Kloof tussen snelle detectie en herstel in kritieke infrastructuur
De cyberveiligheid van onze kritieke industriële systemen staat onder zware druk. Hoewel beveiligingsteams er steeds sneller in slagen een aanval te detecteren, blijft het herstelproces een gevaarlijke achilleshiel. Uit nieuw onderzoek van het SANS Institute blijkt dat bijna de helft van de incidenten binnen een etmaal wordt opgemerkt, maar dat het volledig herstel in bijna één op de vijf gevallen meer dan een maand in beslag neemt.
Dit is de belangrijkste conclusie uit het recente State of ICS/OT Security Report, waarvoor meer dan 330 professionals in industriële cyberbeveiliging wereldwijd zijn ondervraagd. De bevindingen wijzen op een groeiende kloof: snelle detectie wordt tenietgedaan door trage, inconsistente en risicovolle herstelprocedures in cruciale sectoren als energie, transport en productie.
Detectie binnen 24 uur, herstel duurt weken
Het onderzoek toont aan dat industriële organisaties grote stappen hebben gezet in de detectie van cyberaanvallen. Bijna de helft van alle incidenten werd binnen 24 uur geïdentificeerd. Een groot deel, 60%, werd binnen 48 uur ingedamd. Dit snelle ingrijpen staat echter in schril contrast met de tijd die nodig is om volledig te herstellen:
19% van de organisaties had meer dan een maand nodig voor volledig herstel.
Meer dan één op de vijf organisaties (ruim 20%) meldde het afgelopen jaar een cyberincident. Hiervan leidde 40% tot operationele verstoring.
"Deze cijfers laten zien onder welke druk industriële teams staan," stelt Jason D. Christopher, gecertificeerd instructeur bij SANS Institute en betrokken bij het onderzoek. "Organisaties signaleren problemen snel. De uitdaging zit hem echter in wat er gebeurt nadat de alarmbellen zijn gaan rinkelen. Veilig herstel in industriële omgevingen is complex en afhankelijk van geoefende procedures en gecoördineerde besluitvorming. Zonder deze voorbereiding duurt herstel langer en groeit het risico."
Externe Toegang: de grootste bedreiging
Het onderzoek identificeert ongeautoriseerde externe toegang als de oorzaak van de helft van alle cyberincidenten. Dit wijst op een kritieke kwetsbaarheid. Slechts 13% van de respondenten heeft geavanceerde, ICS-bewuste controles ter bescherming tegen dit risico volledig geïmplementeerd.
Daarbij komt dat de zichtbaarheid voor beveiligingsteams drastisch afneemt naarmate zij dichter bij de controllers en procesapparatuur komen. Slechts 12,6% meldde volledige zichtbaarheid op de ICS Cyber Kill Chain, wat het vroegtijdig detecteren van gevaarlijke wijzigingen ernstig belemmert.
De waarde van regelgeving en oefening
Het rapport benadrukt de positieve invloed van externe factoren, zoals regelgeving en operationele dreigingsinformatie.
Hoewel gereguleerde locaties niet minder incidenten rapporteerden, kenden zij wel bijna 50 procent minder financiële verliezen en veiligheidsincidenten. Dit suggereert dat compliance-eisen organisaties dwingen tot betere risicobeperking.
Bovendien toont het onderzoek aan dat organisaties die ICS-specifieke dreigingsinformatie actief inzetten, aanzienlijk betere verdedigingsresultaten en een versnelde segmentatie van hun netwerken rapporteerden.
"Industriële operaties kunnen niet uitsluitend vertrouwen op detectie," aldus Christopher. "Organisaties die verder gaan dan afvinklijstjes en inlichtingen, compliance en oefeningen omzetten in routinepraktijken, zijn degenen die downtime verkorten en hun mensen en apparatuur beschermen."
Het volledige SANS State of ICS/OT Security Report is hier te downloaden.
Meer over back-up
Over Witold Kepinski
