Rond 2025 zullen cyberaanvallers over technologie beschikken waarmee ze in staat zijn mensen fysieke schade toe te brengen of te doden. Malware zal dan gericht ingezet worden voor moord. Organisaties kunnen de risico’s slechts beperken door een stevig raamwerk van beveiligingscontroles in te bouwen. Doen zij dit niet, dan gaan uiteindelijk bestuurders aansprakelijk gesteld worden. Dat voorspelt Gartner Inc., internationaal onderzoeks- en adviesbureau in de informatietechnologie-sector, tijdens een onlangs gehouden kennisevenement.
Door de toenemende vervlechting tussen IT en bedrijfsmiddelen hebben cyberaanvallen steeds meer gevolgen voor de fysieke wereld. Aanvallen worden steeds vaker uitgevoerd op Operationele Technologie – de hardware en software die apparatuur, bedrijfsmiddelen en processen bewaakt of bestuurt. Had zo’n aanval voorheen ‘slechts’ procesonderbreking tot gevolg, bijvoorbeeld het stilleggen van een fabriek, nu worden hele industriële omgevingen in gevaar gebracht, met het uiteindelijke doel fysieke schade te veroorzaken.
Nutsvoorzieningen
Ook nutsvoorzieningen lopen gevaar. Colonial Pipeline moest in mei dit jaar door een hack de brandstoftoevoer naar tankstations aan de Amerikaanse oostkust enkele dagen stil leggen. En een waterleidingbedrijf in Californië wist in februari op het nippertje te voorkomen dat een hacker een gevaarlijke dosis natriumhydroxide (gootsteenontstopper) aan het drinkwater toevoegde.
Dergelijke incidenten laten zien dat er behoefte is aan goed gesegmenteerde netwerken voor IT en Operationele Technologie (OT). Gartner raadt organisaties aan om een raamwerk van beveiligingscontroles in te voeren om allereerst de houding van medewerkers ten aanzien van beveiliging te verbeteren, en daarnaast te voorkomen dat incidenten in de digitale wereld effect hebben op de fysieke wereld. Uit navraag bij de eigen klanten blijkt echter dat o.a. productie- en nutsbedrijven moeite hebben om geschikte controlekaders te definiëren, aldus het bedrijf. “De verantwoordelijken voor beveiliging en risicobeheer in operationele omgevingen zouden zich meer zorgen moeten maken over de echte gevaren voor mens en milieu, dan over informatiediefstal”, zegt Wam Voster, senior onderzoeksdirecteur bij Gartner Research.
Volgens Gartner hebben beveiligingsincidenten in OT en andere cyber-fysieke systemen drie hoofddoelen: daadwerkelijke schade, commercieel vandalisme (verminderde output) en reputatieschade (waardoor een fabrikant onbetrouwbaar wordt). Gartner voorspelt dat de financiële impact van aanvallen op cyber-fysieke systemen met dodelijke slachtoffers in 2023 meer dan 50 miljard dollar zal bedragen. Daarbij zijn de waarde van mensenlevens, de kosten voor compensatie, rechtszaken, verzekeringen, boetes van regelgevende instanties en reputatieverlies nog niet meegeteld. Volgens Gartner zullen de meeste CEO’s persoonlijk aansprakelijk gesteld gaan worden voor dergelijke incidenten.
