De energiesector wordt steeds vaker geconfronteerd met de dreiging van cyberaanvallen, en in het bijzonder ransomware-aanvallen. De energiesector staat nu in de top drie van sectoren die dit probleem melden. Wat kan de energiesector doen om zichzelf te beschermen tegen cyberaanvallen? En meer specifiek, hoe kunnen offshore windparken zichzelf beschermen?
DNV, een toonaangevende organisatie voor onafhankelijke energie-experts en technische adviseurs, heeft de resultaten gepubliceerd van een onderzoek naar cyberbeveiliging onder 948 energieprofessionals, dat bestond uit een reeks diepte-interviews met leiders uit de sector en beveiligingsdeskundigen. Uit het onderzoek blijkt dat de sector nog een lange weg te gaan heeft op het gebied van cyberbeveiliging. Dit geldt ook voor offshore windparken. Maar de sector spant zich in om orde op zaken te stellen. Het incident met de Colonial Pipeline in 2021 aan de oostkust van de Verenigde Staten was een wake-up call. Uit het onderzoek blijkt dat de meeste cyberaanvallen gepaard gingen met verstoring van diensten of activiteiten, reputatieschade, verloren of beschadigde gegevens en financiële verliezen (waaronder diefstal, gemiste kansen, enz.).
"Terwijl alle industrieën moeten voorkomen dat hackers gevoelige gegevens uit hun IT-omgeving stelen, moeten energiebedrijven ook de bedreiging voor hun operationele technologieën (OT) beheren - de computer- en communicatiesystemen die ze gebruiken om industriële activiteiten te beheren, bewaken en controleren", zegt DNV. Dat is een serieuze uitdaging die het werk aanzienlijk moeilijker maakt. "Naarmate OT meer genetwerkt wordt en meer verbonden is met IT, zien cyberaanvallers - waaronder buitenlandse mogendheden, terroristen, concurrenten en criminele bendes - een kans om kritieke infrastructuur in beslag te nemen, of het nu is om losgeld te eisen, informatie te stelen of wijdverspreide verstoring te veroorzaken."
Omdat de industrieën waar hackers zich in het verleden op richtten, zoals financiële diensten, moeilijker te infiltreren zijn geworden na wijdverspreide inspanningen om belangrijke toegangspunten te beveiligen, richten ze zich nu op onder andere energiebedrijven.
Hoop op het beste
Veel bedrijfsdirecteuren denken dat het onwaarschijnlijk is dat ze het doelwit worden van een cyberaanval, dus hopen ze er maar het beste van. Maar de respondenten die ervaring hebben met cyberbeveiliging denken daar anders over. Zij zijn pessimistischer over de bedreigingen waarmee hun organisaties worden geconfronteerd en zien de noodzaak in van een beter beveiligingsbeleid. Dus leiders zijn zich bewust van het risico dat hun bedrijf loopt, maar gespecialiseerde leidinggevenden brengen hun boodschap misschien niet over aan alle besluitvormers.
Drie principes
Het streven om zo goed mogelijk bestand te zijn tegen bedreigingen is een werk in uitvoering. De energiesector kan alleen volwassen worden op het gebied van cyberbeveiliging als wordt geaccepteerd dat dit een doorlopend proces is. DNV raadt energiebedrijven aan drie principes te hanteren om de cyberbeveiliging van hun IT- en OT-platforms te verbeteren.
Het eerste principe is om budgetten toe te wijzen voor het updaten van IT- en OT-beveiliging. Leidinggevenden moeten zich bewust zijn van het rendement op investeringen in beveiliging, bijvoorbeeld door te investeren in certificering, zoals de ISA/IEC 62443-normen voor cyberbeveiliging.
Het tweede principe is bepalen waar bedrijven kwetsbaar zijn. Ze hebben dus een duidelijk en volledig overzicht nodig van hun informatie- en controlesystemen en die van hun leveranciers.
Het derde principe is het vinden van een balans tussen investeringen in training en technologie.
