Er bestaat geen twijfel over: digitalisering zorgt voor ongekende mogelijkheden. Weet u het nog? Wat een paar jaar geleden nog ondenkbaar was, is nu realiteit geworden. De keerzijde is echter dat er door digitalisering bedreigingen en kwetsbaarheden ontstaan. Iedere activiteit in de olie- en gassector loopt risico vanwege kwetsbaarheden in de cyberbeveiliging. Ongewenste voorvallen, zowel bedoeld als onbedoeld, kunnen van invloed zijn op personen, bedrijven en de maatschappij in het algemeen.
In de afgelopen jaren is gebleken dat de energie- en oliesectoren het grootste risico lopen. Onze technologie verandert en de methoden die worden gebruikt door hackers worden steeds innovatiever en geavanceerder.
Digitale kwetsbaarheiden in de olie- en gassector
Waarom nemen cyberaanvallen op de olie- en gassector toe? Is dit een historisch feit?
Laten we eerst bekijken hoe we er momenteel voor staan: industriële automatiserings-, besturings- en beveiligingssystemen die in de olie- en gassector worden gebruikt, zijn veelal gedigitaliseerd en afhankelijk van digitale technologie. In het verleden waren dergelijke systemen eigendom van het bedrijf, terwijl ze vandaag de dag grotendeels zijn gebaseerd op commercieel verkrijgbare onderdelen, zoals een pc met een Microsoft Windows-besturingssysteem. Dat betekent dat de bekende zwakke plekken van deze in de handel verkrijgbare standaardproducten ook in deze sector bestaan.
Dergelijke ontwikkelingen zijn ook zichtbaar op het gebied van netwerken. De netwerken die worden gebruikt tussen de procesapparatuur en besturingssystemen waren in het verleden afgezonderde en bedrijfseigen systemen, maar zijn nu gebaseerd op internettechnologie. Daarnaast waren industriële automatiserings- en bedieningssystemen fysiek gescheiden van traditionele informatiesystemen en open netwerken. De huidige noodzaak om productiegegevens over te dragen naar informatiesystemen en onderhoud op afstand uit te voeren houdt in dat een scheiding nu nagenoeg onmogelijk is. Onderhoud op afstand wordt steeds vaker vanuit een locatie op het land of vanaf een naastgelegen platform uitgevoerd, waarvoor het gebruik van gedeelde computernetwerken noodzakelijk kan zijn. De productieapparatuur wordt daardoor blootgesteld aan netwerkgerelateerde risico’s.
Top 10 kwetsbaarheden in de cyberbeveiliging binnen de olie- en gassector
- Gebrek aan bewustzijn over cyberbeveiliging en geen training van het personeel
- Bediening en onderhoud op afstand
- Gebruik van standaard IT-producten met bekende kwetsbaarheden in de productieomgeving
- Een beperkte cyberveiligheidscultuur onder verkopers, leveranciers en contractanten
- Onvoldoende scheiding van gegevensnetwerken
- Gebruik van mobiele apparaten en opslageenheden, waaronder smartphones
- Gegevensnetwerken tussen faciliteiten aan land en op zee
- Onvoldoende fysieke beveiliging van serverruimtes, kasten, enz.
- Kwetsbare software
- Verouderde bedieningssystemen in fabrieken
De gevolgen van ongewenste incidenten veroorzaakt door cyberkwetsbaarheden
Klanten vragen me vaak: wat zijn de voornaamste kwetsbaarheden in de cyberbeveiliging binnen de olie- en gassector? Het antwoord is eenvoudig: de mensen zelf!
Kwaadaardige code kan zich meestal verspreiden als gevolg van menselijke fouten. Iemand opent een bijlage van een e-mail, steekt een geheugenstick in een pc, laadt een mobiele telefoon op, sluit een laptop aan op een kritieke netwerk, enzovoort. Met mobiele telefoons kan ook eenvoudig verbinding gemaakt met het internet. Of gebruikers worden gemanipuleerd om wachtwoorden prijs te geven. Menselijke fouten vormen het grootste risico in deze sector.
De gevolgen van ongewenste incidenten veroorzaakt door cyberkwetsbaarheden zijn voornamelijk financieel. De productie moet worden stilgelegd en dat betekent verlies van inkomsten voor de sector. In de maatschappij zien we dat terug als een daling in directe en indirecte belastingen. Ongewenste voorvallen betekenen reputatieverlies voor het bedrijf. Als saboteurs of terroristische organisaties erin slagen controle te krijgen over cruciale productiefaciliteiten, heeft dat in het ergste geval schade aan het milieu en dodelijke slachtoffers tot gevolg.
Afhankelijkheid
Om de uitstoot van CO2 – veroorzaakt door het genereren van elektriciteit door oliefabrieken – te verlagen, wordt de stroom vaak vanaf de kust aangevoerd (elektrificatie). Veel van deze fabrieken moeten de productie stopzetten in het geval van een stroomstoring aan land.
Er wordt al langere tijd steeds meer aandacht besteed aan digitale kwetsbaarheden in stroomdistributiesystemen. Dergelijke distributiesystemen zijn complexe netwerkstructuren die sterk afhankelijk zijn van beheer- en bedieningssystemen.
Voorbereiden op noodgevallen
Uit een officieus, internationaal onderzoek naar bedrijven in de sector bleek dat slechts 40% van de bedrijven een incidentenresponsplan/bedrijfscontinuïteitsplan heeft waarin digitale kwetsbaarheden aan bod komen en wordt beschreven hoe er moet worden gereageerd op een cyberaanval. Er wordt met name aandacht besteed aan de voorbereiding op brand, explosies, uitbraken, enzovoort.
Toekomstige problemen en trends
Op het moment dat dit verslag wordt geschreven, ligt de olieprijs onder de 40 USD per vat en is het onzeker hoe de prijs zich in de toekomst gaat ontwikkelen. Dit betekent dat de sector de kosten moet verlagen willen bedrijven winstgevend blijven. Dit is een grote uitdaging, omdat de kostenverlagende maatregelen van invloed kunnen zijn op de voortdurende verbetering van de veiligheid. Een grotere focus op kosten-batenanalysen en nieuwe werkwijzen zijn belangrijke elementen voor de toekomst.
De digitalisering van de sector gaat door. Door het gebruik van ‘the Internet of Things’ (IIoT) komen er meer eenheden bij die gevoelig zijn voor cyberaanvallen. Er worden steeds meer gegevens verzonden en standaard IT-apparatuur wordt steeds vaker geïntegreerd in specialistische bedieningssystemen.
Meer en meer kritieke functies, infrastructuur en informatie moeten vanuit veiligheidsoogpunt worden beschermd. Bovendien is er een groter risico dat personen slachtoffer worden van spionage, sabotage en terroristische daden en andere ernstige incidenten.
De belangrijkste risicobeperkende maatregelen
Wat kan er worden gedaan om olie- en gasplatforms te beschermen tegen cyberaanvallen?
Er worden barrières geïntroduceerd om het risico te verkleinen. Dat gebeurt enerzijds om te voorkomen dat een ongewenst voorval optreedt en anderzijds om de gevolgen van een ongewenst voorval te beperken. Er is steeds meer aandacht voor barrières die ongewenste voorvallen voorkomen. De kwaliteit van deze barrières is echter in beperkte mate getest en bevestigd. Een firewall is niet genoeg. Extra maatregelen, waaronder het openen/sluiten van toegangspunten, procedures en werkprocessen, zijn ook noodzakelijk.
In de meeste gevallen zijn er niet genoeg apparaten en routines om te detecteren dat hackers het al op de lopende activiteiten in een systeem hebben gemunt. Daarnaast is het personeel onvoldoende getraind om de negatieve gevolgen te voorkomen wanneer er een vermoeden bestaat dat er een incident gaat optreden.
Wat afzonderlijke entiteiten moeten implementeren om kwetsbaarheden in de cyberbeveiliging te verhelpen
Regelgevende instanties dienen functionele vereisten in te voeren, zodat barrières die digitale kwetsbaarheden beschermen verplicht worden. Kwetsbaarheden in de cyberbeveiliging moeten in de juiste risicoanalysen worden opgenomen.
Bedrijven moeten werken aan een cultuur waarin digitale kwetsbaarheden worden voorkomen, net zoals ze brand en explosies willen voorkomen. Maatregelen om het bewustzijn te vergroten moeten prioriteit krijgen binnen de sector en onder de bevolking. Scholen moeten meer aandacht besteden aan het gebruik van digitale media.
Vooruitzicht
Misschien duizelt het u als u denkt aan wat er allemaal mis kan gaan met de cyberbeveiliging. Het is echter mogelijk om de juiste maatregelen te nemen om te voorkomen dat aanvallers uw systeem binnendringen. Heeft u alle noodzakelijke maatregelen al geïntegreerd? Zo niet, neem dan contact op met ons cyberbeveiligingsteam. We helpen u graag.
