Een goede cyberhygiëne is essentieel om de beveiliging van vitale digitale systemen op peil te houden. Gelukkig neemt de aandacht voor cyber security ook in de chemische sector toe. Marieke Klaver, program manager bij TNO, vertelde hier meer over tijdens het LabSafety event op 10 mei 2022.
Door: Dimitri Reijerman
Het onderwerp cyber security omvat een groot aantal subthema’s met vaak een technische component. Toch dekt dat niet de gehele lading, zegt Klaver: “De aandacht gaat vaak vooral uit naar de technische component. Maar het gaat om een combinatie van maatregelen op het gebied van processen, mensen en technologie. Deze drie factoren heb je nodig. Bij de chemische industrie zie je dat procedures van dermate belang zijn en de veiligheid zo’n belangrijk aspect vormt, dat cyber security tegenwoordig enorm belangrijk is om ook mee te nemen. Traditioneel is er in laboratoria veel aandacht voor safety, maar juist vanwege de complexiteit in de sector en de verwevenheid van IT met OT zie je dat daar nieuwe kwetsbaarheden en aanvalspaden ontstaan. Doordat het tevens een vitale sector is, zoals het hackincident van Colonial Pipelines vorig jaar bijvoorbeeld liet zien, kan een aanval ook een enorme maatschappelijke impact hebben.”
Klaver geeft een ander voorbeeld van een recent incident: “In februari hebben we nog aanvallen gehad op grote olieterminals in België, Nederland en Duitsland. Deze terminals waren hierdoor tijdelijk buiten bedrijf. Wij houden bij TNO gegevens van dergelijke incidenten bij. Juist om te leren als dat er iets op plaats A gebeurd, wij hier ons daar ook tegen moeten gaan weren. Want vrijwel altijd proberen cybercriminelen vervolgens ook toe te slaan bij plek B. Grenzen bestaan niet of nauwelijks voor het uitvoeren van cyberaanvallen.”
Het is daarom belangrijk om als bedrijf of instantie bij de basis te beginnen. Geďnformeerde medewerkers zijn daarbij van vitaal belang, zegt de TNO-expert: “Je kunt succesvolle cyberaanvallen voorkomen met een aantal basismaatregelen en het bewustzijn bij de medewerkers. Ik ben het helemaal eens met de stelling dat medewerkers een hele belangrijke schakel vormen om organisaties weerbaarder te maken. Laat hen niet dat vrolijk ogende linkje in een e-mail aanklikken of privéapparatuur koppelen aan het bedrijfsnetwerk. Maar denk ook aan hoe je omgaat met bijvoorbeeld leveranciers. Zorg dat daarvoor procedures zijn.”
Publicatie bedrijfsgeheimen
Naast de inmiddels breed toegepaste gijzelsoftware voeren cybercriminelen ook aanvullende acties uitvoeren: “Je ziet dat er in combinatie met ransomware ook steeds vaker informatie wordt gestolen en gepubliceerd. Dat is ook voor labs een aandachtspunt, want naast commerciële informatie kan het ook om persoonlijke of gevoelige informatie gaan. Aanvallers willen zo organisaties verder onder druk zetten om losgeld te betalen.”
Volgens Klaver kunnen internationale conflicten ook een aanleiding zijn om extra op te letten: “Het NCSC (Nationaal Cyber Security Centrum) monitort momenteel alle ontwikkelingen rondom Ukraine. Zij hebben ook onderzocht of de aanvallen op de eerder genoemde olieplatformen uit Russische hoek kwamen. Volgens het NCSC lijkt het tot nu toe mee te vallen. Maar de chemische sector kan een specifiek doelwit zijn. Dat heb je bijvoorbeeld al eerder in het Midden-Oosten gezien.”
Iedereen kan doelwit zijn
Tijdens haar lezing wil Klaver benadrukken dat ieder bedrijf, van groot tot klein, gevaar loopt: “Soms merk je bij bedrijven dat ze denken ‘ach, ik ben niet zo interessant’. Dan halen we altijd de data van ransomware-aanvallen er bij. Op die lijsten staan bedrijven van heel klein tot enorm groot. Dus denk niet dat je veilig bent omdat je moeilijk te vinden bent. Zo staat de aanval op de gemeente Hof van Twente ook niet bij iedereen boven aan de lijst. Ook wordt er opgezien tegen de technische complexiteit en de kosten. Dan wordt er dus toch gedacht ‘mijn deur gaan ze wel voorbij’.”
Klaver wil benadrukken dat de eerste stappen op weg naar cyber security de belangrijkste zijn: “We zien dat veel bedrijven het onderwerp cyber security als overweldigend ervaren. Maar met een aantal basisstappen en het creëren van awareness kun je dus al hele grote stappen maken. Dus mik niet meteen op zware technologische oplossingen, maar weet welke systemen je in huis hebt en waar de kwetsbaarheden zitten. Het DTC (Digital Trust Center) heeft met name voor het mkb bruikbare tips om klein te beginnen en een eerste stappen te zetten.”