Door Bob Yeager
Bij digitale transformatie snijdt het mes op vele manieren aan twee kanten in de energie- en watersector.
Aan de ene kant hebben ongelooflijke technologische ontwikkelingen - waaronder de convergentie van informatietechnologie (IT) en operationele technologie (OT), verbeterde connectiviteit, gestroomlijnde toegang tot grotere datasets, en meer - een revolutie teweeg gebracht in het vermogen van nutsbedrijven en gemeenten om activiteiten te optimaliseren, veilig gedistribueerde energiebronnen te beheren en betrouwbare, goedkope stroom te blijven genereren en schoon water te produceren.
Aan de andere kant, nu leveranciers van energie en water hun activiteiten transformeren om te profiteren van de bovenstaande voordelen, worden ze steeds kwetsbaarder voor aanvallen en bedreigingen op het gebied van cyberveiligheid - en dat is vooral waar als ze niet de juiste benadering of partner hebben om hen te helpen beschermen.
Aanvallen van cyberveiligheid op kritieke infrastructuur nemen momenteel toe. De Amerikaanse Environmental Protection Agency heeft een memorandum uitgegeven dat de noodzaak onderstreept om veiligheidspraktijken van plaatselijke watersystemen te controleren en Dragos – een leider op het gebied van industriële cyberveiligheid – heeft recent een voortdurende toename in het aantal gevallen in de gehele energiesector gemeld.
En naarmate aanvallen toenemen, doen de kosten dat ook. In feite wordt voorspeld dat wereldwijde jaarlijkse aanvallen en bedreigingen op het gebied van cyberveiligheid de wereld $8 biljoen kosten in 2023, wat een stijging is van de $3 biljoen in 2015 en dit zal naar verwachting toenemen naar $10,5 biljoen in 2025.
Met meer gedistribueerde energiebronnen (DER's) zoals windparken, zonne-installaties en micronetten die hernieuwbare stroom leveren aan het net dat kritieke infrastructuur van stroom voorziet, is er een nog groter potentieel voor hackers om de stroom van elektriciteit op afstand te onderbreken. Het Amerikaanse Ministerie van Energie verklaarde in een rapport van oktober dat DER's "nieuwe uitdagingen op het gebied cyberveiligheid stellen voor het elektriciteitsnet" en ontworpen moeten worden met beveiliging als "kerncomponent".
Dus, nu hackers tegenwoordig slimmer worden, meer geavanceerdere technieken gebruiken en – in veel gevallen – sneller evolueren en innoveren dan de bedrijven waarop zij zich richten, wordt de vraag: wat kunnen bedrijven doen om ze af te weren?
Een op risico gebaseerde benadering van cyberveiligheid
Ongeacht de sector kan het gebruik van een op risico gebaseerde benadering u helpen mogelijke kwetsbaarheden op te sporen en uw bedrijf nu en in de toekomst tegen die problemen te beschermen. Een op risico gebaseerde benadering is niet om te beschermen tegen alle bedreigingen maar om potentiële kwetsbaarheden te identificeren en strategische beslissingen te nemen op basis van de waarschijnlijkheid en impact van elke kwetsbaarheid.
Naarmate u uw inspanningen op het gebied van cyberveiligheid versterkt, overweeg dan deze beste praktijken om ervoor te zorgen dat uw benadering holistisch is en zich voortdurend ontwikkelt:
Beoordeel risico.
Risicobeoordelingen rusten uw bedrijf uit met cruciale inzichten die helpen om risico's van tevoren te beperken. Door een beoordeling uit te voeren, bepaalt u of belangrijke elementen van cyberveiligheid - waaronder netwerkbeveiliging, gegevensbeheer, perimeterbescherming en meer - gereed zijn en zorgen voor een beter inzicht in de algehele beveiligingspositie van uw systeem.
Verscherp de systeemtoegang.
Beveiligingsmaatregelen kunnen omslachtig zijn en maken beperkte beveiliging mogelijk verleidelijk, maar aanvallers rekenen hierop. Houd de toegang tot het systeem aangescherpt door ervoor te zorgen dat werknemers consciëntieus zijn wat betreft beveiligingsbeleid, met het voortdurend evalueren van risico's en helpen om intern de juiste beveiligingscultuur op te bouwen.
Stel sterke beleidsregels vast.
Zelfs de meest geavanceerde, veilige maatregelen kunnen onderuit worden gehaald als gevolg van menselijke fouten. Daarom is het van essentieel belang om werknemers te trainen en te machtigen met een sterk administratief beleid dat risico's van social engineering, phishing en gerelateerde aanvallen reduceert.
Upgrade uw regelsysteem.
Stilstandtijd is duur en dient zoveel mogelijk te worden vermeden. Door het toepassen van tijdige patches en systeemupgrades, kunt u uitvaltijd minimaliseren en het risico van onbeschermde servers en werkstations wegnemen.
Ga verder dan perimeterbescherming.
Aanvallers gaan er vaak vanuit dat perimeterbescherming aanwezig is en maken daarom gebruik van gangbare protocollen en bekende servicepoorten om de componenten van het regelsysteem in gevaar te brengen. Om gerichte aanvallen aan te pakken, controleert u de systeemperimeter en beschermt u mogelijke ingangspunten door aanpasbare firewalls te implementeren en voortdurend te scannen op beveiligingshiaten.
Houd toegang op afstand in de juiste handen.
Bijna alle regelsystemen zijn geïmplementeerd met enige soort externe connectiviteit, maar alleen omdat externe toegang de norm is, is het nog geen veilige praktijk. Op systemen waarbij externe toegang een must is, moet u ervoor zorgen dat het veilig wordt bewaakt en geïmplementeerd. U kunt zelfs denken aan meerdere verificatielagen voor extra beveiliging.
Ken uw regelsysteem.
Nadat u uw op risico gebaseerde benadering van cyberveiligheid hebt ontwikkeld en geïmplementeerd, moet u ervoor zorgen dat u voortdurend risico's bewaakt en zo snel mogelijk potentiële aanvallen en bedreigingen identificeert. De beste benadering van cyberveiligheid is er een die zich voortdurend ontwikkelt en aanpast.
Voor energiebedrijven of nutsbedrijven die op dit moment willen innoveren en gelijke tred willen houden met concurrenten, is digitale transformatie niet meer iets "leuks om te hebben" - het is onbetwistbaar. En hoewel er risico's kunnen bestaan, moeten deze bedrijven er niet van weerhouden om successen te oogsten, zoals verbeterde samenwerking en innovatie onder hun werknemers, baanbrekende operationele verbeteringen en meer.
En in het zich steeds verder ontwikkelende landschap van cyberveiligheid zijn de bovenstaande beste praktijken slechts een uitgangspunt. Om hun activiteiten en een op risico gebaseerde benadering om deze te beschermen werkelijk te optimaliseren, automatiseren en integreren energie- en waterbedrijven vandaag de dag naadloos toonaangevende cyberveiligheidsoplossingen, zoals Emerson's Ovation™-regelsysteem dat zowel aangewezen als gecertificeerd is als gekwalificeerde anti-terrorismetechnologie door het Amerikaanse Ministerie van Binnenlandse Veiligheid - in hun bedrijven.
Ongeacht waar een bedrijf zich in zijn cyberveiligheidstraject bevindt, is het belangrijk om te onthouden dat er altijd kansen zijn om te verbeteren, zich te ontwikkelen en zich beter voor te bereiden op de volgende potentiële aanval of dreiging die op de loer ligt.
Alleen omdat een aanval nog niet heeft plaatsgevonden, betekent niet dat dit niet zal gebeuren. Neem dus vandaag de tijd om de juiste benadering te ontwikkelen en met de juiste partner samen te werken. U zult uzelf in de toekomst bedanken.
Nieuwe technologieën beloven ongekende verbetering in bedrijfsactiviteiten. Emerson helpt klanten bij het navigeren van het complexe traject om daar te komen.
Verken transformatieve ideeën, inspiratie en inzichten van Emerson-leiders in industriële automatisering, wooncomfort en verder.
