Zoek
Sluit dit zoekvak.

ICS en OT dreigingsvoorspellingen voor 2024

We verwachten geen snelle veranderingen in het landschap van industriële cyberdreigingen in 2024. De meeste hieronder beschreven trends zijn eerder waargenomen, velen al enkele jaren. Sommigen van hen hebben echter een kritieke massa van sluipende veranderingen bereikt, die al in het komende jaar tot een kwalitatieve verschuiving in het dreigingslandschap zou kunnen leiden.

Ransomware

  1. Ransomware blijft in 2024 de nummer één plaag voor industriële bedrijven.

In 2023 consolideerden ransomware-aanvallen hun positie bovenaan de ranglijst van informatiebeveiligingsdreigingen voor industriële bedrijven. Zoals blijkt uit de officiële verklaringen van organisaties die getroffen zijn door cyberincidenten in H1 2023, veroorzaakte minstens één op de zes ransomware-aanvallen een stilstand in de productie of levering van producten. In sommige gevallen werd de schade van de aanval geschat op honderden miljoenen dollars. Op dit moment is er geen reden om aan te nemen dat de dreiging in de nabije toekomst zal afnemen.

2. Ransomware-aanvallen op grote organisaties, leveranciers van unieke producten (apparatuur, materialen), of grote logistieke en transportbedrijven kunnen ernstige economische en sociale gevolgen hebben.

Vandaag de dag leidt volgens getroffen bedrijven minstens 18% van de ransomware-aanvallen op industriële bedrijven tot verstoringen in de productie en/of productlevering. Bovendien richten cybercriminelen zich duidelijk op “upmarket” bij hun keuze van slachtoffers, waarbij ze de voorkeur geven aan grote organisaties die in staat zijn om een aanzienlijk losgeld te betalen.

Dit creëert een situatie waarin aanvallers, opzettelijk of per ongeluk, opnieuw de grens kunnen overschrijden waarbij de gevolgen van de aanval infrastructureel worden, zoals in het geval van Colonial Pipeline. Als voorbeeld, een recente aanval op DP World, de in Dubai gevestigde internationale containerterminal- en supply chain-operator, bracht het werk in de havens in Melbourne, Sydney, Brisbane en Fremantle tot stilstand, waardoor ongeveer 30.000 containers niet konden worden afgeleverd.

3. De ransomware-markt gaat naar een hoogtepunt, dat kan worden gevolgd door een afname of stagnatie. Potentiële slachtoffers zullen waarschijnlijk niet snel immuun worden voor aanvallen. Ze kunnen echter leren om de impact effectiever te beperken (bijvoorbeeld door het beter beveiligen van de meest vertrouwelijke gegevens en met goede back-up- en incidentresponsplannen).

Als dit ertoe leidt dat slachtoffers minder vaak en minder geld uitkeren, zullen cybercriminelen nieuwe soorten doelen en nieuwe schema’s moeten vinden om aanvallen te monetariseren. Potentiële ontwikkelingsrichtingen:

  • Aanvallen op logistieke en transportbedrijven kunnen gericht zijn op de voertuigen zelf (auto’s, schepen) in plaats van op de IT-infrastructuur die de operaties ondersteunt.

    Op het eerste gezicht zou de grote variëteit aan voertuigen in parken en vloten de uitvoering van zo’n aanval bemoeilijken en de ontwikkelingskosten voor de aanvallers aanzienlijk verhogen. Echter, in plaats van één specifieke eigenaar of exploitant, zou de aanval zich kunnen richten op meerdere voertuigen van een bepaald type met identieke of vergelijkbare interne besturingssystemen.

    Een andere factor die de aanval vergemakkelijkt, is dat vlooteigenaren en exploitanten voertuigen vaak uitrusten met hun eigen op maat gemaakte telemetrie-verzamelsystemen, die vaak standaard over externe besturingsmogelijkheden beschikken (bijvoorbeeld om de firmware op afstand te herschrijven of om de te verzamelen dataset te wijzigen). Voertuigfabrikanten en serviceproviders doen soms hetzelfde. Als gevolg hiervan wordt dit vector haalbaar.

    In geval van een dergelijke aanval zal het slachtoffer niet in staat zijn om de operaties zelf te herstellen zonder kosten te maken die het bedrijf niet langer levensvatbaar maken. Het is veel gemakkelijker om de werking van versleutelde IT-systemen te herstellen (bijvoorbeeld vanaf back-ups) dan om zelfs een technisch eenvoudig probleem op te lossen dat van invloed is op voertuigen die verspreid zijn over een groot gebied (bijvoorbeeld het verwijderen van malware die voorkomt dat een vrachtwagenmotor start of de stroom onderbreekt in een schip). Bedrijven kunnen zichzelf mogelijk niet in staat vinden om de operaties op tijd en zonder onacceptabele financiële verliezen weer normaal te laten verlopen.
  • Dezelfde vector is ook van toepassing op eigenaars en exploitanten van verschillende gespecialiseerde apparatuur die werken op afgelegen moeilijk bereikbare locaties, zoals in mijnbouw of landbouw.
  • Het probleem van het cyberbeveiligen van meerdere moeilijk bereikbare locaties is ook relevant voor olie- en gasbedrijven, nutsbedrijven en, in het algemeen, elke organisatie met een sterk gedistribueerde OT-infrastructuur. Een aanval op een verre afgelegen locatie die de mogelijkheid van remote recovery uitsluit (bijvoorbeeld omdat het reguliere remote access-kanaal geblokkeerd is door malware) garandeert een losgelduitbetaling.
  • Niet-conventionele methoden voor het monetariseren van aanvallen (bijvoorbeeld via beursspeculatie) op economisch significante ondernemingen – grote transport- en logistieke organisaties, grote mijnbouwbedrijven, fabrikanten en leveranciers van materialen (zoals metalen, legeringen of composieten), landbouw- en voedingsproducten, leveranciers van unieke/gevraagde producten, waarvan tekorten moeilijk snel te dekken zijn (zoals microchips of meststoffen).

    Verstoringen in de productlevering van dergelijke ondernemingen kunnen aanzienlijke invloed hebben op hun marktprijs. Naast de directe gevolgen kunnen er kettingreacties en indirecte neveneffecten optreden. Denk aan hoe de Shamoon-aanval op Saudi Aramco een schokgolf teweegbracht in de prijs van harde schijven wereldwijd, na de onverwachte beslissing van het bedrijf om de harde schijven van alle computers die door de aanval waren getroffen te vervangen door nieuwe.

Hacktivisten

4. Politiek gemotiveerd hacktivisme langs geopolitieke breuklijnen zal scherpere tanden krijgen en meer destructieve gevolgen hebben.

We herinneren ons allemaal de opvallende hacktivistische aanvallen op spoorwegen en tankstations in Iran in 2021 waarvoor de pro-Israëlische hacktivistische groep de verantwoordelijkheid opeiste. En we zagen veel meer gevallen vorig jaar: de irrigatiesystemen die werden getroffen in Israël, de aanvallen op de in Israël gemaakte Unitronics Vision all-in-one (PLC met geïntegreerde HMI) oplossingen die hun slachtoffers vonden in de VS en Ierland en nog een aanval op Iraanse tankstations in 2023. Los van het PR-effect, was de daadwerkelijke schaal van de negatieve gevolgen vrij bescheiden in al deze gevallen.

Dat gezegd hebbende, hebben meer recente hacktivistische aanvallen laten zien dat het mogelijk is om toegang te krijgen tot OT-systemen. In sommige vergelijkbare gevallen die dit jaar door Kaspersky ICS CERT werden onderzocht, was het slechts een lichte tekortkoming in de voorbereiding en volharding van de aanvallers die de slachtoffers behoedde voor fysieke schade. Oplopende spanningen kunnen politiek gemotiveerde hacktivistische aanvallen wel eens naar een geheel nieuw bedreigingsniveau tillen.

5. Naast protestbewegingen binnen landen tegen de achtergrond van toenemende sociale spanningen (veroorzaakt door religieuze en etnische conflicten en groeiende economische instabiliteit in veel regio’s van de planeet), zullen we een groeiend kosmopolitisch protest-hacktivisme zien, zoals dat gedreven wordt door—of, omgekeerd, gericht is tegen—de introductie van een nieuwe sociaal-culturele en macro-economische agenda. Een voorbeeld, gerelateerd aan milieubescherming en groene technologie, is het zogenaamde “eco-hacktivisme”, zoals de aanval op een mijnbouwbedrijf in Guatemala door de Guacamaya Roja hacktivistische groep).

6. De algehele toename van hacktivisme over de hele wereld zal meer individuen en groepen inspireren om hun eigen strijd te beginnen voor “wat dan ook”, zelfs “gewoon voor de lol”, vergelijkbaar met de aanval op het Idaho National Laboratory door de hacktivistische groep SiegedSec dit jaar.

Van grijze zone naar schaduwen

7. Wijdverbreid gebruik van “offensieve cybersecurity” voor het verzamelen van cyberdreigingsinlichtingen zal zowel positieve als negatieve gevolgen hebben.

Enerzijds zullen we enige verbetering zien in de bedrijfsbeveiliging, aangezien offensieve cyberdreigingsinlichtingen de gebruiker signalen zullen geven van potentiële compromissen niet alleen met de telemetrie van beveiligingsoplossingen, incidentonderzoek, indirecte bronnen en het dark web, zoals traditionele cyberdreigingsinlichtingen doen, maar ook rechtstreeks vanuit door de aanvaller gecontroleerde infrastructuur. Dit zal slachtoffers in staat stellen om de systeembeveiliging sneller en efficiënter te herstellen.

Anderzijds, door de nieuwe norm te worden (hoewel niet officieel gelegaliseerd, maar toegepast met de stilzwijgende toestemming van regeringen), zal de ontwikkeling van offensieve cyberinlichtingen ook negatieve gevolgen hebben voor de grens tussen de grijze zone en de schaduwen. Het is mogelijk dat deze te dun is en dat de verleiding om deze over te steken te groot is. Na de staten zullen sommige commerciële ondernemingen misschien proberen te profiteren van de hulp van commerciële aanbieders van offensieve inlichtingenoplossingen en -diensten, inclusief voor niet-cyberbeveiligingsdoeleinden. En sommige industriële bedrijven zouden ook wel eens in het spel kunnen zitten. Dit kan met name gelden voor de zeer concurrerende ecosystemen, zoals in de bouw, mijnbouw en energie, evenals in vele andere industriële sectoren.

Deze “op winst gerichte” cyberactiviteiten zullen nog meer gericht zijn dan we gewend zijn te zien in APT-campagnes. Campagnes zullen voornamelijk worden bewapend met commerciële en open-source tools, waardoor ze hun activiteiten kunnen maskeren tegen de over het algemeen hoge achtergrond van cybercriminele aanvallen. Als gevolg hiervan zullen de operaties nog minder vaak worden gedetecteerd en onderzocht dan de APT-campagnes.

Bedreigingen met betrekking tot logistiek en transport

8. De voortdurende en snelle automatisering en digitalisering van logistiek en transport zullen leiden tot:

  • Grotere verstrengeling van cyber- en traditionele criminaliteit, met name in lang gevestigde criminele gebieden zoals:
    • Diefstal van auto’s, van toepassing op alle moderne auto’s, maar vooral relevant voor de Aziatische merken en verwacht voor de nieuwe automerken vanwege de agressieve snelle-to-the-market-strategie die meestal prioriteit geeft aan cyberbeveiligingsvolwassenheid als een van de eerste dingen om op te offeren.
    • Maritieme piraterij en logistieke verstoringen aangedreven door cybermiddelen—als een logisch gevolg van bekende aanvalstactieken en -technologieën, zoals de laatste tapping AISs (Automated Tracking Systems) in de Rode Zee en de Indische Oceaan of de aanval op de Iraanse Shahid Rajaee haven terminal terug in 2020.
    • Diefstal van goederen met behulp van cybermiddelen.
    • Smokkel aangedreven door cybermiddelen—als de ontwikkeling van tactieken gebruikt in de beruchte “Ocean’s Thirteen” zaak in de haven van Antwerpen.
    • Andere logistieke en transportfraude bijvoorbeeld, ontvangst van geld met betrekking tot verzekeringsclaims/annuleringsboetes, en vele andere schema’s, sommige moeilijk te voorspellen, zoals knoeien met DRM als een middel van oneerlijke concurrentie dat we onlangs zagen in Polen.
  • Verhoogde kans op fysieke gevolgen van niet-gerichte aanvallen. Er zijn al bekende gevallen van besmetting van voertuigen van verschillende typen met malware. Als we naar de nabije toekomst kijken, door de adoptie van “traditionele” besturingssystemen zoals Android en Linux in transport, de wijdverspreide integratie van standaard IT-componenten en communicatieprotocollen, en het toenemende aantal gebruiksscenario’s met verbindingen met cloudservices, lijken dergelijke infecties zich te vermenigvuldigen. Het is mogelijk dat sommige kunnen leiden tot storingen van kritieke bewaking- en controlesystemen met moeilijk te voorspellen gevolgen. Bovenal betreft het risico rivier-, zee-, vrachtwagen- en noodtransport — de informatiebeveiliging in dergelijke voertuigen is vaak inferieur aan die in personenauto’s.

Halen jullie alles uit de Technologie en is jullie Cyber Security niveau goed genoeg?

Als dit nog niet het geval is of je weet het niet zeker? Maak dan een afspraak voor een gratis consult. Wij laten je zien wat er mogelijk is en leren je wat Cyber Security is.