18 juli 2014 -
Nieuw onderzoek van Unisys Corporation toont wereldwijd zorgwekkende gaten in de beveiliging van kritieke infrastructuur aan.
Bijna 70 procent van de ondervraagde organisaties die verantwoordelijk zijn voor energie, water en andere kritieke voorzieningen, rapporteerde minstens één inbreuk op de beveiliging die leidde tot het verlies van vertrouwelijke informatie of verstoring van de activiteiten in de afgelopen twaalf maanden. Dit blijkt uit een onderzoek dat is vrijgegeven in samenwerking met het Ponemon Institute.
Ernstige aanvallen verwacht
In een onderzoek onder 599 beveiligingsexperts werkzaam bij nutsbedrijven, de verwerkingsindustrie en olie-, gas- en energiemaatschappijen, verwacht 64 procent van de respondenten het komende jaar één of meer ernstige aanvallen. Ondanks dit risico schaart slechts 38 procent beveiliging onder de top vijf strategische prioriteiten van hun organisatie, terwijl een meerderheid het minimaliseren van downtime als topprioriteit ziet. "De bevindingen van het onderzoek zijn opzienbarend, gezien het feit dat deze sectoren de ruggengraat van de wereldeconomie vormen en zich geen verstoringen kunnen veroorloven," zegt Dr. Larry Ponemon, voorzitter en oprichter van het Ponemon Institute. "Hoewel de wens voor een betere beveiliging zeker aanwezig is bij deze bedrijven, wordt er absoluut niet genoeg gedaan om onze kritieke infrastructuur tegen aanvallen te beveiligen."
Beveiliging nog in kinderschoenen
Slechts één op de zes respondenten beschrijft het IT-beveiligingsprogramma van hun organisatie als volwassen. Respondenten die data-inbreuken in het afgelopen jaar rapporteerden, schreven deze incidenten meestal toe aan een interne fout en nalatige medewerkers werden dan ook als de grootste bedreiging voor de beveiliging van het bedrijf gezien. Ondanks deze bevindingen, biedt slechts zes procent van de respondenten een opleiding voor digitale beveiliging aan alle medewerkers. "Of ze nu opzettelijk of per ongeluk ontstaan, interne bedreigingen zijn net zo reëel en destructief als bedreigingen van buitenaf," zegt Dave Frymier, chief information security officer bij Unisys. "We hopen dat de resultaten van het onderzoek zullen dienen als een wake-up call voor leveranciers van kritieke infrastructuur. Ze hebben een veel proactievere en holistischer benadering nodig voor de beveiliging van hun IT-systemen. Er moeten maatregelen worden genomen voordat zich een incident voordoet en niet pas als het te laat is."
Zorgen van leidinggevenden
Het onderzoek laat ook de zorgen zien die veel van deze leidinggevenden hebben ten aanzien van de beveiliging van industriële controlesystemen (ICS) en Supervisory Control en Data Acquisition (SCADA) systemen, die de processen en handelingen voor energieopwekking en andere kritieke infrastructuur monitoren en beheren. Wanneer er werd gevraagd naar de waarschijnlijkheid van een aanval op de ICS of SCADA-systemen van hun organisaties, antwoordde 78 procent van de senior beveiligingsprofessionals dat een succesvolle aanval op zijn minst waarschijnlijk is binnen de komende 24 maanden. Slechts 21 procent van de respondenten vond dat het risiconiveau voor ICS en SCADA aanzienlijk was gedaald als gevolg van regelgeving en industriële veiligheidsnormen. Dit betekent dat strengere controlemechanismen noodzakelijk zijn en dat er een betere vaststelling van normen moet komen.
Quote uit het rapport: ''Respondenten die data-inbreuken in het afgelopen jaar rapporteerden, schreven deze incidenten meestal toe aan een interne fout en nalatige medewerkers werden dan ook als de grootste bedreiging voor de beveiliging van het bedrijf gezien.'' Goede, degelijke Security Awareness training is dus noodzakelijk.
