Beheren van cyberrisico's en -bedreigingen: terug naar de fundamentele uitgangspunten

Elke dag is er nieuws over weer een cyberaanval. Er was eerder dit jaar een SolarWinds-hack die van invloed was op grote bedrijven, waaronder Microsoft, Intel en Cisco; De Colonial Pipeline-aanval die de olie- en gastoevoer verstoorde door operationele stillegging als voorzorg; en de LockBit ransomware-aanvallen die onlangs impact hebben gehad op het wereldwijde adviesbureau Accenture, en de lijst gaat verder. Onthullingen van hacken van onafhankelijke criminele organisaties en door de overheid gesponsorde groepen leiden tot steeds meer bezorgdheid binnen bedrijfsbesturen, de overheidsdirectoraten en wetgevende instanties.

Deze cyberaanvallen maken niet noodzakelijkerwijs gebruik van nieuwe aanvalstechnieken, en ze worden helaas steeds ernstiger en komen steeds vaker voor. Hoewel geen enkele productie-organisatie kan garanderen dat het nooit door een aanval wordt beïnvloed, zijn er fundamentele acties die bedrijfs- en cyberveiligheidsleiders kunnen ondernemen om silo's te verwijderen, holistisch te werken en beste praktijken te implementeren om het risico van dit soort bedreigingen te reduceren.

We weten dat deze zorgen top-of-mind zijn voor de sector en wij werken elke dag met klanten om te helpen bij het creëren van een sterke basis en het minimaliseren van risico's. Hier vindt u de basisrichtlijnen die we onze productieklanten het meest aanbevelen.

Bedrijfsactiviteiten toewijzen
Fabrikanten moeten hun bedrijfs- en productiesystemen toewijzen aan elke functie, inkomstenstroom of missie. Dit zal helpen bij het bieden van inzicht in en eigendom van elk proces en het bereiken van doelstellingen voor bedrijfscontinuïteit en veerkracht rond cyberaanvallen, zoals scenario's voor bedrijfscrisisbeheer. Doorgaans vereist toewijzing van bedrijfsactiviteiten sponsoring van de directie voor functieoverschrijdende belanghebbenden, waaronder productieactiviteiten, cyberveiligheid bij installaties, IT-beveiliging, productiesystemen en bedrijfssystemen, om deel te nemen. Dit kan een zware kluif zijn, dus wees bereid om veel te leren en vraag advies om te helpen bij de implementatie van een kaderbenadering.

Bedreigingen grondig analyseren
Fabrikanten moeten ook een grondige bedreigingsanalyse uitvoeren. Het is een goede gewoonte om, als onderdeel van dit proces, de MITRE ATT&CK-matrices te bekijken, met name de recent ontwikkelde MITRE ICS ATT&CK-matrix, die is gebaseerd op een wereldwijde kennisbank van tactieken van tegenstanders en technieken die bij echte aanvallen worden gebruikt.

Bescherming op het gebied van cyberveiligheid beoordelen
Het is belangrijk om de controles en activiteiten op het gebied van cyberveiligheid die momenteel aanwezig zijn, vast te stellen en te evalueren door middel van een evaluatie of audit van cyberveiligheid. Dit moet de evaluatie van drie belangrijke pijlers omvatten: mensen, processen en technologie, met een focus op mensen en bijscholing voor nieuwe technologieën en processen. Technologie werkt, maar mensen zijn de motor achter het succes. Voor de beoordeling kunt u het beste samenwerken met een automatiseringsleverancier, zoals Emerson, die expertise heeft op dit gebied en vertrouwd is met industriële regelsystemen en -activiteiten.

Ontwikkelen van een defensiestrategie
Met behulp van informatie uit de bedreigingsanalyse en beoordeling van cyberveiligheid moeten bedrijven een diepgaande defensiestrategie ontwikkelen om zwakke punten aan te pakken en risico's te beperken in alle activiteiten die kunnen worden beïnvloed door directe cyberaanvallen, indirecte cyberaanvallen of verlies van operationele capaciteiten. Deze strategie moet voorzien in een op risico gebaseerde prioritering van eventuele hiaten of bedreigingen om ervoor te zorgen dat de hoogste risico's eerst worden aangepakt, waarbij wordt gezorgd voor veerkracht.

Bij het evalueren van die zelfde drie pijlers van mensen, processen en technologie, zien we vaak dat klanten waarde vinden in het zoeken naar externe middelentoewijzing, trainen of bijscholen van hun mensen, of het veranderen van bepaalde processen, technologische controles, systemen of architectuur om te zorgen voor een robuuste verdediging. Het actieplan moet ook worden afgestemd op de bedrijfscontinuïteit en rampenbestrijdingsplannen van de organisatie - net als een operationele storing van afwijkende systemen of mislukte hardware, moeten plannen voor bestrijding van cyberaanvallen worden gedefinieerd, actieve processen met doelstellingen die zijn gericht op inperking en doelstellingen voor hersteltijd.

Deze defensieve strategie moet voorzien in de planning voor de meest ongunstige scenario's. Voor een productie-installatie kan het hebben van een duidelijk back-upplan voor storing van computersystemen, plus papieren versies van orders, labels en contacten, bijvoorbeeld van essentieel belang zijn om handmatige activiteiten gaande te houden als computers uitvallen. Dit is wellicht niet in elk scenario mogelijk, maar door regelmatig herziene back-up- en continuïteitsplannen te hebben, zullen bedrijven in de beste positie staan om operationeel te blijven, zelfs in het geval van een cyberaanval.

Regelmatig beoordelen en bijwerken voor effectiviteit
Zodra de diepgaande defensiestrategie aanwezig is, moet deze methodisch, doelgericht en regelmatig worden getest en gecontroleerd om ervoor te zorgen dat het effectief is en de lopende activiteiten niet in gevaar brengt of andere risico's introduceert. Rollen, verantwoordelijkheden en training van werknemers moeten worden bijgewerkt wanneer er een nieuwe praktijk en technologie wordt geïmplementeerd.

Fabrikanten moeten nu actie ondernemen om de omvang en soorten cyberbedreigingen te begrijpen waarmee hun bedrijf wordt geconfronteerd. De bedreigingen en cyberaanvallen zijn reëel en nemen in aanzienlijke mate toe. Cyberveiligheid moet voor fabrikanten en alle bedrijven top of mind zijn om te zorgen voor gepaste proactieve en defensieve cyberveiligheidsactiviteiten en controles ter bescherming van belangrijke gegevens, processen en bedrijfsactiviteiten. Bedrijfsleiders moeten contact opnemen met hun cyberveiligheidsleiders om erachter te komen wat ze echt nodig hebben om succesvol te zijn, en om vervolgens urgentie en ondersteuning van het bestuursniveau in te stellen om deze risico's te beoordelen, te begrijpen en te beheren.