Twee derde van olie-en gasbedrijven niet voorbereid op grote cyberaanval

De door Fox-IT gepubliceerde uitkomsten van het onderzoek ‘Digital Trenches: On the Front Lines of the Cyber War’ geven een zorgwekkend beeld van hoe IT-beslissers in de olie- en gasindustrie denken over de eigen cyberveiligheidssituatie. Het onderzoek is door de Oil & Gas IQ portal uitgevoerd onder beslissers. Zelfs na ernstige incidenten, zoals Stuxnet en Shamoon,  zijn er slechts lichte verbeteringen merkbaar in de cybersecuritypolicy en de meerderheid van de IT-professionals heeft er nog steeds weinig vertrouwen in dat ze grote cyberaanvallen kunnen ontdekken, weerstaan of beantwoorden.

Dit jaarlijkse onderzoek vond voor de tweede keer plaats. Een panel van IT-managers uit de olie- en gasindustrie nam deel aan het onderzoek naar de veiligheid van hun eigen systemen, de trends en uitdagingen die ze zien in de cyberdreigingen en de kwetsbaarheid van hun eigen onderneming. Christian Prickaerts, Director Managed Security Services bij Fox-IT en Erik de Jong, Chief Research Officer bij Fox-IT, analyseerden de uitkomsten.

“De uitkomsten van het onderzoek geven duidelijk aan dat meeste olie- en gasbedrijven nog steeds geen vertrouwen hebben in hun beveiliging en niet zeker zijn of zij in staat zullen zijn een grote cyberaanval te weerstaan”, zegt Erik de Jong. “De dreigingen groeien, cybercriminelen worden steeds actiever en hun middelen steeds geavanceerder. Wel zien we dat de ondervraagden steeds bewuster worden van de gevaren en ik denk dat dit ook verklaart waarom de percentages nog steeds hoog zijn. De ondervraagden kijken nu kritischer naar hun systemen en zijn zich meer van de gevaren bewust. Een positief gevolg hiervan is dat we merken dat bedrijven in de olie- en gassector de laatste tijd initiatieven nemen om hun beveiliging op orde te brengen. Het aantal klanten in deze sector groeit en we werken met hen samen om de OT- en IT-netwerken op een veilige manier te koppelen.”

De belangrijkste uitkomsten van het rapport:

1. Slechts 9% (vs. 14% in vorig onderzoek) heeft vertrouwen in hun eigen systemen. Daarnaast heeft meer dan een derde (39%) geen vertrouwen in de eigen verdedigingssystemen. Dit is vergelijkbaar met vorig jaar.
2. 65% van de respondenten is er niet gerust op dat ze een Advanced Persistent Threat kunnen detecteren of weerstaan. Dit is een stijging van bijna 38% in vergelijking met vorig jaar. De stijging is het gevolg van een toename van het bewustzijn en het toegeven van de zwakte, wat ook positief gezien kan worden.
3. De twee methoden die respondenten verkiezen om de IT en OT-omgeving te scheiden van elkaar zijn juist degene die het vaakst slachtoffer zijn van hackers. Daarnaast gebruikt bijna 74% van bedrijven geen fysiek beveiligde zones en zelfs 78% het Four Eyes Principle niet. Volgens Fox-IT is fysieke bescherming combineren met cybersecurity echter de beste manier om systemen effectief te beveiligen en is het dus spijtig dat securityteams deze combinatie niet toepassen.
4. 61% van de respondenten geeft toe dat hun bedrijven geen digital forensics gebruiken om op zoek te gaan naar digitale sporen van hacks. Veel bedrijven investeren sterk in preventie en detectie,  maar vergeten vreemd genoeg om de details van de hack te analyseren, terwijl juist deze zullen helpen om sneller te reageren en de hack te bestrijden. Preventie en detectie moeten dus steeds meer gecombineerd worden met monitoring en response.
5. Zelfs na ernstige incidenten zoals Stuxnet en Shamoon hebben de ondernemingen weinig maatregelen genomen. Slechts 52% heeft een Intrusion Detection System (IDS) in gebruik, 23% heeft een gehost IDS en 42% een SIEM (Security Information & Event Management). Deze cijfers verschillen amper met vorig jaar (een lichte stijging van 2%) maar gaan de goede kant uit.
6. 44% van de respondenten gebruikt monitoring tools om hun netwerkverkeer in het oog te houden, maar slechts 14% heeft een volledig functionerend Security Operations Center (SOC). Dus zelfs al wordt het netwerk 24/7 gemonitord, is er geen ervaren team ter plaatse om de data te analyseren, waardoor monitoring inefficiënt wordt.
7. In de laatste drie jaar heeft 39% van de bedrijven met een of meer serieuze veiligheidsincidenten te maken gehad en 30% geeft toe één keer aangevallen te zijn (-10% ten opzichte van vorig jaar). Dit is een groot verschil in vergelijking met het eerste onderzoek waar niemand aangaf meer dan één keer aangevallen te zijn. Opzienbarender is het feit dat 25% er van overtuigd is dat ze de afgelopen 36 maanden helemaal niet zijn aangevallen. Fox-IT komt tot de conclusie dat men zich het niet eens gerealiseerd heeft dat er een aanval heeft plaatsgevonden.
8. Het is geen geheim dat maar weinig bedrijven voorbereid zijn op een ramp: 23% heeft geen Computer Emergency Response Team of dienstverlener paraat en 17% kan het antwoord op die vraag zelfs niet geven. Een alarmerend gegeven aangezien CERT-teams of CERT-dienstverleners kunnen helpen met preventie tegen en reactie op aanvallen.
9. Slechts een derde van de respondenten (33%) heeft een Incident Response Plan klaar (IRP) wat 27% minder is dan vorig jaar en nog een derde (29%) weet gewoon niet of er een plan is. Aangezien cyberaanvallen schering en inslag worden, is dit onbegrijpelijk aangezien het oefenen van noodsituaties net een van de beste manieren is om klaar te zijn voor een echte cyberaanval.
10. Minder dan 40% van de ondernemingen maakt gebruik van een Managed Security Service Provider om de hun organisatie te beschermen. Bijna de helft van dit percentage is er echter niet zeker van dat die ook goed werk leveren.
11. Bijna de helft (48%) van de respondenten is onzeker dat hun teams op de hoogte zijn van de laatste ontwikkelingen op het gebied van cyberdreigingen en -methodes. Zorgelijk, maar het geeft wel aan dat een groot deel van de ondervraagden zich bewust is dat kennis van de ontwikkelingen nodig is.
12. Veel IT-beslissers onderschatten de financiële gevolgen van een cyberaanval waardoor er ook niet voldoende budget beschikbaar is voor veiligheidsmaatregelen. Deze onderschatting is gevaarlijk, deze financiële gevolgen kunnen tot de ondergang van een bedrijf leiden.