Hoe houden we kritieke infrastructuren zoals het elektriciteitsnet en spoorwegdiensten veilig van cybercriminelen?

Wereldwijd wordt kritieke infrastructuur steeds meer geprivatiseerd. Denk aan consumenten- en satellietcommunicatie (waarvan meer dan de helft al privé is), spoorwegdiensten of nieuwere, groenere sectoren zoals het opladen van elektrische auto’s en zonne-energie. Deze verandering is echter niet zonder gevolgen voor de veiligheid en beveiliging van dit ecosysteem. Daarom krijgt het steeds meer prioriteit van beveiligingsteams.

Door Nathan Howe, GVP of Innovation, Zscaler.
Eén ding is zeker: om kritieke infrastructuren te beschermen, moeten ze eerst worden geïdentificeerd en gedefinieerd. We moeten snel meer inzicht krijgen in de totale nationale kritieke infrastructuur van een land, bepalen hoe we deze infrastructuur definiëren en beslissen welke nieuwe infrastructuren de hoogste prioriteit moeten hebben.

Wat is kritieke infrastructuur?

In april 2023 heeft de regering van het Verenigd Koninkrijk haar definitie en classificatie van nationale kritieke infrastructuur aangepast. Het gaat om ‘de kritieke onderdelen van de infrastructuur (bedrijfsmiddelen, systemen, netwerken of processen en de essentiële werknemers die deze bedienen en faciliteren). Het verlies of de compromittering hiervan kan: grote nadelige gevolgen hebben voor de beschikbaarheid, integriteit of levering van essentiële diensten – inclusief de diensten waarvan de integriteit, indien gecompromitteerd, zou kunnen leiden tot slachtoffers of een aanzienlijk verlies van levens – rekening houdend met aanzienlijke economische of sociale gevolgen; en/of aanzienlijke gevolgen voor de nationale veiligheid, de nationale defensie of het functioneren van de staat’. Op dit moment zijn er dertien nationale infrastructuursectoren, waaronder communicatie, energie, transport en water.

In Duitsland wordt infrastructuur gezien als ‘kritiek’ als het ‘van groot belang is voor het functioneren van moderne samenlevingen en elke storing of verslechtering zou leiden tot  aanhoudende verstoringen in het hele systeem’. Daar hebben aanhoudende zorgen over de veiligheid van kritieke infrastructuren in 2015 geleid tot het aannemen van de IT security Act. Exploitanten van kritieke infrastructuren, waarop deze wet van toepassing is, moeten ‘aan het Federaal Bureau voor Informatiebeveiliging (BSI) aantonen dat ze voldoen aan de IT-beveiligingsnormen, en ze moeten IT-beveiligingsincidenten melden aan het BSI’.

Geen wereldwijde standaardisatie

Hoewel er al veel landen zijn die identificeren welke sectoren als kritiek moeten worden aangemerkt, moeten andere landen dit voorbeeld nog volgen. Doordat er geen wereldwijde standaardisatie is, is er een gebrek aan consistente bescherming en uniformering. Dit biedt hackers meer kansen om hier misbruik van te maken en op exponentiële schaal schade aan te richten.

Belangrijker dan ooit is het risico dat gepaard gaat met de uitbreiding van innovatie. Verouderde kritieke infrastructuur, zoals de civiele nucleaire en chemische industrie, wordt zwaar beschermd door fysieke verdedigingswerken om indringers buiten te houden. Nieuwere sectoren, zoals het opladen van elektrische voertuigen en zonne-energie, hebben niet dezelfde luxe. Daar wordt bescherming vaak als bijzaak gezien. Omdat veel van deze nieuwe technologieën worden ontwikkeld om direct door burgers te worden gebruikt, zijn cyberbeveiligingsoplossingen het enige alternatief voor fysieke muren en sloten.

Het potentiële gevaar van innovatie

We nemen de technologie van opladers van elektrische voertuigen als voorbeeld. Deze technologie is erg toegankelijk: of bij tankstations of op minder beveiligde plekken waar burgers er eenvoudig toegang tot hebben. In dit geval variëren de risico’s van individuen die misbruik willen maken van internetbandbreedte, tot mensen die betalingssystemen willen hacken. Aangezien de laadpoorten vaak eenvoudig kunnen worden gehackt, vormen ze een aanzienlijk risico voor de bredere nationale kritieke infrastructuren waar ze mee verbonden zijn en mee communiceren, zoals elektriciteits-, financiële en internetnetwerken. Als er geen fysieke controle is, dan is cyberbeveiliging cruciaal om de aanvalsvector te beperken.

Een ander modern voorbeeld zijn zonnepanelen. Ondanks het maatschappelijke belang heeft de energiesector zich langzamer dan andere sectoren aangepast aan digitale technologie vanwege zijn totale omvang en de behoefte aan een hoge systeembeschikbaarheid. En dat terwijl elektriciteitsnetten wereldwijd wordt gezien als een van de meest kritieke onderdelen van het IT-ecosysteem van een land.

Nu groenere alternatieven voor traditionele energie steeds populairder worden, is de hoeveelheid hernieuwbare energie toegenomen – van windparken op zee tot een huishouden dat zelf zonne-energie opwekt. Om dit toegenomen gebruik van digitale technologie aan te kunnen, zijn meer networking-mogelijkheden nodig. Bovendien verbindt het onderdelen die voorheen geïsoleerd waren met grotere communicatienetwerken. Hierdoor worden ze steeds vaker blootgesteld aan externe netwerken zoals het internet, wat resulteert in een groter aanvalsoppervlak.

Natuurlijk worden nieuwe oplossingen zoals zonnepanelen voor huishoudens niet zo streng gecontroleerd als die van nationale energiebedrijven. Het gevolg is dat de hardware en software kunnen worden geïdentificeerd door aanvallers, die vervolgens de controle kunnen overnemen over de stroom die wordt teruggeleverd aan het elektriciteitsnet. Hierdoor kan een aanvaller aanzienlijke schade aanrichten, zelfs als hij een relatief kleine hoeveelheid energie controleert, door gebruik te maken van cascade-effecten. Door misbruik te maken van deze controle kan een aanvaller het hele systeem platleggen, waardoor distributie en transmissie op nationale schaal worden beïnvloed.

Wie is verantwoordelijk voor het beschermen van de nationale infrastructuur?

Er staat steeds meer op het spel. Daarom wordt steeds vaker de vraag gesteld wie verantwoordelijk is voor het beschermen van het veranderende en groeiende infrastructuurlandschap. Of het nu overheden, organisaties of individuen zelf zijn, het is belangrijk dat de verantwoordelijke partij of partijen de juiste balans vinden tussen innovatie en regelgeving. Om een mogelijke ramp in de toekomst te voorkomen, moeten landen wereldwijd nú een veilige basis creëren voor de moderne samenleving, zonder het risico van cyberdreiging.

Een zero trust-oplossing

Om de nationale kritieke infrastructuur te beschermen tegen de cybergevaren van privatisering en snelle innovatie zonder regelgeving, zijn drie stappen cruciaal en zero trust biedt alle drie. Ten eerste: inzicht in het risico. Ten tweede: identificatie van de kritieke data die moeten worden beveiligd. En ten derde: de implementatie van bescherming voor die data. Zero trust kan landen, overheden en organisaties inzicht bieden in het risicolandschap én hen helpen om zich tegen beveiligingsrisico’s te beschermen.

Hoe gedetailleerder de cyberbeveiliging, hoe beter. De belangrijkste les voor degenen die verantwoordelijk zijn voor het beschermen van de nationale kritieke infrastructuur, is vanaf het begin af aan de juiste infrastructuurstrategie te implementeren – vooral omdat er wereldwijde of landelijke regelgeving zal komen over hoe de beveiliging van deze nieuwe en steeds meer geprivatiseerde sectoren eruit moet zien.

Dit is een artikel door Nathan Howe, GVP of Innovation van Zscaler. Zscaler is een cloudbeveiligingsbedrijf dat digitale transformatie versnelt en klanten meer agile, efficiënt, veerkrachtig en veilig maakt. Het Zscaler Zero Trust Exchange-platform beschermt wereldwijd duizenden klanten en miljarden transacties per dag en is het grootste inline cloud security-platform ter wereld.