Van spionage tot sabotage

Tijdens het Industrial Cyber Security event op 8 oktober in Den Bosch spreekt Modderkolk over de invloed van geopolitieke spanningen op onze digitale veiligheid. Zijn we als industrie echt goed beschermd als we ‘compliant’ zijn of gaat het om schijnveiligheid?

Hoe reëel is de dreiging van sabotage of spionage in industriële netwerken?

“Sinds de invasie in Oekraïne in 2022 zien we dat Russische groepen escalerend gedrag vertonen. De focus verschuift van spionage in IT-systemen naar gerichte aanvallen op  industriële netwerken (OT). Dat doe je alleen als je iets kapot wilt maken. De digitalisatie van onze samenleving levert veel op, maar tegelijk maakt het ons kwetsbaar. In mijn presentatie bespreek ik de denkfouten van bedrijven in de omgang met moderne technologie. En welk gevaar hierin schuilt.”

Kun je een voorbeeld geven van een gevaarlijke denkfout?

“Veel bedrijven denken dat ze geen interessant doelwit zijn. Ze beseffen niet dat de meeste hacks bij toeval plaatsvinden, bijvoorbeeld doordat inloggegevens zijn gestolen of ergens een deurtje openstaat in het netwerk. Hackers zijn opportunisten. Ze gaan voor de makkelijkste weg. Waar kan ik binnenkomen en tot welke organisatie of bedrijf leidt dit? Je bent dus niet op voorhand een doelwit, maar je kunt wel slachtoffer worden.”

Waarom is het voor bedrijven zo moeilijk om zich te verdedigen?

“Het speelveld is ongelijk. Een hacker heeft genoeg aan één kleine kwetsbaarheid in de software of hardware om binnen te komen. Als bedrijf moet je continue je zaken op orde hebben.”

“Hackers richten zich op de keten. Neem chipmachinefabrikant ASML. Dit bedrijf werkt samen met duizenden toeleveranciers. Als een kleine startup de beveiliging niet op orde heeft, kan een aanvaller via die achterdeur alsnog bij ASML binnenkomen.”

“Maar het zijn niet alleen de ‘kleine jongens’ die steken laten vallen. In 2021 werd industrieconcern VDL Groep, een van de grootste leveranciers van ASML, een maand platgelegd door ransomware. Een compleet netwerk platleggen lukt alleen als je primaire beveiligingsprocessen niet op orde zijn. Dus zelfs een grote, serieuze partij als VDL heeft ergens steken laten vallen.”

Over welke aantallen hebben we het?

“Nederland telt gemiddeld drie grote ransomzaken per week, wat neerkomt op 150 incidenten per jaar. In werkelijkheid zijn het er waarschijnlijk meer. Het probleem is dat mensen in de top van een organisatie, de raad van bestuur, het moeilijk vinden om prioriteit te geven aan goede beveiliging. Securityprofessionals vragen om budget en investeringen, maar krijgen te weinig. Pas na een incident is iedereen wakker en gaat de geldkraan opeens open. Maar dan is de klap al geweest en zijn gevoelige data weg.”

Zijn bestuurders naïef?  

“Bestuurders denken soms te gemakzuchtig (‘Het zal zo’n vaart niet lopen’) of hun focus is verkeerd. Een berucht voorbeeld zijn bedrijfsovernames. Het moederbedrijf wil zo snel mogelijk operationeel zijn want dat levert geld op. Bestaande IT-netwerken worden vervolgens aan elkaar gekoppeld zonder dat bekend is of die wel compatibel en veilig zijn. Met alle gevolgen van dien.”

In jouw boek ‘Het is oorlog maar niemand die het ziet’ uit 2019 waarschuw je voor digitale dreigingen. Wat is er sindsdien veranderd?

“Rusland is brutaler dan zes jaar geleden en vindt dat het in oorlog is met het Westen. Hacktivisten mengen zich nadrukkelijk in die schaduwoorlog. Russische geheime diensten zoeken bewust naar plekken om te saboteren, zowel fysiek als digitaal. Ze rekruteren criminelen en gefrustreerde mensen via social media om zelfgemaakte bompostpakketjes op vliegtuigen te krijgen. De intentie is om chaos te veroorzaken en het maakt de Russen niet uit of dat fysiek of digitaal gebeurt. Ze hebben een waaier aan mogelijkheden en kiezen de makkelijkste route.”

“Onlangs probeerden Russische hackers om een sluis te openen van een grote haven in een NAVO-land . Dit is mislukt maar het laat wel zien wat de intentie is. In Noorwegen namen Russische hackers een sluis over.”

“China richt zich vooral op industriële spionage. Hun digitale inbraken worden steeds geraffineerder en moeilijker te traceren. NXP, producent van NFC-chips, werd jarenlang gehackt door Chinese actoren die uit waren op technologische kennis. Dit is pas recent bekend geworden.”

Hoe lukt het cybercriminelen om binnen te komen?

“De eerste stap gebeurt vaak veel simpeler dan mensen denken. Overal op het internet slingeren inloggegevens rond. Als je op het dark web zoekt naar ‘werknemer NXP’ kun je waarschijnlijk al inlogdata bemachtigen.”

Welke maatregelen kan de industrie nemen om zichzelf te beschermen?

“Kijk allereerst kritisch hoe het digitale ecosysteem van jouw bedrijf is ingericht en waar de kwetsbare punten zijn. De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om dataminimalisatie toe te passen, maar in de praktijk zie je het tegenovergestelde. Bedrijven verzamelen zoveel mogelijk data van klanten en sturen die achteloos door naar derden. Op een gegeven moment heeft niemand meer het overzicht.”

“Mijn advies: stop daarmee. Gooi onnodige data weg en breng de basishygiëne op orde. Voer multi-factor authenticatie standaard in en laat software alleen door beheerders installeren. Op een dieper niveau adviseer ik om kritisch te kijken wát je digitaliseert. Soms heeft analoog de voorkeur. Crucialewaterkeringen zijn bijvoorbeeld volledig losgekoppeld van het internet omdat men weet dat elke online verbinding in principe hackbaar is. Gemiddeld heeft een groot bedrijf rond de 800 webservers. Dat zijn 800 potentiële ingangspunten voor hackers. Het is ondoenlijk om die 100% te dichten, maar je kunt proberen wel zo veel mogelijk deuren te sluiten of in elk geval het risico op schade te beperken door goede monitoring en het indelen van een netwerk.”

Wat is je belangrijkste boodschap aan bedrijven?

“Beveiliging is geen compliance-oefening. Het is een continu proces van risico’s analyseren en maatregelen nemen. Stel jezelf de vraag: wat kan ik me écht niet veroorloven dat uitvalt? Bedrijven die daar eerlijk naar kijken, hebben hun beveiliging het best op orde.”

Meld je aan voor de lezing en het event