Hoe kunnen organisaties, nu NIS2 dichterbij komt, levensbedreigende cyberaanvallen beperken?

Door Phil Muncaster • 18 July 2024

NIS2 zal binnen drie maanden in alle EU-lidstaten in wetgeving worden omgezet. Het vereist verbeterde basisbeveiliging, respons op incidenten, beveiliging van de toeleveringsketen en nog veel meer om exploitanten van essentiële diensten cyberweerbaarder te maken. Als organisaties twijfelen waarom dergelijke regelgeving nodig is, hoeft u niet verder te zoeken dan de nieuwste NHS-ransomware-catastrofe.

Gelukkig kunnen best practices uit de sector een grote bijdrage leveren aan het stroomlijnen van NIS 2-compliance en het verkleinen van de kans op een levensbedreigend cyberincident.

Gezondheidszorg onder vuur

Uiteindelijk was de ransomware-aanval, die zo'n catastrofale impact had op NHS-patiënten, gericht tegen een weinig bekende leverancier van pathologiediensten in de gezondheidszorg en op het moment van schrijven had dit ertoe geleid dat ruim 800 geplande operaties en 700 poliklinische afspraken werden geannuleerd en herschikt, inclusief enkele potentieel levensreddende procedures. Deze cijfers hebben betrekking op de twee meest getroffen NHS Trusts – King's College Hospital NHS Foundation Trust en Guy's en St Thomas' NHS Foundation Trust – en alleen voor de periode van 3 tot 9 juni, dus de werkelijke verstoring zal waarschijnlijk nog groter zijn.

Naast de annuleringen was de NHS dat ook gedwongen in beroep te gaan voor bloeddonoren en vrijwilligers in de nasleep van het incident. Hoewel de leverancier in kwestie, Synnovis, van plan is een deel van de IT-functionaliteit “in de komende weken” te herstellen, waarschuwde het bedrijf dat “volledig technisch herstel” langer zou duren en dat de verstoring waarschijnlijk “maanden” zou duren.

Ransomware-actoren richten zich steeds vaker op de gezondheidszorg, en elke keer dat ze dat doen, bestaat de kans dat verstoring van de dienstverlening een mogelijk levensbedreigende impact heeft op patiënten. In Alabama in 2021, spande de moeder van een kind van negen maanden een rechtszaak aan tegen het ziekenhuis waar haar dochter werd geboren, en beweerde dat het niet had bekendgemaakt dat het destijds een ransomware-aanval had ondergaan. Omdat de cyberaanval kritieke operationele technologie (OT)-apparaten verstoorde, konden artsen de toestand van het kind niet goed in de gaten houden, aldus de moeder. Helaas liep ze ernstig hersenletsel op en overleed negen maanden later.

Een kans van 25% op dodelijke slachtoffers

Natuurlijk is de gezondheidszorg slechts een van de vele kritieke sectoren van de nationale infrastructuur (CNI) waar cyberaanvallen fatale gevolgen kunnen hebben. Het National Risk Register 2023-rapport van de regering schat dat een ernstige cyberaanval op CNI de komende twee jaar een kans van 5 tot 25% heeft. Het beweert dat dit zou kunnen resulteren in dodelijke slachtoffers van maximaal 1000 mensen en slachtoffers van maximaal 2000.

Bij veel van dit soort organisaties is het het gebruik van OT- en IoT-technologie die hen kan blootstellen aan aanvallen met gevaarlijke kinetische effecten. Dit is te zien in de waterzuiveringsindustrie, waar a De aanval van 2016 was het gevolg bij bedreigingsactoren die het niveau van chemicaliën in drinkwater vier keer veranderden voordat de aanval werd gemarkeerd.

Volgens Anton Shipulin, cybersecurity-evangelist bij OT-beveiligingsspecialist Nozomi-netwerkenis het uitvoeren van gerichte levensbedreigende cyberaanvallen een uitdaging, maar haalbaar.

“Het vereist verschillende voorwaarden voor de bedreigingsacteur, waaronder proceskennis, tijd, geld, personeel en een kwetsbaar doelwit”, vertelt hij aan ISMS.online.

“Wanneer levenskritische of gevaarlijke processen echter sterk afhankelijk zijn van digitale technologieën, kunnen zelfs ongerichte aanvallen of technologische storingen deze systemen in gevaar brengen, wat mogelijk tot doden of gewonden kan leiden. Dit geldt met name in sectoren als de gezondheidszorg, industriële robotica en chemicaliën.”

Sean Tufts, managing partner voor kritieke infrastructuur bij Optiv, is het ermee eens dat ransomware nog steeds de krachtigste bedreiging voor CNI is, gezien het grote aantal groepen in het algemeen en het gemak waarmee velen gaten in de bescherming kunnen uitbuiten.

“Een hacker die een onderstation of raffinaderij opblaast is niet onmogelijk, maar wel heel lastig. Je hebt een zeer geavanceerde hackorganisatie nodig, gecombineerd met een team dat weet hoe energiecentrales werken”, vertelt hij aan ISMS.online.

“Het meest waarschijnlijke scenario is dat een hacker op laag niveau een standaard ransomwarepakket op een systeem plaatst en een fysiek proces stopt. Als dat proces een lopende band, een oliepomp, een stroomonderbreker of een achtbaanbesturingssysteem is, kunnen de zaken letterlijk uit de hand lopen. Het huidige motto van onze branche is 'cybersecurity is veiligheid'. Veiligheid is cyberveilig'. We willen dat de apparatuur in de buurt van de vingers van onze technici onder hun controle is.”

Bedreigingen afweren en levens redden

Al deze factoren verhogen de inzet aanzienlijk voor leiders op het gebied van cyberbeveiliging die in dergelijke sectoren actief zijn. De vraag wordt dan: hoe kunnen ze de cyberveerkracht vergroten tot het punt waarop het levensrisico adequaat wordt beheerd?

“CISO's moeten nadenken over hoe ze de noodhulpverlening kunnen voortzetten in het geval van een langdurige netwerkstoring en dit opnemen in een incidentresponsplan”, adviseert S-RM-medewerker voor incidentrespons James Tytler.

“Ze moeten ook regelmatig tabletop-oefeningen doen om ervoor te zorgen dat alle relevante partijen zich van tevoren bewust zijn van hun rollen en verantwoordelijkheden”, vertelt hij aan ISMS.online.

Volgens Tufts van Optiv zal NIS 2 een nuttige reeks best practices op het gebied van beveiliging bieden waar we naartoe kunnen werken.

“De focus van NIS2 op het vaststellen van een basislijn voor cyberbeveiliging waar bedrijven naartoe kunnen groeien, is van cruciaal belang om budget vrij te maken van bedrijven met historisch lage marges”, betoogt hij.

Gezien het vertrek van Groot-Brittannië uit de EU zal de verordening echter niet op alle organisaties van toepassing zijn. Toch is NIS2 niet het enige spel in de stad, volgens Shipulin van Nozomi Networks.

“Bijna alle kritieke infrastructuursectoren die gebruik maken van cyberfysieke systemen vallen onder lokale regelgeving of internationale standaarden die betrekking hebben op de veiligheid van deze systemen”, legt hij uit. “Daarom is de beste aanpak om te beginnen met het herzien van de cyberbeveiligingsrichtlijnen van de sectortoezichthouder of sectorspecifieke internationale verenigingen.”

Best practice standaarden zoals ISO27001 en IEC 62443 kan ook helpen. Het eerste zal beveiligingsproblemen in IT-systemen verminderen die kunnen worden uitgebuit door ransomware-actoren, en het laatste is vooral nuttig omdat het specifiek is ontworpen voor OT-omgevingen zoals industriële controlesystemen.

“Deze standaard is opgesteld door praktijkmensen, niet door toezichthouders. De toepasbaarheid ervan is zeer groot en aangepast aan de behoeften van onze sector”, zegt Optiv's Tufts.

Nu er zo veel op het spel staat, moeten CISO's in CNI-sectoren weer voorop lopen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster