Energiesector: steek (méér) energie in je cybersecurity!

  1. 19 sep 2016
  2. 0 reacties
Rob Pronk

Dat de beveiliging van de energiesector te wensen overlaat, bleek deze week toen de gegevens van twee miljoen huishoudens werden ontvreemd van een Nederlandse energieleverancier. In dit geval ging het om gegevens als jaarverbruik, type aansluiting en de datum waarop contracten ten einde lopen. Voor zover bekend gaat het niet om gevoelige informatie als adressen of rekeningnummers, maar desalniettemin zijn het persoonlijke gegevens die niet op straat horen. 

De gestolen energiegegevens stonden opgeslagen in een centraal register dat normaal gesproken gebruikt wordt om gegevens van huishoudens onderling uit te wisselen, bijvoorbeeld wanneer zij overstappen naar een andere energieleverancier. Gezien alle Nederlandse huishoudens met een gas- of energieaansluiting in de database staan en er ‘slechts’ twee miljoen huishoudens getroffen zijn door het datalek, had de impact nog groter kunnen zijn. Desondanks mag zo’n lek zich uiteraard niet vaker voordoen.

De energiesector wordt voor hackers een steeds populairder doelwit. Dat wetende is het nogal verontrustend dat maar liefst 69 procent van alle energiebedrijven er ‘weinig vertrouwen’ in heeft dat ze in staat zijn dit soort aanvallen te detecteren. Ook bij de Autoriteit Persoonsgegevens, waar de huidige datadiefstal is gemeld, leefden er zorgen over de beveiliging van de data die in het centrale register waren opgeslagen. Daarom was er al een onderzoek gestart naar de beveiliging van de energiegegevens. Op die manier is dit datalek ook aan het licht gekomen, aldus de woordvoerster van de privacywaakhond.

Dat de beveiliging bij energiebedrijven niet op orde is, komt doordat de securitysystemen stammen uit het pre-internettijdperk. Bij de ontwikkeling van de security is rekening gehouden met het beveiligen van fysieke systemen, maar in mindere mate met cyberdreigingen. En al helemaal niet met de mogelijkheid dat centrale infrastructuren in de toekomst wel eens steeds meer met elkaar verbonden zouden worden. Daardoor hebben hackers nu min of meer vrij spel. En dat is voor bedrijven die enerzijds een enorm scala aan klantgegevens hebben en anderzijds van nationaal belang zijn, zoals energiebedrijven, simpelweg onacceptabel.

Maar hoe voorkom je dit soort beveiligingslekken als de gegevens – zoals in dit geval – ongeoorloofd uit het systeem zijn ontvreemd, en het lek dus te wijten is aan een (oud-)medewerker? Nou, niet. Bedrijven in de energiesector moeten zich realiseren dat dit soort aanvallen zich te allen tijde voor kunnen doen, zowel van buitenaf als van binnenuit. Het is daarom extra belangrijk om aanvallen zo snel mogelijk te detecteren en er vanaf dat moment direct naar te handelen. De cybersecurity van energiebedrijven zou daarom tweeledig moeten zijn. Ten eerste moeten zij systemen in gebruik hebben (of nemen) die eventuele aanvallen direct opmerken. Ten tweede moeten zij een strategie hebben (of ontwikkelen) waarmee zij doelgericht kunnen handelen en de aanval op die manier zo snel mogelijk de kop indrukken. Voorkomen is beter dan genezen, maar als voorkomen niet mogelijk is, zorg dan in ieder geval dat je altijd een eerste-hulp-kit bij de hand hebt.

Rob Pronk, Regional Director Northern Europe van LogRhythm