För industriföretag har det blivit nästan säkert att cyberattacker kommer att störa deras verksamhet under det kommande året. Enligt Trend Micro var detta fallet för 89% av företagen inom el-, olje- och gas- samt tillverkningssektorerna under de senaste tolv månaderna. På grund av flera faktorer, allt från geopolitiska spänningar till brist på kompetens inom cybersäkerhet, har dessa attacker blivit vanligare men också dyrare och allvarligare. Under Cyber Security Awareness Month finns det fyra viktiga trender att hålla koll på.

Ransomware och dess inverkan på industriföretagens verksamhet

Ransomware-attacker har blivit ett faktum för företag i alla storlekar: 2 av 3 företag med en omsättning på över 50 miljoner dollar rapporterade att de drabbats av en ransomware-attack under det senaste året. I synnerhet attacker mot industriföretag ökade med 87 % mellan 2021 och 2022.

Även om tillverkningsföretag står för den största andelen av ransomware-attackerna mot industriföretag är ingen sektor immun. Under 2022 drabbades energi-, olje- och gasorganisationer av 50 incidenter med ransomware, bland annat Energy One i Storbritannien och DESFA i Grekland. Läkemedelsföretag, transportenheter och allmännyttiga företag - som South Staffordshire Water i Storbritannien och Águas e Energia do Porto i Portugal - faller också ofta offer.
Tillverknings-, energi- och transportföretag är ofta måltavlor på grund av de många olika system och utrustningar de använder, vilket ger hackare många potentiella ingångspunkter och större möjligheter att hitta sårbarheter. Dessutom kan kostnaden för att stoppa verksamheten vid en stor fabrik, flygplats eller kraftverk vara så hög att ägarna är mer benägna att gå med på att betala en rejäl lösensumma.
I april 2022 lamslog till exempel en ransomware-attack mot Clestra Hauserman, ett franskt byggföretag, verksamheten i nästan tre månader och tvingade i slutändan företaget att ansöka om konkurs.

Sofistikerade attacker utnyttjar OT-sårbarheter För att maximera sina chanser till framgång använder hackare alltmer sofistikerade attacker som utnyttjar sårbarheter som är specifika för industriföretag. Det skadliga verktyget Pipedream, som identifierades offentligt 2022, har till exempel utformats särskilt för att angripa industriella kontrollsystem (ICS).
Sammantaget har sådana attacker som är särskilt utformade för att angripa driftteknik - som används för att driva en anläggnings fysiska processer och industriella verksamhet - ökat med mer än 30 % under de senaste tolv månaderna.
Men även mindre sofistikerade attacker kan störa verksamheten genom att utnyttja en vanlig trend bland industriföretag: sammanslagningen av operativ teknik (OT) och IT. Under de senaste åren har industriföretagen i allt högre grad kopplat samman sina industriella maskiner och processer med resten av sina IT-system för att möjliggöra ökad effektivitet och automatisering.
Men den ökade sammankopplingen har också lett till mer förödande cyberattacker med ursprung i IT-sidan.
Dessa cyberattacker kan utnyttja svagare cybersäkerhetsrutiner på den operativa sidan, t.ex. dålig nätverkssegmentering eller låg synlighet för inventering eller korrigeringar. Till exempel säger hälften av de europeiska energi- och försörjningsföretagen att de har liten eller ingen överblick över patchningen av sina tillgångar, och en av tio tror att de skulle behöva mer än sex månader för att lappa en kritisk sårbarhet.

Cyberattacker riktas mot kritiska noder i leveranskedjan

Riskerna med cyberattacker är inte begränsade till ett företags egna system. För större industriföretag kan sårbarheterna finnas hos leverantörer och kritiska noder i leveranskedjan, t.ex. hamnar, flygplatser eller rederier. I juli 2023 tvingades Toyota ställa in sin förpackningslinje efter att en ransomware-attack drabbat hamnen i Nagoya, deras viktigaste fraktknutpunkt. Ett år tidigare hade en annan cyberattack mot en av Toyotas leverantörer lett till att produktionen i alla dess japanska fabriker stoppades.
Valet av sådana mål är avsiktligt, och hamnar är särskilt sårbara, vilket Larry O'Brien från ARC Advisory Group påpekar: "Det finns många sårbarheter för cybersäkerhet i sjötransportsystemet när det gäller operativ teknik (OT) på teknik-, produkt- och systemnivå. Det finns nu ett brett utbud av uppkopplade tillgångar, från lasthanteringssystem med kranar till intelligenta pumpar, system för positionering, navigering och tidsbestämning (PNT) och fartyg. Dessa nya uppkopplade lösningar installeras inte alltid med cybersäkerhet i åtanke, och många hamnar och anläggningar har inte tillräckligt med personal för att hantera cybersäkerhet."

De fysiska komponenterna i leveranskedjan är inte de enda som är utsatta för risker. Under de senaste tolv månaderna har två av de mest förödande cyberattackerna - GoAnywhere och MoveIt - riktats mot programvara för hanterad filöverföring, som ofta används för att säkert utbyta data med partners, leverantörer och kunder. I båda fallen fick hackarna tillgång till ett stort antal kunder, däribland myndigheter och stora företag som BBC, British Airways och USA:s energidepartement.

Hur kompetensbrister kan leda till sårbarheter och dåliga inventeringsrutiner Portar

Enligt en färsk rapport från Enterprise Strategy Group (ESG) rapporterar hela 71% av företagen att de står inför kompetensbrist inom detta område. Dessutom uppgav två tredjedelar av cybersäkerhetsexperterna att deras roller har blivit mer utmanande under de senaste två åren.
Ett primärt problem, som nämndes av 59% av de tillfrågade, var den växande attackytan för deras företag, som påverkas av faktorer som sträcker sig från Internet of Things (IoT) till ökningen av distansarbete. 43% nämnde också budgetbegränsningar och komplexiteten i efterlevnaden av lagar och regler. Konsekvenserna av gles bemanning och underfinansierade cybersäkerhetsteam är påtagliga. I februari 2023 utnyttjade cyberbrottslingar tusentals VMware ESXi-servrar och drog nytta av en sårbarhet som hade varit känd i nästan två år.

59 % av de tillfrågade uppgav att de främst oroade sig för den växande attackytan på deras företag, som påverkas av faktorer som sakernas internet (IoT) och det allt vanligare distansarbetet. 43% nämnde också budgetbegränsningar och komplexiteten i efterlevnaden av lagar och regler. Konsekvenserna av gles bemanning och underfinansierade cybersäkerhetsteam är påtagliga. I februari 2023 utnyttjade cyberbrottslingar tusentals VMware ESXi-servrar och drog nytta av en sårbarhet som hade varit känd i nästan två år.

Det faktum att hackare fortfarande kan utnyttja två år gamla sårbarheter i stor skala visar att industriföretag behöver bättre inventering, programvara för sårbarhetshantering och revisionsrutiner. Att ha en fullständig och väl underhållen inventering av alla OT- och IT-tillgångar och slutpunkter är avgörande för att förstå de potentiella attackytorna, identifiera sårbarheter och utveckla effektiva svar på incidenter och återhämtning. Med en kompetensbrist som förväntas kvarstå till 2024 och därefter kan en sådan omfattande inventering lägga grunden för att automatisera fler cybersäkerhetsuppgifter. Till exempel kan de dubbelkontrollera befintlig utrustning och programvara mot databaser över kända sårbarheter, som NIST-NVD från National Institute of Standards and Technology, och fastställa antalet sårbarheter i sina driftanläggningar och få en uppfattning om vilken utrustning som är utsatt för risker.

Det kan vara nödvändigt att anta sådana strategier. I ett klimat präglat av ekonomisk oförutsägbarhet räknar 51 % av storföretagen med att antingen minska eller frysa sina cybersäkerhetsbudgetar under de kommande tolv månaderna. För industriföretag kan kampen mot cyberattacker i ökande antal med mindre pengar och resurser bli den avgörande utmaningen för 2024.Edgardo Moreno är Executive Industry Consultant på Hexagon.