Wat we hebben geleerd in de Oekraïne is dat een digitale samenleving kwetsbaar is. Datacenters zijn de knooppunten van rekenkracht en gegevensopslag, en behoren tot de meest aantrekkelijke doelen voor cyberaanvallen.
In de eerste maanden van 2022 werd de kritische infrastructuur van de Oekraïne digitaal onder vuur genomen met kwaadaardige tools zoals wipers en malware, die specifiek gericht waren op de Operationele Technologie (OT). Interessant detail was dat deze OT-sabotageaanvallen gecombineerd werden met cyberaanvallen op de IT-infrastructuur. Gelukkig had Oekraïne zich voorbereid op een Russische aanval en had een groot deel van hun vitale IT-infrastructuur uit voorzorg in datacenters buiten de landsgrenzen verplaatst. Hoewel dit cyberaanvallen niet zou voorkomen, beschermde dit uiteindelijk wel tegen vernietiging door een fysieke aanvallen.
Cybersecurity is geen criterium bij certificering
Vrijwel elk datacenter in West-Europa beschikt over één of meerdere ISO-certificeringen. De procesmatige informatiebeveiliging is vrijwel altijd gericht op de IT van gebruikers en gaat voorbij aan de digitale OT-kwetsbaarheden van de eigen operatie. Het is dan ook voor aanvallers eenvoudiger om de koelinstallatie of stroomvoorziening digitaal te saboteren dan duizenden servers individueel aan te vallen.
De erkende instituten zoals het Uptime Institute en ANSI/TIA kwalificeren de mate van beschikbaarheid van datacenters met hun TIER classificatie en Rated 1-4 gradatie. De beoordeling vindt plaats op basis van de hoeveelheid redundantie, continuïteitsmaatregelen en fysieke veiligheid. Cybersecurity is geen criterium.
Er zijn voldoende voorbeelden van succesvolle cyberaanvallen op datacenters die uiteindelijk hebben geleid tot downtime. In Verenigde Staten (VS) worden inmiddels de eerste rechtszaken gevoerd op basis van nalatigheid van de eigenaren van datacenters na uitval door een cyberaanval.
Inventarisatie minimaal 1 keer per jaar
De facilitaire infrastructuur van een datacenter bevat bijzonder veel digitale apparaten, welke ook vaak nog (in)direct met het internet zijn verbonden. Tijdens een door Secior uitgevoerde Health Check bleek een Tier 4 datacenter al in het eerste uur meer dan 200 kwetsbaarheden te vertonen, waarvan enkele kritisch. Het probleem is dat technici vaak niet op de hoogte zijn van de aanwezige apparatuur binnen het datacenter ‘wat men niet kent, kan men ook niet beschermen’. Dit probleem van onbekende apparatuur, verbindingen en kwetsbaarheden ontstaat onder andere door bedrijfsovernames en ook door legacy apparatuur. Om deze kwetsbaarheid van datacenters aanzienlijk te verminderen, zal er minimaal 1 keer per jaar een inventarisatie moeten worden gemaakt van de aangesloten apparatuur, de verbindingen en de kwetsbaarheden.
Uit het voorgaande concludeert Secior dat ISO-certificeringen en beschikbaarheid-classificaties niet kunnen voorkomen dat een kleine digitale kwetsbaarheid in de OT tot volledige uitval, grote schade en reputatieverlies kan leiden.
Cyberaanvallen uit met name Rusland worden steeds geavanceerder en nemen steeds grotere vormen aan. Datacenters die hun digitale beveiliging niet op orde hebben kunnen onder de nieuwe Europese NIS-2 wetgeving hoge boetes tegemoetzien bij een digitaal incident. Nu investeren in goede cybersecurity zal een schijntje zijn in vergelijking tot de schade van een succesvolle hack of tot de opgelegde boetes. Vandaar dat een cybersecurity keurmerk voor datacenters geen overbodige luxe is, maar pure noodzaak!
Dit artikel is ingezonden door Fred Streefland, CEO van Secior; een van de partners van de DDA.