Bij de Belgische maakbedrijven is er nog te weinig bewustzijn en kennis over cybersecurity en de risico’s rond de convergentie tussen it en ot (operational technology). Dat blijkt uit een studie van technologiefederatie Agoria. Daardoor is er maar zelden een ot-veiligheidsbeleid.
‘Zeer kwetsbaar’, zo noemt het onderzoek van Agoria de staat van de Belgische maakindustrie. Er is veel te weinig bewustzijn en kennis over cyberrisico’s in ot en zelden een beveiligingsbeleid hierrond. Als dat er wel is, is dat ook bijna nooit geïntegreerd met het it-beveiligingsbeleid. Medewerkers in ot beschikken vaak ook niet over de essentiële basisinformatie om een beveiligingsbeleid uit te voeren.
Uit de ondervraging van 250 bedrijven blijkt 58 procent er zeker van te zijn dat ze een cyberaanval snel kunnen detecteren, toch heeft 64 procent van deze groep een beleid voor it-beveiliging, maar niet voor ot-security. In 31 procent van de ondernemingen hebben de respondenten geen idee over hoe oud hun oudste PLC’s zijn, PLC’s (programmeerbare schakelingen) die vaak niet te updaten zijn en erg kwetsbaar blijken voor aanvallen. 35 procent werkt met PLC’s van meer dan tien jaar oud.
Ook opvallend: de helft van de ondernemers denkt ook dat ze het komende jaar zeker geen slachtoffer van een cyberaanval zullen worden. Dat is al minder verrassend als je weet dat ook 40 procent van de ondervraagde ondernemingen geen enkele aandacht besteedt aan cybersecurity bij industriële aankopen. Meer dan driekwart van hen test ook nooit de ot-beveiliging. Tot slot: 3 procent van de ondernemingen gebruikt nog MS-DOS in hun productieomgeving. Windows 10 is goed voor 27 procent, evenveel als Windows 7.
Uiteindelijk bleek nauwelijks tien procent van de maakbedrijven hun industriële beveiliging volledig op orde hebben, zo concludeert de studie. Ze hebben breed beveiligingsbeleid voor zowel it als ot en testen dat ook regelmatig en updaten hun systemen. Ze hanteren een minstens een rudimentaire vorm van segmentatie en beschikken over interne expertise om een aanval af te slaan. Het gaat niet altijd over zeer grote bedrijven, maar meer dan de helft maakt wel deel uit van een internationale groep. De meesten hebben ook een sterke veiligheidscultuur. De slechtst scorende bedrijven blijken wel net de zeer kleine ondernemingen te zijn.
Om de scheve situatie recht te trekken, heeft Agoria een tienpuntenplan opgesteld met aanbevelingen voor de ondernemingen, zoals het implementeren van een veiligheidscultuur, implementeer netwerksegregatie en maak cybersecurity deel van het aankoopbeleid. De overheid zelf krijgt ook enkele aanbevelingen mee van Agoria. Dat gaat onder meer over het verankeren van cybersecurity als een hoeksteen van het industrieel beleid en het invoeren van cybersecurity als onderdeel van alle bedrijfsopleidingen.
De volledige studie en een bijhorende whitepaper kunt u hier downloaden.
