Na de hack op de koloniale pijpleiding – een van de meest opvallende aanvallen op kritieke infrastructuur in de VS tot nu toe – heeft de Transportation Security Administration (TSA) van het Department of Homeland Security in 2021 twee ongekende beveiligingsrichtlijnen vrijgegeven, waarbij eigenaren en exploitanten van gas- en vloeistofpijpleidingen strikte nieuwe beveiligingen tegen cyberaanvallen implementeren.
Op 21 juli heeft de TSA een update van deze richtlijnen uitgebracht, waarmee ze haar inspanningen voor een betere bescherming van de energie-infrastructuur in het hele land verdubbelde. Het heeft met name de noodzaak benadrukt van toegangscontrole, referentiebeheer en het gebruik van “compenserende controles” om pijpleidingbeheerders in staat te stellen de nieuwste innovaties te omarmen in de manier waarop ze kritieke systemen beschermen.
Hoewel de update een nieuwe stap vertegenwoordigt in de richting van betere bescherming voor de olie- en gasindustrie, is het belangrijk om te begrijpen dat de richtlijnen alleen niet de enige factoren zijn die van invloed zijn op de beveiligingshoudingen van kritieke infrastructuur. Pijpleidingbeheerders zijn al in actie gekomen; in ons werk met enkele van de grootste TSA-gereguleerde energiebedrijven in Noord-Amerika, zijn we getuige geweest van een fundamentele, positieve verschuiving in hun benadering van cyberbeveiliging, vooral in het afgelopen jaar.
Drie drijfveren voor cyberbeveiliging
Drie belangrijke factoren die verder gaan dan de druk van de overheid, vallen op als de belangrijkste drijfveren achter de versnelling van de adoptieplannen van operators.
1. Het huidige dreigingslandschap verslechtert geleidelijk. Regelgeving gebeurt niet in een vacuüm. Tegenwoordig is ons dreigingslandschap gevaarlijker dan ooit geworden. In de afgelopen twee jaar hebben we talloze cyberaanvallen gezien op kritieke infrastructuur, waaronder hacks op vleesverwerker JBS en de waterbehandelingsfaciliteit in Oldsmar, Fla. Bovendien richten aanvallers zich in toenemende mate op de bedrijven die de ruggengraat vormen van de Amerikaanse toeleveringsketen en de samenleving in het algemeen: olie- en gaspijpleidingen, fabrieken, voedselverwerkers, waterleveranciers en meer.
Deze bedreigingen zullen alleen maar in ernst toenemen. Dit is grotendeels te danken aan de groei van ransomware-as-a-service (RaaS), intensievere samenwerking tussen RaaS en andere cybercriminele groepen zoals access brokers, en een verontrustende toename van Russische en andere door de staat gesponsorde cyberdreigingen die gericht zijn op kritieke Amerikaanse infrastructuur. Afgezien van overheidsvoorschriften, is geen enkele operator die we zijn tegengekomen in staat geweest om deze groeiende risico’s te negeren — of zijn geluk te beproeven tegen deze hackers zonder adequate beschermende maatregelen.
2. Digitalisering legt nieuwe en gevaarlijke kwetsbaarheden bloot. Terwijl aanvallen toenemen, brengt de digitalisering van operaties nieuwe kwetsbaarheden aan het licht. On-site apparatuur zoals programmeerbare logische controllers (PLC’s), SCADA-systemen, gedistribueerde besturingssystemen en Internet of Things (IoT)-apparaten worden steeds vaker op afstand benaderd, waardoor een poreuze perimeter ontstaat die hackers gemakkelijk kunnen binnendringen. Deze trend werd alleen maar verergerd toen bedrijven tijdens de pandemie overgingen op werken op afstand. Nu hebben operators te maken met een aanzienlijk groter aanvalsoppervlak.
Verschillende componenten van de nieuwe richtlijnen van de TSA versterken wat we al wisten dat waar was: met name het belang van het herkennen en verminderen van deze door digitalisering veroorzaakte kwetsbaarheden. De vereisten bevestigen opnieuw de noodzaak om de onderlinge verbinding van operationele technologie (OT), IT en zelfs de cloud te beheersen door de digitale kanalen te beveiligen die de verschillende zones en applicaties met elkaar verbinden. De nieuwe TSA-richtlijnen verdiepen ook de vereisten voor “compenserende maatregelen” om de toegang tot kritieke systemen te beschermen, waarvan vele een beperkte ingebouwde beveiliging hebben. Deze beveiligingen zijn zo belangrijk om te voorkomen dat een aanvaller van zone naar zone of systeem naar systeem kan gaan in het geval van een eerste netwerkinbreuk.
3. Betere beveiliging is niet langer alleen defensief; het is ook de katalysator voor een grotere digitale transformatie. Naast de noodzaak om zich tegen aanvallen te beschermen, zijn operators zich gaan realiseren dat een geavanceerde beveiligingsstrategie een versnelde digitale transformatie kan katalyseren – en dit heeft hen gekatapulteerd tot het implementeren van betere beschermende maatregelen.
Het is algemeen bekend dat een zero-trust beveiligingsarchitectuur, zoals gedefinieerd door het National Institute of Standards in Technology (NIST), de beste aanpak is om operaties tegen bedreigingen te beschermen. Het hart van deze strategie vereist dat elk activum, elke machine of gegevensbron een eigen identiteit heeft, waarbij de onderlinge interacties worden gecontroleerd door beleidsautorisaties. Als zo’n model eenmaal is gerealiseerd, worden de voordelen die verder gaan dan waterdichte beveiliging meteen duidelijk.
Zo noemen leiders op het gebied van cyberbeveiliging van kritieke infrastructuur naar verluidt:, in een onderzoek in opdracht van Xage (registratie vereist),
verbeterde gebruikerservaring, efficiëntere operaties en de mogelijkheid om tijd of geld te besparen als belangrijkste voordelen voor het aannemen van nul vertrouwen. Bovendien kunnen teams, nu elk onderdeel van de operatie is gedigitaliseerd en beveiligd, snel en gemakkelijk gevoelige gegevens met elkaar delen, en kunnen partners gebruikmaken van geschikte gegevensbronnen om beter samen te werken en nieuwe soorten waarde in de toeleveringsketen te stimuleren. Het resultaat is niet alleen defensie, maar ook meer efficiëntie, samenwerking en bedrijfsinnovatie.
Regelgeving is belangrijk, maar ze zijn geen zilveren kogel
De oorspronkelijke beveiligingsrichtlijnen van de TSA, in combinatie met de recente updates, vormen een cruciale katalysator bij het helpen van operators bij het implementeren van betere beschermende maatregelen; toch zijn het niet de enige factoren die vooruitgang stimuleren. Een verslechterend dreigingslandschap, toegenomen digitalisering en de positieve langetermijneffecten van moderne beveiligingsstrategieën dwingen exploitanten van kritieke infrastructuur om het beter te doen. We zijn verheugd te zien dat de nieuwe vereisten bevestigen wat we kennen als best practices voor beveiliging, en we zijn ervan overtuigd dat de bescherming van kritieke infrastructuur in de goede richting zal blijven evolueren.
0 Comments