McAfee en het Center for Strategic and International Studies (CSIS) hebben vandaag de resultaten uit een rapport bekendgemaakt over de kosten en impact van cyberaanvallen op kritische infrastructuren van elektriciteit, olie, gas en water. Het onderzoek is gehouden onder 200 IT-security experts uit 14 landen en wijst uit dat 40 procent van de leidinggevenden denkt dat het aantal aanvallen op de industrie is toegenomen. Bijna 30 procent gelooft dat zijn bedrijf niet voorbereid is op een cyberaanval en meer dan 40 procent verwacht in het komende jaar een belangrijke cyberaanval.

Het rapport "In the Crossfire: Critical Infrastructure in the Age of Cyberwar", is door CSIS in opdracht van McAfee gemaakt. "We hebben ontdekt dat civiele ondernemingen geen goede veiligheidsmaatregelen nemen ondanks de stijging van bedreigingen het afgelopen jaar", aldus Stewart Baker, die het onderzoek voor CSIS leidde. Ondernemers hebben het afgelopen jaar bescheiden vorderingen gemaakt met het beveiligen van hun netwerk; de energiesector verhoogde de toepassing van veiligheidstechnologieën met slechts één procent (51%) en de olie- en gasindustrieën met slechts drie procent (48%).

"Negentig tot vijfennegentig procent van de mensen die werkzaam zijn voor elektriciteitsnetwerken maakt zich geen zorgen over veiligheid en beschouwt het als iets waarnaar nog wel eens gekeken moet worden", aldus Jim Woolsey, voormalig hoofd van de CIA.

Het rapport is een follow-up van het in 2010 gepubliceerde rapport "In the Crossfire: Critical Infrastructure in the Age of Cyberwar", waarin werd aangetoond dat veel wereldwijde infrastructuren hun computernetwerken niet hadden beschermd. Ook onthulde het rapport de schrikbarende kosten en impact van cyberaanvallen op deze netwerken. Het nieuwe onderzoek toont aan dat het dreigingniveau voor deze infrastructuren is verhoogd, maar het reactieniveau niet. De meerderheid van de respondenten (ongeveer 75%) gaf aan regelmatig malware te vinden die bedoeld is om systemen te saboteren en bijna de helft van de respondenten in de elektriciteitssector liet weten dat ze Stuxnet op het systeem hadden gevonden. Deze bedreiging voor infrastructuren betreft ook de intelligente elektriciteitsnetwerken, waarvoor steeds vaker veiligheidsmaatregelen worden getroffen en waarvan wordt verwacht dat hieraan in 2015 mondiaal meer dan 45 miljard dollar zal worden besteed.

"Wat we uit het onderzoek leren, is dat het intelligente elektriciteitsnetwerk eigenlijk helemaal niet zo intelligent is", aldus Phyllis Schneck, vice president en chief technology officer voor de public sector intelligence bij McAfee. "In het afgelopen jaar hebben we met Stuxnet aantoonbaar één van de meest geraffineerde vormen van malware gezien, die duidelijk bedoeld was om IT-systemen van infrastructuren te saboteren. Het feit is dat de meeste kritische infrastructuursystemen niet zijn ontworpen met cyberveiligheid in gedachte, organisaties moeten daarom een beter netwerkbeheer invoeren zodat ze niet meer kwetsbaar zijn voor cyberaanvallen."

Andere belangrijke resultaten uit het rapport van dit jaar zijn onder andere:

• Cyberaanvallen gaan door - tachtig procent van de respondenten heeft op grote schaal te maken gehad met een denial-of-service (DoS) aanval en een kwart maakte melding van dagelijkse of wekelijkse DoS-aanvallen en was slachtoffer van afpersing door netwerkaanvallen;

• Afpersingspogingen kwamen vaker voor in de CIP-sectoren - één op de vier respondenten is slachtoffer geweest van afpersing door cyberaanvallen of dreigingen. Het aantal bedrijven dat met afpersing te maken kreeg, nam in het afgelopen jaar toe met 25 procent. Deze afpersingsgevallen waren gelijk verdeeld over de verschillende infrastructuursectoren. India en Mexico zijn landen met een hoog percentage afpersingspogingen; 60 tot 80 procent van de leidinggevenden die in deze landen zijn geënquêteerd, maakte melding van afpersingspogingen;

• Organisaties die onvoldoende veiligheidsmaatregelen hebben getroffen - voor offsite-gebruikers bestemde veiligheidsmaatregelen zijn in de minderheid, waarbij ongeveer een kwart van de geënquêteerden hulpmiddelen heeft ingevoerd om de netwerkactiviteit te controleren. Slechts 26 procent gebruikt hulpmiddelen om afwijkingen te vinden;

• Veiligheidsbewuste landen zoals - Brazilië, Frankrijk en Mexico blijven achter in het nemen van veiligheidsmaatregelen en treffen half zoveel maatregelen als landen zoals China, Italië en Japan. Tegelijkertijd behoorden China en Japan ook tot de landen die via de geldende wetgeving het gemakkelijkst aanvallen in hun land kunnen voorkomen;

• De Verenigde Staten en Europa blijven achter bij Azië voor wat betreft de betrokkenheid van de overheid - Respondenten in China en Japan maakten melding van zowel formele als informele interactie met hun overheid over veiligheidszaken, terwijl de Verenigde Staten, Spanje en het Verenigd Koninkrijk aan hebben gegeven weinig tot geen contact met de overheid te hebben;

• Organisaties zijn bang voor aanvallen op de overheid - meer dan de helft van de respondenten zegt dat ze al te maken hebben gehad met de gevolgen van aanvallen op de overheid.