Energiesector verwacht fysieke schade en doden door meer extreme cyberaanvallen

84 procent verwacht fysieke schade aan middelen en 57 procent verwacht verlies van levens. Dat blijkt uit het rapport The Cyberpriority van DNV. Het achterliggende onderzoek is gebaseerd op een enquête onder meer dan 940 energieprofessionals over de hele wereld en diepte-interviews met hooggeplaatste managers uit de industrie.

Russische invasie
Het rapport over de huidige staat van cyberveiligheid in de energiesector, stelt vast dat meer dan 80 procent van de professionals die werkzaam zijn in de sectoren elektriciteit, hernieuwbare energie, en olie en gas ervan uitgaat dat een cyberaanval waarschijnlijk zal leiden tot bedrijfsonderbrekingen (85 procent) en schade aan de energie-inventaris en kritieke infrastructuur (84 procent).

Na een aantal opvallende schendingen van de veiligheid in de energiesector in de afgelopen jaren is de vrees voor nieuwe en meer extreme gevolgen van cyberaanvallen gegroeid. Uit het onderzoek van DNV komt ook naar voren dat de bezorgdheid over opkomende dreigingen is toegenomen na de Russische invasie van Oekraïne. Volgens 67 procent van de respondenten hebben recente cyberaanvallen hun organisaties aangespoord om belangrijke veranderingen aan te brengen in hun beveiligingsstrategieën en -systemen.

Operationele technologie
‘Energiebedrijven houden zich al tientallen jaren bezig met IT-beveiliging. Het beveiligen van operationele technologie (OT) – de computer- en communicatiesystemen die bedrijfsactiviteiten beheren, monitoren en controleren – is echter een recentere en steeds urgentere uitdaging voor de sector’, aldus Trond Solberg, managing director Cyber Security bij DNV. ‘Naarmate OT meer geïntegreerd wordt in netwerken en IT-systemen, kunnen aanvallers controle krijgen over systemen die kritieke infrastructuur bedienen, zoals elektriciteitsnetten, windparken, pijpleidingen en raffinaderijen. Uit ons onderzoek blijkt dat de energiesector zich steeds meer bewust wordt van de dreigingen voor OT, maar dat er sneller actie moet worden ondernomen om die te bestrijden. Minder dan de helft (47 procent) van de energieprofessionals gelooft dat hun OT-beveiliging net zo sterk is als hun IT-beveiliging.’

Actie blijft achter
6 op de 10 bevraagde managers, van het C-level, erkennen dat hun organisatie nu kwetsbaarder is voor een aanval dan ooit. Sommige bedrijven lijken echter een ‘wait, see and hope for the best’ -aanpak te volgen om de bedreiging aan te pakken.

Minder dan de helft (44 procent) van de respondenten vindt dat ze de komende jaren dringend verbeteringen moeten aanbrengen om een ernstige aanval op hun bedrijf te voorkomen, en meer dan een derde (35 procent) zegt dat ze pas na een ernstig incident zouden investeren in beveiliging. Een verklaring voor de kennelijke aarzeling van sommige bedrijven om te investeren in cyberbeveiliging is volgens de onderzoekers misschien dat de meeste respondenten geloven dat hun organisatie tot nu toe een grote cyberaanval heeft vermeden. Minder dan een kwart (22 procent) vermoedt dat hun organisatie de afgelopen 5 jaar te maken heeft gehad met een ernstige aanval.

Hopen
‘Het is zorgwekkend dat sommige energiebedrijven “op het beste hopen” in plaats van opkomende cyberdreigingen actief aan te pakken’, stelt Solberg. ‘In die zin zijn er duidelijke parallellen met de geleidelijke invoering van fysieke veiligheidspraktijken in de energiesector in de afgelopen 50 jaar.’

DNV adviseert om de zwakke plekken, waar kritieke infrastructuur kwetsbaar is voor aanvallen, in kaart te brengen als eerste stap voor het versterken van de beveiliging. Uit het onderzoek blijkt dat veel organisaties hierin investeren, maar dat deze inspanningen niet voldoende worden uitgebreid naar bedrijven waarmee ze samenwerken en waarbij ze inkopen. Slechts 28 procent van de energieprofessionals die met OT werken, zegt dat hun bedrijf de cyberveiligheid van hun toeleveringsketen een hoge prioriteit voor investeringen maakt. Daartegenover bevestigt 45 procent van deze groep dat investeringen in upgrades van IT-systemen een hoge prioriteit hebben.