Verschuivingen in dreigingslandschap industriële besturingssystemen

Deze voorspellingen omvatten een groter aanvalsoppervlak als gevolg van digitalisering, activiteiten van vrijwillige en cybercriminele insiders en ransomware-aanvallen op kritieke infrastructuur. Maar ook vanwege de technische, economische en geopolitieke effecten op de kwaliteit van dreigingsdetectie en de toename van potentiële kwetsbaarheden die door aanvallers worden uitgebuit.

Nieuwe risico’s

Kaspersky-experts voorspellen een verschuiving in de activiteit van geavanceerde aanhoudende bedreigingen (APT) tegen industriële organisaties en OT-systemen in nieuwe sectoren en locaties. De sectoren van de reële economie, zoals landbouw, logistiek en transport, de alternatieve energiesector en de energiesector als geheel, hightech, farmaceutica en producenten van medische apparatuur zullen dit jaar waarschijnlijk meer aanvallen te zien krijgen. Bovendien zullen ook traditionele doelwitten, zoals de overheidssector, blijven bestaan.

Het aanvalsoppervlak zal ook toenemen door digitalisering in een race naar hogere efficiëntie in IIoT en SmartXXX, waaronder systemen voor voorspellend onderhoud en digital twin technologie. Deze trend wordt ondersteund door de statistieken van aanvallen op Computerized Maintenance Management Systems (CMMS) in de eerste helft van 2022. De top-10 landen die deze systemen lieten aanvallen worden gezien als landen met een hoger securityniveau.

De risico’s van een groter aanvalsoppervlak houden ook verband met de stijgende prijzen van energiedragers en de daaruit voortvloeiende prijsstijgingen van hardware. Hierdoor zouden  veel ondernemingen hun plannen om ter plaatse infrastructuur in te zetten moeten opgeven ten gunste van cloud-diensten van derden en waardoor ook sommige IB-budgetten aangetast zouden kunnen worden.

Bedreigingen kunnen ook komen van onbemande transportmiddelen en aggregaten die zowel doelwitten als aanvalsinstrumenten kunnen zijn. Andere risico’s waarop gelet moet worden zijn de verhoogde criminele activiteiten als het gaat om het verzamelen van gebruikersgegevens. Daarnaast moet gelet worden op meer vrijwillige ideologische en politiek gemotiveerde insiders, en insiders die samenwerken met criminele groepen, meestal afpersers en APT’s. Deze insiders kunnen actief zijn in productiefaciliteiten, maar ook bij technologieontwikkelaars, productverkopers en dienstverleners.

De geopolitieke eb en vloed van vertrouwde partnerschappen, die ook een wereldwijd effect hebben op de toestand van de cybersecurity in ICS, zal in 2023 duidelijker naar voren komen. Naast de groei van hacktivistische activiteiten die ‘werken’ aan interne en externe politieke agenda’s, die mogelijk effectiever worden, zouden we ook meer ransomware-aanvallen op kritieke infrastructuur kunnen zien omdat het moeilijker wordt om dergelijke aanvallen te vervolgen.

Verslechtering van de internationale samenwerking op het gebied van rechtshandhaving zal leiden tot een toevloed van cyberaanvallen in landen die als tegenstanders worden beschouwd. Tegelijkertijd kunnen nieuwe, in eigen land ontwikkelde alternatieve oplossingen ook leiden tot nieuwe risico’s, zoals software met fouten in de beveiligingsconfiguratie en gemakkelijke ‘zero-day’-kwetsbaarheden, waardoor ze toegankelijk worden voor zowel cybercriminelen als hacktivisten.

Waarop te letten bij toekomstige aanvallen?

Kaspersky heeft ook een lijst gemaakt van toptechnieken en -tactieken die naar verwachting in 2023 zullen floreren. Een selectie:

• Phishingpagina’s en scripts ingesloten op legitieme sites
• Phishing-e-mails over actuele gebeurtenissen met dramatische onderwerpen, waaronder politieke gebeurtenissen
• Documenten die bij eerdere aanvallen op verwante of partnerorganisaties zijn gestolen en als lokaas in phishingmails worden gebruikt
• N-day kwetsbaarheden – deze worden nog langzamer gedicht omdat beveiligingsupdates voor sommige oplossingen op sommige markten minder toegankelijk worden
• Aanvallen op clouddiensten
• Gebruik van configuratiefouten in beveiligingsoplossingen, bijvoorbeeld degene die het mogelijk maken een antivirusoplossing uit te schakelen
• Populaire clouddienst gebruiken als CnC – zelfs nadat een aanval is geïdentificeerd, kan het slachtoffer nog steeds niet in staat zijn de aanvallen te blokkeren omdat belangrijke bedrijfsprocessen afhankelijk kunnen zijn van de cloud