De doorsnee herstelkosten voor twee sectoren met kritieke infrastructuur, namelijk energie en water, zijn op een jaar tijd verviervoudigd tot 3 miljoen dollar. ‘Openbare nutsbedrijven zijn niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar.’
Dat blijkt allemaal uit het recente ‘The State of Ransomware in Critical Infrastructure 2024’ van beveiliger Sophos. De data voor dat rapport zijn afkomstig van 275 respondenten die onder de energie- en watersectoren van de 16 kritieke sectoren van het cisa vallen, de cybersecurity and infrastructure security agency. Met die 3 miljoen dollar (2,7 miljoen euro) hebben de nutssectoren water en energie een mediane herstelkost die vier keer hoger is dan de wereldwijde sector-overschrijdende mediaan.
De energie- en watersectoren rapporteerden ook het op een na hoogste percentage ransomware-aanvallen van alle sectoren. Bijna de helft van die aanvallen op deze twee sectoren met kritieke infrastructuur begon met een misbruikte kwetsbaarheid.
‘Helaas zijn openbare nutsbedrijven niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar voor aanvallen op veel fronten, zoals de eis van hoge beschikbaarheid en veiligheid, en een engineering mindset gericht op fysieke beveiliging’, aldus Chester Wisniewski, global field cto bij Sophos. ‘Er is een overwicht aan oudere technologieën die zijn geconfigureerd voor beheer op afstand, zonder moderne beveiligingscontroles zoals versleuteling en multifactorauthenticatie.’
2,5 miljoen
Al zijn er nog andere oorzaken. ‘Net als ziekenhuizen en scholen werken deze nutsbedrijven vaak met een minimale personeelsbezetting’, stelt hij. ‘En ook zonder het it-personeel dat nodig is om op de hoogte te blijven van patches, de nieuwste beveiligingskwetsbaarheden en de monitoring voor vroege opsporing en respons.’
Ook op ander domein stegen de kosten bij deze organisaties. Want naast de toenemende herstelkosten nam het mediane losgeld voor organisaties in de nutssectoren van water en energie toe naar meer dan 2,5 miljoen dollar in 2024. ‘Een half miljoen hoger dan de wereldwijde sector overschrijdende mediaan.’
