Howest en Agoria onderzoeken hoe het gesteld is met cyberveiligheid in de industrie. Het eindrapport van de enquête verschijnt eind november, maar VLAIO kreeg al een tussentijdse inkijk in de belangrijkste trends. “We nemen grote risico’s.”

De Industrial Cybersecurity Survey Belgium 2020 wil aan de hand van 60 vragen nagaan hoe ver maakbedrijven staan in de strijd tegen cybercriminaliteit. Het initiatief komt van technologiefederatie Agoria en de onderzoeksgroep IC4 van Howest in samenwerking met UGent-campus Kortrijk.
De enquête werd intussen ingevuld door 53 maakbedrijven. In afwachting van het definitieve rapport, deelt VLAIO vandaag enkele belangrijke trends. De resultaten hieronder zijn dus nog niet definitief.
59% was al slachtoffer
Een eerste vaststelling: 36% van de bedrijven geeft aan dat ze de afgelopen drie jaar het slachtoffer waren van cybercriminaliteit. Kijken we verder in het verleden, dan was zelfs 59% van de bedrijven al slachtoffer. Dit cijfers ligt potentieel zelfs nog hoger, aangezien 15% aangeeft “geen idee” te hebben van een mogelijke cyberaanval.

Grote verschillen tussen IT en OT
Zeer opvallend zijn ook de verschillen tussen IT en OT, de operationele technologie voor het aansturen van industriële processen zoals PLC’s. Zo geeft 45% van de bedrijven aan dat ze wél een actieplan hebben voor de IT-processen na een cyberaanval (Incident Resonse Plan), maar niet voor de industriële controlesystemen (ICS). Slechts 21% beschikt over een actieplan voor zowel IT als ICS. Nog eens 28% zegt dat er geen plan is voor het omgaan met een cyberaanval. 6% heeft geen idee.

Externe expertise
Van de 53 deelnemende bedrijven heeft 47% een cybersecurityverantwoordelijke aangesteld. Opnieuw opvallend is dat slechts 13% aangeeft dat de veiligheidsverantwoordelijke ook de industriële controlesystemen beheert. Geen enkel bedrijf heeft iemand afzonderlijk op de payroll om de operationele processen te beveiligen. 8% schakelt helemaal geen cyberspecialisten in, intern noch extern.
Verder stelt 30% van de bedrijven dat ze voor hun cybersecurity geen mensen in dienst hebben, maar rekenen op externe expertise. Het belang van partners in cybersecurity is dus aanzienlijk.

Oude PLC's
PLC’s of programmable logic controllers liggen aan de basis van haast alle industriële processen. De meest PLC’s dateren nog van voor het IoT-tijdperk en vormen vanwege hun lange levensduur een belangrijk veiligheidsrisico. Dat blijkt ook uit de enquête.
Slechts 19% van de PLC’s blijkt jonger dan 5 jaar, terwijl de PLC’s bij 38% van de deelnemende bedrijven wel verbonden is met het internet. 34% geeft bovendien aan dat ze de cyberveiligheid van hun operationele systemen nooit testen, bijvoorbeeld met een pentest of kwetsbaarheidsscan.
Deze situatie zal bovendien niet snel wijzigen, slechts 17% van de bedrijven overweegt om het komende jaar te investeren in de PLC-omgeving.
Andere opvallende inzichten
- 49% sensibiliseert niet rond cyberveiligheid
- 19% van de operatoren volgde al een training ter bewustmaking
- 45% heeft geen aandacht voor cyberveiligheid bij de aankoop van nieuwe machines
- 25% heeft geen budget voor industriële cyberveiligheid (dus OT/ICS)
- 51% verwacht het komende jaar een cyberaanval
- 53% heeft geen cyberverzekering
4 conclusies
Kurt Callewaert, projectleider van de industrie 4.0-proeftuin ICI 4.0 en coördinator van de enquête in samenwerking met Agoria, trekt uit deze voorlopige resultaten vier prangende conclusies:
- “Bedrijven moeten er werk van maken om de IT- en OT wereld samen te brengen, zodat ze een gemeenschappelijke cybersecuritybeleid kunnen uitwerken.”
- “Maakbedrijven nemen vandaag grote risico’s op het vlak van cyberveiligheid. Er zijn tal van kwetsbaarheden in OT-netwerken die hackers kunnen uitbuiten.”
- “Fabrikanten van industriële toestellen doen grote inspanningen om hun producten cyberveilig te maken, maar PLC’s hebben een lange levensduur waardoor het probleem niet snel is opgelost.”
- “Toch zien we ook dat veel bedrijven wel degelijk beseffen dat ze mogelijk het slachtoffer kunnen zijn van een cyberaanval.”