volledig gepatchte virus- en malwaredetectiescans uitvoeren
- Partners en externe gebruikers stimuleren om hun e-mails digitaal te ondertekenen met behulp van een vertrouwd S/MIME-certificaat
3. Zorg voor een up-to-date en volledig getest bedrijfsherstelplan, zodat zelfs in het ergste geval de impact kan worden beperkt.
4. Maak een back-up van uw gegevens en maak uw netwerk niet kwetsbaar voor ransomware-aanvallen.
5. Erken dat alle mensen, machines en apparaten die met het netwerk in aanraking komen, moeten worden geauthenticeerd en kijk naar geautomatiseerde PKI-oplossingen als schaalbare en eenvoudig te beheren beveiligingsmaatregelen.
6. Investeer in het versterken van uw infrastructuur, want de risico-omgeving zal alleen maar toenemen, vooral omdat componenten van het Smart Grid steeds meer aan netwerken worden gekoppeld.
Helaas is het werk van IT-teams en CISO's van energiebedrijven nooit af, maar zoals we hebben gezien lukt het hen uitstekend om het spervuur van cyberaanvallen af te weren. Dat betekent niet dat de klus geklaard is – in feite is dit nog maar het begin.
Om meer te weten te komen over de NAESB-compatibele digitale certificaten van GlobalSign die speciaal zijn ontwikkeld voor gebruik in de energiesector, kunt u onze website bezoeken.
