De energiesector wordt steeds vaker geconfronteerd met de dreiging van cyberaanvallen, en met name ransomware-aanvallen. De energiesector staat nu in de top drie van industrieën die dit probleem melden. Wat kan de energiesector doen om zich tegen cyberaanvallen te beschermen? En meer specifiek, hoe kunnen offshore windmolenparken zichzelf beschermen?
DNV, een toonaangevende organisatie voor onafhankelijke energiedeskundigen en technisch adviseurs, heeft de resultaten gepubliceerd van een cyberbeveiligingsonderzoek onder 948 energieprofessionals, waarbij een reeks diepte-interviews met industrieleiders en beveiligingsexperts werd gehouden. Uit het onderzoek blijkt dat de industrie nog een lange weg te gaan heeft wanneer het gaat om cyberbeveiliging. Dit geldt ook voor offshore-windmolenparken. Maar de sector spant zich in om zaken op orde te stellen. Het incident met de Colonial Pipeline aan de oostkust van de Verenigde Staten in 2021 was een wake-up call. Uit het onderzoek blijkt dat het merendeel van de cyberaanvallen gepaard ging met onderbreking van diensten of activiteiten, reputatieschade, verloren of beschadigde gegevens en financiële verliezen (inclusief diefstal, gemiste kansen, enz.).
“Hoewel alle industrieën moeten voorkomen dat hackers gevoelige gegevens uit hun IT-omgeving stelen, moeten energiebedrijven ook de dreiging voor hun operationele technologieën (OT) – de computer- en communicatiesystemen die ze gebruiken om industriële activiteiten te beheren, bewaken en controleren – beheersen”, aldus DNV. Dat is een serieuze uitdaging die het werk aanzienlijk bemoeilijkt. “Naarmate OT meer genetwerkt en verbonden raakt met IT, zien cyberaanvallers – waaronder buitenlandse mogendheden, terroristen, concurrenten en criminele bendes – kans om zich meester te maken van kritieke infrastructuur, of het nu is om losgeld te eisen, inlichtingen te stelen of grootschalige ontwrichting te veroorzaken.”
Omdat de sectoren die in het verleden het doelwit waren van hackers, zoals de financiële dienstverlening, moeilijker te infiltreren zijn geworden nadat op grote schaal inspanningen waren geleverd om de belangrijkste toegangspunten te beveiligen, richten zij zich nu onder meer op energiebedrijven.
Hopen op het beste
Veel directeuren van bedrijven denken dat het onwaarschijnlijk is dat ze het doelwit van een cyberaanval worden, dus hopen ze maar op het beste. Maar de respondenten die ervaring hebben met cyberbeveiliging denken daar anders over. Zij geven een pessimistischer beeld van de dreigingen waarmee hun organisaties worden geconfronteerd, en zij zien de noodzaak in van een beter beveiligingsbeleid. Leiders zijn zich dus bewust van het risico dat hun bedrijf loopt, maar het kan zijn dat gespecialiseerde leidinggevenden hun boodschap niet overbrengen aan alle besluitvormers.
Drie principes
Het streven om zo goed mogelijk resistent te zijn tegen bedreigingen is een werk in uitvoering. Als de energiesector volwassen wil worden op het gebied van cyberbeveiliging, moet zij accepteren dat dit een continu proces is. DNV beveelt energiebedrijven aan drie principes te hanteren om de cyberbeveiliging van hun IT- en OT-platforms te verbeteren.
Het eerste principe is het toewijzen van budgetten voor het actualiseren van de IT- en OT-beveiliging. Leidinggevenden moeten zich bewust zijn van het rendement van investeringen in beveiliging, bijvoorbeeld door te investeren in certificering, zoals de ISA/IEC 62443-normen voor cyberbeveiliging.
Het tweede principe is het bepalen waar bedrijven kwetsbaar zijn. Zij moeten dus een duidelijk en volledig overzicht hebben van hun informatie- en controlesystemen en ook van die van hun leveranciers.
Het derde principe is het vinden van een evenwicht tussen investeringen in opleiding en technologie.