What the hack, cybersecurity in de bouw en civiele techniek

20210609-stumico-what-the-hack ICT speelt een steeds grotere rol in de bouw en GWW, waardoor zowel productieprocessen als projecten er afhankelijker van worden. Elke ICT-toepassing is echter kwetsbaar voor cyberaanvallen, met mogelijk disruptieve gevolgen. Tijdens het virtuele Stumico-event ‘What the hack’ werd duidelijk welke gevaren er allemaal op de loer liggen en hoe organisaties zich daartegen kunnen beschermen. Als praktijkvoorbeeld is onder andere het calamiteitenplan cybercrisis van Rijkswaterstaat gepresenteerd.

Bewustzijn en alertheid vergroten

Volgens Wouter Parent, ethisch hacker en cyber risico analist van WeSecureIT is het niet een kwestie van of we gehackt kunnen worden, maar wanneer en hoe groot de gevolgen zijn. Hij vertelde als eerste gastexpert hoe hackers denken en werken en hoe ransomware, phishing, vishing en CEO fraude werken. Uit de cyberaanval die logistiek dienstverlener Maersk in Rotterdam ruim 200 miljoen euro heeft gekost wordt duidelijk dat de impact groot kan zijn. Ook de aanvallen op de Universiteit Maastricht en gemeente Hof van Twente zijn bekende succesvoorbeelden. Verder toonde het stilleggen van oliepijpleidingen in de VS aan dat ook goed beveiligde infrastructuur kwetsbaar is voor een cyberaanval. Behalve hackers die uit financiële motieven bedrijven en invloedrijke mensen afpersen zijn er volgens Parent ook hackers in overheidsdienst die kwetsbaarheden in andere landen proberen te vinden en te misbruiken. Daarom is niet alleen preventie belangrijk maar ook de wijze waarop een organisatie en haar medewerkers omgaan met een cyberaanval. Een belangrijk advies voor betere preventie en verdediging is het vergroten van ieders bewustzijn en alertheid dat een cyberaanval kan plaatsvinden en wat de mogelijke gevolgen zijn.  

Risicoanalyse

Parent verhoogde het bewustzijn voor cyberaanvallen bij alle deelnemende Stumico-leden met praktische voorbeelden. Bijvoorbeeld de cyberrisico’s gerelateerd aan thuiswerken en het toenemend gebruik van (gratis) cloudservices. Providers die grote hoeveelheden data voor klanten beheren, denk aan dropbox en emaildiensten maar ook wetransfer, zijn vanzelfsprekend interessante doelwitten voor hackers. Zeker als deze diensten via een gratis account worden gebruikt moet men zichzelf afvragen wat daartegenover staat. Datzelfde geldt voor alle gratis toegankelijke WiFi-netwerken. Een tweede belangrijk advies is een risicoanalyse te maken van welke onderdelen van de ICT-infrastuctuur welke kwetsbaarheden kunnen hebben en hoe deze zo goed mogelijk te beschermen. Bijvoorbeeld door beveiligde VPN-verbindingen, multi-factor authenticatie en encryptietechnieken te gebruiken. Weeg bij de risicoanalyse ook af wat de kosten zijn voor meer beveiliging versus de mogelijke schade van een cyberaanval of datadiefstal. Uit het recente nieuws dat de FBI bijna 64 van de 75 betaalde bitcoins aan losgeld voor de cyberaanval op Colonial Pipeline weer heeft teruggepakt blijkt dat (ethische) hackers tot veel in staat zijn.

Perspectief maakindustrie en bouwsector

De tweede gastexpert was Liesbeth Holterman, strategisch adviseur cybersecurity centrum maakindustrie van Novel-T. Zij belichtte cybersecurity vanuit het perspectief van de maakindustrie en de bouw en deelde de resultaten van een onderzoek onder 40 bedrijven in Overijssel. Daaruit blijkt dat:

  • ICT-beheer vaak is uitbesteed
  • Patchen blijft aandachtspunt
  • Back-up wordt vaak vergeten
  • Digitalisering productieomgeving nog in de kinderschoenen
  • Opportunistische aanvallen leiden tot incidenten
  • Weinig afspraken in de supply chain

Verder blijft ondanks alle investeringen in security-oplossingen de mens nog vaak een zwakke schakel. Daarom pleit Holterman voor training van de medewerkers, duidelijke rollen en verantwoordelijkheden, het delen van ervaringen met elkaar en meer afstemming in de keten en in bouwteams.

Crisismanagement Rijkswaterstaat

Als laatste expert vertelde Tessa Mulders, adviseur crisismanagement bij Rijkswaterstaat, hoe haar werkgever omgaat met een cybercrisis. Crisismanagement is bij Rijkswaterstaat de taak van een landelijke afdeling die onder Verkeer- en Watermanagement valt, met accounthouders die deel uitmaken van het landelijke onderdeel Centrale Informatie Voorziening (CIV). Rijkswaterstaat heeft uiteraard een calamiteitenplan cybercrisis en scenario’s om mogelijke oorzaken, bronnen, geraakte systemen en infrastructuur te analyseren. Daarin wordt onderscheid gemaakt tussen niet-moedwillig technisch of menselijk falen en moedwillige hacks, spionage en terrorisme. Als er een calamiteit gebeurt wordt dat gemeld door het Security Operations Center van de Centrale Informatie Voorziening, dat de infrastructuur monitort. Vervolgens komt dan afhankelijk van allerlei criteria het Computer Emergency Response Team (CERT) en een crisisteam CIV in actie. Indien nodig wordt daarna in een 2de fase opgeschaald naar een landelijk Crisisteam Rijkswaterstaat (CT RWS) en in een 3de fase naar een Corporate Crisisteam (CCT). Hoewel ook bij Rijkswaterstaat een cyberaanval niet altijd te voorkomen is, zijn ze er goed op voorbereid!

Lees ook
Proofpoint: Bestuursleden zijn niet voorbereid op cyberaanval

Proofpoint: Bestuursleden zijn niet voorbereid op cyberaanval

Proofpoint, een toonaangevend cybersecurity- en compliancebedrijf, en Cybersecurity at MIT Sloan (CAMS), een interdisciplinair onderzoekscollectief, presenteren het Cybersecurity: The 2022 Board Perspective-rapport. Dit rapport onderzoekt hoe bestuurders aankijken tegen de belangrijkste uitdagingen en risico’s voor hun organisaties. Hieruit blijkt dat...

Het creëren van de juiste gewoontes is essentieel voor online veiligheid

Het creëren van de juiste gewoontes is essentieel voor online veiligheid

Voor veel mensen klinkt cybersecurity als een ver-van-mijn-bed-show en wordt het vaak beschouwd als de verantwoordelijkheid van beveiligingsteams. Maar aanvallers houden zich niet aan deze rolverdeling. Ze vallen mensen op elke afdeling en op elk niveau aan die toegang hebben tot gevoelige data, vaak zelfs voordat beveiligingsteams tijd hebben om de...

‘Integreer cyberveilig gedrag in je personeelsbeleid’

‘Integreer cyberveilig gedrag in je personeelsbeleid’

Organisaties moeten meer doen om cyberveilig gedrag te stimuleren. Zo is het heel belangrijk om security-awareness mee te nemen in hr-processen zoals recruitment en evaluatiegesprekken.