De kritieke nationale infrastructuur (CNI) van het VK wordt niet voor niets zo genoemd. De grote hoeveelheden gevoelige gegevens die providers opslaan, hun lage tolerantie voor storingen en hun kritieke karakter voor de nationale en economische veiligheid maken ze echter ook tot doelwitten. Aangemoedigde actoren van de natiestaat, hacktivisten en financieel gemotiveerde cybercriminelen vinden steeds vaker beveiligingslekken om te exploiteren.

Wereldwijd is dat meer dan twee vijfde (42%) gerapporteerd datalekken in het afgelopen jaar, en 93% heeft een toename in aanvallen gezien. Met de verwachte Britse wetgeving in het nieuwe jaar, moeten CNI-bedrijven duidelijk hun cyberweerbaarheid verbeteren. Het goede nieuws is dat er al standaarden bestaan ​​om hen bij deze inspanningen te begeleiden.

Wat is er gaande?

Er is geen typisch CNI-bedrijf, van nutsbedrijven tot financiële dienstverleners, zorginstellingen en defensiefabrikanten. Maar velen zijn getroffen door dezelfde bedreigingen, waaronder massale uitbuiting van kwetsbaarheden door Russische acteurs en gerichte phishingcampagnes van Iraanse staatshackers.

In het Verenigd Koninkrijk zagen we in 2024 veel ransomware en datalekken bij een belangrijke NHS-aanbieder (Synnovis) en bij het Ministerie van Defensie, wat mogelijk levens in gevaar brengt. Er zijn ransomware-aanvallen geweest gericht op kinderziekenhuizen en groot vervoerdersMaar afgezien van deze geïsoleerde incidenten, kunnen we de volgende trends ontdekken:

Bedreigingen van binnenuit: Volgens Thales heeft 30% van de CNI-organisaties het afgelopen jaar te maken gehad met een insider threat-incident. Bridewell waarschuwt dat 35% van de beveiligingsmanagers van CNI gelooft dat werknemers vanwege persoonlijke financiële problemen hun toevlucht nemen tot gegevensdiefstal en sabotage.

Stress en burn-out: Vooral veiligheidsleiders voelen de druk. In 2022 zal een rapport beweerd dat 95% factoren ervoer waardoor het waarschijnlijk was dat zij hun baan in de komende 12 maanden zouden verlaten.

Vastlopende budgetten: Het percentage van de IT- (33%) en OT- (30%) budgetten in 2024 dat is gereserveerd voor cyberbeveiliging viel dramatisch ten opzichte van de cijfers van 2023 van respectievelijk 44% en 43%.

Dalend vertrouwen in gereedschap: Bridewell beweert dat bijna een derde (31%) van de CNI-beveiligingsleiders 'vertrouwen in cyberbeveiligingstools' als een van de grootste uitdagingen in 2024 heeft aangemerkt, een jaarlijkse stijging van 121%.

Vervaagde grenzen tussen staats- en cybercriminaliteitsdreigingen: De rol van de Russische staat bij het verbergen en aanmoedigen van financieel gemotiveerde aanvallen op ziekenhuizen en andere Britse CNI wordt op het hoogste niveau steeds vaker aangekaart.

De NCSC merkte in zijn Jaaroverzicht: “Via haar activiteiten in Oekraïne inspireert Rusland niet-statelijke dreigingsactoren om cyberaanvallen uit te voeren op westerse CNI. Deze dreigingsactoren zijn niet onderworpen aan formele of openlijke staatscontrole, wat hun activiteiten minder voorspelbaar maakt. Dit vermindert echter niet de verantwoordelijkheid van de Russische staat voor deze ideologisch gedreven aanvallen.”

Groeiende verfijning. Hoewel de Chinese groep niet op het Verenigd Koninkrijk is gericht, Volt tyfoon toonde in een meerjarige campagne, die begin 2024 aan het licht kwam, een geavanceerd vakmanschap, waarbij het de Amerikaanse CNI-netwerken infiltreerde om cruciale diensten te saboteren in geval van een conflict.

"Veel CNI-systemen vertrouwen op verouderde technologie, waardoor ze kwetsbaar zijn voor aanvallen en moeilijk te beveiligen zijn. Navigeren door complexe en veranderende regelgevingsvereisten vereist aanzienlijke middelen en expertise", vertelt Chris Harris, technisch directeur voor gegevensbeveiliging van Thales EMEA, aan ISMS.online.

“Bovendien belemmert een gebrek aan bekwame cybersecurityprofessionals het vermogen om effectief om te gaan met en te reageren op bedreigingen. Het in evenwicht brengen van de adoptie van nieuwe technologieën met het handhaven van robuuste beveiligingsmaatregelen is een voortdurende uitdaging.”

Martin Riley, CTO van Bridewell, is het daarmee eens en voegt toe dat operationele technologie (OT) een andere grote uitdaging is voor CNI-bedrijven.

"OT-apparaten missen de strengheid van enterprise security, met aanhoudende zorgen over impact op operaties en gezondheid en veiligheid. Legacy-systemen, waarvan er veel meer dan 20 jaar oud zijn, hebben vaak geen moderne beveiligingsmogelijkheden en de trend van convergentie van OT met IT-systemen vergroot het aanvalsoppervlak", vertelt hij aan ISMS.online.

"Vanwege het tekort aan vaardigheden kunnen CISO's geen beroep doen op OT-specifieke expertise om evenredige cybersecurityplannen te ontwikkelen en IT- en OT-beveiliging te overbruggen om dit risico te verminderen. Vooral de opkomst van edge-apparaten in IT OT- en IoT-infrastructuren is wijdverbreid, die kunnen worden uitgebuit in living-off-the-land-aanvallen, waarbij legitieme tools binnen het systeem het doelwit zijn."

Riley voegt toe dat OT-teams in sommige gevallen door een gebrek aan vaardigheden maatregelen kunnen nemen die onbedoeld de toegang van gebruikers blokkeren, waardoor er schade aan de fysieke infrastructuur ontstaat of er zelfs een risico voor mensenlevens ontstaat.

Wat eisen toezichthouders?

De noodzaak om veerkracht in CNI op te bouwen is duidelijk in de bovenstaande trends en incidenten, maar er is ook een groeiende regelgevende noodzaak. Britse providers met activiteiten op het continent moeten voldoen aan een strikte nieuwe set basisbeveiligingsregels eisen in NIS2De richtlijn verduidelijkt ook dat senior bedrijfsleiders meer verantwoordelijk worden gehouden voor tekortkomingen op het gebied van cyberbeveiliging, inclusief persoonlijke aansprakelijkheid voor ernstige overtredingen.

In het Verenigd Koninkrijk is er een inkomende Wetsvoorstel cyberveiligheid en veerkracht zal de NIS-regelgeving van 2018 bijwerken om meer dienstverleners te dekken, toezichthouders meer macht te geven en incidentenrapportage te verplichten. Nog niet alle details zijn uitgewerkt, maar de algemene richting van de reis vanuit een regelgevend perspectief in het VK is een nauwlettender toezicht op CNI-bedrijven.

Wat CNI-bedrijven in 2025 kunnen doen

“Het NCSC is van mening dat de ernst van door de staat aangestuurde dreigingen wordt onderschat en dat de cyberbeveiliging van kritieke infrastructuur, toeleveringsketens en de publieke sector moet worden verbeterd”, aldus het NCSC in zijn rapport. Jaaroverzicht.

Dat is allemaal leuk en aardig, maar hoe kunnen aanbieders specifiek hun beveiliging verbeteren?

"CNI wordt geconfronteerd met diverse bedreigingen, uitdagingen en kansen. Proactieve maatregelen, zoals formele ransomware-reacties en compliance-audits, zijn essentieel", betoogt Harris van Thales.

“Opkomende technologieën zoals 5G, cloud, identiteits- en toegangsbeheer en GenAI bieden nieuwe efficiënties wanneer ze worden geïntegreerd in CNI-activiteiten. Hogere verwachtingen en grotere toewijding aan operationele veerkracht en betrouwbaarheid zullen de beveiliging verbeteren en de vatbaarheid voor CNI-ondernemingen verminderen.”

De best practice-norm ISO 27001 zou voor velen een goed startpunt kunnen zijn, omdat het een ‘robuust raamwerk’ biedt voor het beheren van veiligheidsrisico’s, vervolgt hij.

"Naleving van ISO 27001 zorgt ervoor dat CNI-operators best practices op het gebied van cyberbeveiliging implementeren, waaronder risicobeoordeling, incidentbeheer en continue verbetering", aldus Harris.

Bridewell's Riley ondersteunt ook de beste praktijken in de sector.

"Een best practice cybersecuritystrategie in een typische CNI-provider stemt IT- en OT-risicoregisters af om risico's holistisch te evalueren. Dit zou moeten worden aangestuurd door het combineren en mappen van ISO 27001-controles naar NIST CSF, NCSC CAF, NIS-regelgeving of specifieke OT-frameworks zoals IEC 62443", legt hij uit.

“ISO 27001 alleen is geen drijfveer om de CNI-beveiliging te verbeteren. Veel organisaties hanteren één scope en verklaring van toepasbaarheid die alleen de onderneming dekt. ​​Daarom is het zo belangrijk voor CNI-organisaties om andere frameworks en regelgevingen op te nemen in hun strategie voor een multi-scope ISMS. Het bouwen van een multi-scope ISMS kan ingewikkeld zijn, maar het is niet onmogelijk als OT en IT effectief gescheiden zijn en relevante regelgevingen worden opgenomen.”