Kunnen next-gen veerkrachtarchitecturen helpen de ‘bedreiging van onze generatie definiëren’ te verdunnen?

De FBI begon in 2024 met een grimmige waarschuwing: Aanvallen op overheden en bedrijfskritische infrastructuur, inclusief door nationale actoren, zijn de “bepalende dreiging van onze generatie“. Gezien alle sluwe activiteiten die in 2023 zijn waargenomen, van aanvallen op de Amerikaanse watervoorziening en het elektriciteitsnet tot ziekenhuizen en noodhulpsystemen, was deze waarschuwing meer dan gerechtvaardigd.

Alsof ze het recht van het agentschap zouden bewijzen, waren kwaadwillende actoren in 2024 nog meer gericht op het richten van infrastructuur. Een toename van 70% in aanvallen op Amerikaanse nutsbedrijven, de Salt Typhoon-campagne en het stijgende tij van AI-ondersteunde cyberspionage waren slechts enkele hoogtepunten. En vergeet niet de inbreuk bij American Water Works in oktober die de watervoorziening en de volksgezondheid van miljoenen mensen in 14 staten en 18 militaire installaties in gevaar had kunnen brengen – en die gelukkig niet.

De lijst met cyberincidenten waarbij kritieke infrastructuur in de VS en over de hele wereld betrokken is, is al lang en blijft zich uitbreiden. Hoewel we niet kunnen weten wat 2025 zal brengen, kunnen we gezien de recente trends meer van hetzelfde verwachten, zo niet slechter. De boodschap voor organisaties in kritieke infrastructuursectoren? Het is nu tijd om de inspanningen om hun cyberveerkracht te vergroten te verdubbelen.

Voordat we kijken naar enkele tools en strategieën voor het versterken van de veerkracht, wil ik een paar feiten over het bedreigingslandschap voor kritieke infrastructuur benadrukken om te onderstrepen waar organisaties tegenaan staan.

1. Aanvallers die zich op deze sectoren richten, hebben veel te maken met prepositionering.

Slechte actoren die zich richten op kritieke infrastructuur gebruiken geavanceerde strategieën, waaronder het vooraf positioneren van malware binnen vitale systemen. (De Volt Typhoon advanced persistent threat (APT)-groep behoort tot deze actoren.) Door vooraf te positioneren kunnen tegenstanders hun bedreigingen op elk gewenst moment strategisch activeren, wat mogelijk leidt tot wijdverspreide verstoring zonder waarschuwing. Het is niet ongebruikelijk dat APT’s maanden of zelfs jaren in netwerken zitten, zijwaarts bewegen en intelligentie verzamelen voordat ze opvallen.

2. Veel tegenstanders zijn door de staat gesteunde operators.

Goed georganiseerde en door de staat gesponsorde groepen met aanzienlijke middelen – en de motivatie om landen of organisaties die zij beschouwen als concurrenten of vijanden te schaden – lopen vaak achter op aanvallen op kritieke infrastructuur. (Hallo, nogmaals, Volt Typhoon.) De enorme schaal van deze operaties laat doelen vaak op de verdediging staan en worstelt om gelijke tred te houden met steeds veranderende bedreigingen. (Volgens de FBI overtreffen Chinese hackers de Amerikaanse cyberagenten met een duizelingwekkende 50:1-verhouding.)

3. Aanvallers zien IT-systemen in de publieke sector als eenvoudige pickings (en ze hebben vaak gelijk).

Veel exploitanten van kritieke infrastructuur, met name in de publieke sector, missen het gespecialiseerde beveiligingspersoneel en de middelen die particuliere organisaties gebruiken om robuuste, agile verdediging te creëren en te onderhouden. Door deze ongelijkheid zijn ze gevoeliger voor geavanceerde aanvallen, waaronder heimelijke, krachtige en long-game plays zoals APT’s. Verouderde systemen die te duur of moeilijk te updaten zijn; niet goed worden onderhouden, beschermd of gecontroleerd; of soms volledig vergeten worden in een groot en complex IT-ecosysteem kunnen veel verleidelijke inroads bieden voor tegenstanders.

De basis leggen voor de volgende generatie veerkracht: Waarom en hoe

Er is nog een probleem met legacy-systemen in kritieke infrastructuursectoren: het potentieel voor het domino-effect tijdens een cyberaanval. Veel operators vertrouwen bijvoorbeeld sterk op gecentraliseerde, legacy dataopslagsystemen. Als een enkele faciliteit in gevaar komt, kan het mogelijk een volledige operatie tot zijn knieën brengen. Dit benadrukt de dringende behoefte aan gedecentraliseerde, veerkrachtige architecturen – systemen die het risico op een enkel storingspunt verminderen door data over meerdere locaties te verspreiden.

Bovendien moeten exploitanten van bedrijfskritische infrastructuur ook overstappen van louter op preventie naar het bereiken van uitgebreide veerkracht. Veerkracht gaat over herstel. Dat betekent dat wanneer veerkrachtige organisaties onvermijdelijk worden getroffen door een cyberaanval, ze de kernfuncties kunnen behouden en snel weer aan de slag kunnen. Om de basis te leggen voor next-gen veerkracht, moeten organisaties:

• Stel uitgebreide incidentresponsplannen op: Het ontwikkelen en regelmatig bijwerken van gedetailleerde plannen voor het reageren op verschillende cyberaanvalscenario’s is essentieel voor organisaties in de kritieke infrastructuurruimte. CISA biedt een aantal sectorspecifieke plannen, zoals deze voor energie, die een paar jaar oud zijn, maar nog steeds een nuttig uitgangspunt vormen. NIST en FEMA bieden ook resources zoals frameworks en toolkits. Information Sharing and Analysis Centers (ISAC’s) bieden sectorspecifieke informatie over bedreigingen, best practices en richtlijnen voor incident response.
• Voer regelmatig risicobeoordelingen uit: Dynamische en voortdurende risicobeoordelingen zijn van cruciaal belang voor het identificeren van zwakke punten in systemen en processen die tegenstanders zouden kunnen benutten. (Ze zijn ook essentieel voor het opbouwen van een effectief kader voor cyberveerkracht.) Organisaties moeten zowel technische kwetsbaarheden beoordelen, zoals verouderde software of niet-gepatchte systemen, als operationele risico’s, zoals onvoldoende training van werknemers of hiaten in incidentresponsprotocollen.
• Bevorder een cyberbeveiligingscultuur: Cyberbeveiliging is niet alleen de verantwoordelijkheid van IT-teams, het vereist ook een gezamenlijke inspanning in de hele organisatie. Alle medewerkers, van topleiders tot eerstelijnsmedewerkers, moeten hun rol in het helpen verbeteren van de cyberbeveiliging begrijpen. Ze moeten ook begrijpen waarom hun rollen, verantwoordelijkheden en toegangsrechten hen aantrekkelijke doelwitten kunnen maken voor tegenstanders die voet aan de grond willen krijgen in de organisatie, zodat ze een aanval kunnen starten of zich kunnen inlaten met ander ondeugend gedrag.
• Investeer in moderne dataopslag: Toonaangevende oplossingen zoals het Evergreen//One™-platform van Pure Storage kunnen zorgen voor data-integriteit en snelle herstelmogelijkheden. (Ik zal hieronder de voordelen van ons storage-as-a-service-[STaaS]platform uitbreiden.) Onuitwisbare en onuitwisbare back-ups zijn ook een must omdat ze organisaties in staat stellen om onveranderlijke snapshots van kritieke data en apps te maken. Onveranderlijke snapshots bieden een schoon, betrouwbaar dataherstelpunt na een aanval of ramp. (En wanneer u tools gebruikt zoals SafeMode™ van Pure Storage, zijn die snapshots ook onveranderlijk.)
• Deelnemen aan publiek-private partnerschappen (PPP’s): Samenwerking tussen overheidsinstanties, branchegenoten en cyberbeveiligingsexperts om cyberbeveiligingstrends en best practices te delen is een cruciale, maar vaak over het hoofd geziene of ondergewaardeerde stap naar het vergroten van de veerkracht. Publiek-private partnerschappen zijn essentieel voor het opbouwen van een verenigde verdediging tegen cyberbedreigingen die zich richten op kritieke infrastructuur.

De rol van geavanceerde dataopslag in moderne cyberverdediging

Met name organisaties in de publieke sector en exploitanten van kritieke infrastructuur hebben de plicht om de data en systemen te beschermen die essentiële diensten ondersteunen. Wanneer een waterzuiveringsfaciliteit echter in de nasleep van een cyberaanval moet terugkeren naar “handmatige activiteiten”, moet het een wake-up call zijn voor alle bedrijven, ongeacht hun sector. Ze zouden moeten vragen: Wat zijn onze opties als onze systemen in gevaar komen? Als we geen handmatige operaties hebben, hoe kunnen we dan snel weer aan de slag?

Eén oplossing, vanuit het oogpunt van dataopslag, is het Pure Storage-platform. Het is snel en het helpt organisaties hun activiteiten bliksemsnel te herstellen met onveranderlijke snapshots van kritieke data. Kritieke infrastructuurbeheerders kunnen de data-integriteit handhaven en snel herstellen van ransomware-aanvallen en andere cyberincidenten met schone arrays tijdens forensische beoordelingen, waardoor hun veerkracht tegen cyberbedreigingen aanzienlijk wordt verbeterd.

Dit brengt ons terug naar Evergreen//One, een belangrijk onderdeel van ons platform. Deze enterprise-grade STaaS-oplossing is gebaseerd op abonnementen en heeft een uptimegarantie van 99,9999% en vele andere aantrekkelijke service-level agreements (SLA’s). Maar er is één unieke add-on waarop we ons hier zullen richten die organisaties in kritieke infrastructuursectoren nog meer gemoedsrust kan bieden: de Evergreen//One Cyber Recovery and Resilience SLA.

Deze eerste SLA in zijn soort, die we eerder dit jaar hebben geïntroduceerd, garandeert een schone opslagomgeving voor een snel herstel van kritieke activiteiten. Het omvat: