Cyber in Manufacturing Industries: a Survey

Het is niet langer ongewoon dat kritische industriële systemen vanaf het internet toegankelijk moeten zijn. De term “remote access” is ondertussen al goed ingeburgerd in het industriële landschap. Een simpele zoekopdracht naar ‘ICS’ systemen op gespecialiseerde sites levert ons echter een lange lijst op met HMI-interfaces die toegankelijk zijn voor het volledige internet, waardoor iedereen functionaliteiten op de HMI kan aanspreken. En dat is uiteraard nog maar het puntje van de ijsberg.

Het spreekt dus van zich dat ook bij alle Agoria lidbedrijven dit onderwerp van cruciaal belang is. Daarom hebben we begin 2020 een vragenlijst opgesteld en de wereld ingestuurd in samenwerking met Agoria. Hiermee is het de bedoeling om te polsen naar de Cyber Security kennis en ervaringen (zowel positief als negatief), alsook de veel gebruikte technologieën binnenin de Belgische bedrijven.

Deze vragenlijst bestond uit 60 vragen en werd uitgestuurd naar meer dan 250 manufacturing bedrijven in België. De finale resultaten moeten nog verwerkt worden en vereisen dieper onderzoek, maar we kunnen al een tipje van de sluier lichten.

Verschillende bedrijven verspreidt over België hebben de vragenlijst ingevuld. Niet heel onverwacht is West-Vlaanderen sterk vertegenwoordigd, gezien IC4 een samenwerking is tussen Howest en UGent campus Kortrijk.

Cyber Awareness

Allereerst werd gevraagd naar gebeurde cyber aanvallen in het bedrijf. Werd het bedrijf reeds aangevallen en hoe lang geleden was dit.

60% van de bevraagde bedrijven gaf aan al slachtoffer geweest te zijn van een cyber aanval. Bij 63% van deze bedrijven gebeurde dat in de afgelopen 3 jaar. 26% van de bedrijven gaf aan nog geen slachtoffer geweest te zijn.

Om een cyber aanval goed te weerstaan is het vaak handig om een CISO in dienst te hebben, oftewel een Chief Information Security Officer. Dat is een persoon die zich voornamelijk bezig houdt met de cyber beveiliging van het bedrijf en de eerste persoon die aangesproken wordt bij een aanval. 98% procent van de bevraagde bedrijven volgt deze goede practice en gaf aan dat er een CISO aangesteld was binnenin het bedrijf. Helaas wordt dit bij 43% van de bedrijven enkel georganiseerd voor het IT-netwerk. Industriële netwerken blijven dus te vaak nog in de kou staan. Dezelfde trend nemen we waar als het gaat om security policies. 65% heeft dergelijke policies voor IT-omgevingen, tegenover 32% die dit ook voor industriële omgevingen heeft.

Om een aanval beter het hoofd te kunnen bieden, is het ook handig om een incident response plan te hebben. Zo’n plan is essentieel om koelbloedig te kunnen reageren tijdens een cyber aanval. Het verdeelt de taken en zorgt ervoor dat iedereen weet welke stappen er genomen moeten worden. 42% van de bevraagde bedrijven heeft zo’n plan, maar enkel voor IT-omgevingen. 23% heeft dit ook voor industriële omgevingen.
Naast een incident response plan, kan een bedrijf ook een business continuity plan opstellen. Adhv dit plan kan de productie (zoveel mogelijk) gegarandeerd worden tijdens een cyber aanval. Een disaster recovery plan helpt dan weer om na een aanval zo rap mogelijk de productie terug te kunnen opstarten.

Voor beide plannen liggen de cijfers gelijklopend met die van het incident response plan.

Rapportering

Het is ook essentieel om te weten wie u kunt contacteren in geval van een cyber aanval. Door zulke aanvallen te melden aan officiële instanties, helpt u mee bij het onderzoek naar grootschalige aanvallen & eventuele opsporing van de daders. Het correct in beeld brengen van cyber aanvallen over Belgische bedrijven kan ook sensibiliserend werken. Een eenvoudige vergelijking kan gemaakt worden met huisinbraken. Indien u weet dat meerdere huizen in uw straat al het slachtoffer waren van inbraken, zult u voordat u naar het werk vertrekt, toch nog eens controleren dat uw achterdeur wel zeker op slot is.
Een zelfde gedachtegang werkt ook in de industrie.

De verstandigste beslissing is om na een incident, zo snel mogelijk contact op te nemen met de politie of met het CCB, het Cybersecurity Center van België. In sommige gevallen wordt dat zelfs verplicht door de GDPR en NIS wetgeving, zoals het geval is bij databreaches.
Van de ondervraagden gaf 30% aan om naar de politie te stappen in geval van een cyber aanval. 18% stapt zelfs naar het CCB.

Certificering

Vanuit Europa worden ook verschillende standaarden aangeboden inzake cyber security. De voornaamste zijn de ISO 27001 en de IEC 62443.

De ISO 27001 spreekt zich voornamelijk uit over cybersecurity op vlak van IT, terwijl de IEC 62443 zich toespitst op security voor industriële automatisatie en controle systemen.

57% van de bevraagden gaf aan geen standaard toe te passen of ermee bezig te zijn, terwijl 17% onderzoekt of het mogelijk is. Enkel 12% van de bedrijven is bezig met een standaard te implementeren of heeft het al geïmplementeerd. Het merendeel focust zich om de ISO 27001 standaard. Enkel 2% heeft zich gecertificeerd voor de IEC 62443.

Enkele inzichten

• 50 % van de bedrijven organiseert geen security awareness trainingen om zo het personeel weerbaarder te maken tegen cyber aanvallen.
• 17% van de bedrijven geeft een security awareness training aan operatoren.
• 45% van de bedrijven heeft geen aandacht voor de cyber security bij het aankopen van nieuwe industriële hardware.
• 22% van de bedrijven heeft geen budget om cyber security te organiseren of verbeteren binnen de industriële omgeving.
• 50% van de bevraagde bedrijven heeft geen cyber security verzekering. Een minderheid van 8% van de bedrijven heeft zo’n beveiliging.
• 45% van de bedrijven verwacht dat ze waarschijnlijk tot zeer waarschijnlijk binnenin het jaar nog slachtoffer zullen zijn van een cyber aanval.

(Industriële) hardware en software

Onder ingenieurs wordt soms wel eens al lachend gezegd “if it ain’t broke, don’t fix it“. En dat blijkt ook uit onze bevraging. Amper 17% van de PLC’s werd in de afgelopen 5 jaar geïnstalleerd. Terwijl 33% van alle PLC’s wel aangesloten werd op een netwerk dat te bereiken is via het internet.
Het is natuurlijk niet zo dat een PLC automatisch onveilig is als het verbonden is met het internet, maar er zijn toch enkele risico’s die geanalyseerd moeten worden bij dergelijke setups.
15% van de PLC’s wordt trouwens nooit geüpdatet.

Een situatie waar niet vlug verandering in zal komen zonder bijkomende inspanningen, want amper 17% van de bevraagde bedrijven is van plan om komend jaar te investeren in de PLC omgeving.

32% van alle bedrijven gaf ook aan nog nooit een security audit te hebben uitgevoerd op de industriële omgeving. Hieronder verstaan we dan een pentest, waarin IT specialisten kwetsbaarheden zoeken op het netwerk, of een simpele kwetsbaarheid scan, die het netwerk afgaat en openstaande services onderzoekt.

Verder werd er ook nagevraagd welke protocollen voornamelijk gebruikt worden op het industrieel netwerk. Hoewel Ethernet TCP/IP geen uitsluitend industrieel protocol is, wordt deze bij 62% van de bedrijven gebruikt. Daarnaast vinden we de logische protocollen : profibus, profinet, OPC UA, Modbus TCP/IP, Ethernet/IP. Allen met een aandeel groter dan 10%. Opvallend is dat bij de bevraagde bedrijven OPC DA minder sterk aanwezig is dan OPC UA. Een trend die wij als industriële security onderzoeksgroep alleen maar kunnen aanmoedigen!

Er werd ook onderzocht welke besturingssystemen er aanwezig waren bij verschillende bedrijven. Hoewel Windows 10, het nieuwste besturingssysteem van Microsoft, met 25% zeer goed scoort, blijft Windows 7 toch nog sterker vertegenwoordigd. Temeer opvallend, want sinds 17 januari 2020 biedt Windows geen nieuwe updates meer aan voor dit besturingssysteem. Alle nieuwe kwetsbaarheden die gevonden worden zullen dus niet meer gepatched worden. Wat toch wel een serieus beveiligingsrisico betekent. Sterker nog, 57% van alle bevraagde bedrijven hebben computers staan waarvoor nooit meer nieuwe updates zullen worden uitgebracht! De beveiliging van een netwerk is maar zo sterk als de zwakste schakel. Verouderde besturingssystemen zijn een schoolvoorbeeld van zo’n zwakke schakel.

Daarnaast werd er ook onderzocht hoe vaak systemen geüpdatet worden. 12% geeft aan nooit hun computer up te daten. Iets wat we toch sterk afraden. Amper 27% van de bedrijven laat de updates automatisch verlopen. Iets wat te begrijpen valt, gezien veel bedrijf-specifieke software niet goed overweg kunnen met updates, maar het blijft dus duidelijk een aandachtspunt onder de bedrijven.

(voorlopig) Besluit

Uit de voorlopige resultaten blijkt dat industriële security een grote uitdaging blijft voor Belgische bedrijven. De voorbije jaren zijn er grote sprongen gemaakt om de IT-omgeving van bedrijven veiliger te maken. Maar er wordt weinig aandacht geschonken aan de industriële kant van een bedrijf.

OT cyber security blijft dus een grote uitdaging. Nog groter zelfs dan IT beveiliging, waar het updaten van toestellen veel gemakkelijker is.

Een volledige analyse van alle antwoorden op de 60 vragen zal begin 2021 jaar gepubliceerd worden.

Indien u vragen heeft kunt u altijd een email sturen naar info@ic4.be .