Cyberaanvallen kunnen bij nuts- en productiebedrijven materiële en bedrijfsschade veroorzaken met slecht beschermde industriële controle systemen als target. In plaats van het stelen van data, wordt het meer aannemelijk dat cyberaanvallen tegen kritieke infrastructuren en productiebedrijven zich richten op industriële controle systemen (ICS) om zo bedrijven te manipuleren of zelfs volledige stil te leggen, stelt Allianz Global Corporate & Specialty (AGCS) in de laatste uitgave van het PR-magazine Global Risk Dialogue. Daarin wordt onder meer drie nutsbedrijven genoemd in de Oekraïne, de Israël National Electricity Authority en meest recent een Duitse kerncentrale, die onlangs te maken hebben gehad te maken gehad met cyberaanvallen. ”Naarmate energie-, transport- en telecombedrijven maar ook nutsbedrijven vaker vertrouwen op automatisering, robottechnologie en digitale netwerken of verbonden apparaten, worden zij steeds kwetsbaarder voor cyberaanvallen”, aldus AGCS, volgens wie er een groeiende bezorgdheid is over de kwetsbaarheid industriële systemen die worden gebruikt om processen in industriële en fabricage sectoren te monitoren of controleren.
In de VS waren afgelopen jaar bijvoorbeeld 295 geregistreerde ICS cyberincidenten, een stijging van 20%, “Een cyberaanval tegen ICS kan resulteren in zowel materiële schade zoals een brand of explosie als in business interruptie (BI)”, zegt Nigel Pearson, Global Head of Fidelity bij AGCS. “Een aantal ICS die vandaag de dag nog gebruikt wordt door producenten en nutsbedrijven is ontworpen in een tijd waar cyberaanvallen nog geen issue waren. Daarbij zijn ICS ook kwetsbaar voor technische storingen en operationele fouten, die frequent kunnen optreden en een grote impact kunnen hebben maar dikwijls niet in cyberrapporten worden beschreven. “
Kansen en risico’s voor ‘slimme producenten’.
Terwijl ICS met name een issue zijn voor de nutsbedrijven, bestaan er vergelijkbare cyber gerelateerde materiële schade en business interruption-risico’s in de productiesector. De zogenoemde ‘slimme producenten’ van de Industrie 4.0 generatie zijn sterk afhankelijk van automatisering, robotten en aangesloten supply chains. Vanuit het oogpunt van verzekeraars brengt dit zowel nieuwe risico’s als kansen met zich mee. “Het voortdurend monitoren en beter voorspeld onderhoud van geautomatiseerde productielijnen zullen kleinschalige frequentieschades verminderen en de levensduur van de apparatuur verlengen”, verklaart Michael Bruch, Head of Emerging Trends AGCS. “Productieketens zullen met verbeterde traceermogelijkheden beter worden gemonitord, beter voorspelbaar en zichtbaar zijn en de schades als gevolg van bederf of verloop van de houdbaarheidsdatum zullen verminderen.”
Echter, de onderlinge verbondenheid van supply chains en productieprocessen zal de cyberkwetsbaarheid doen toenemen, vooral omdat beveiligingsfouten die zijn ingebouwd in geïntegreerde software codes moeilijk zijn op te sporen. Het totale schadepotentieel stijgt aanzienlijk, wat een hoger accumulatiepotentieel creëert met grotere en meer complexe claims. Wanneer een robot wordt gehackt of een technische fout zich voordoet, kan een productielijn uren of zelfs dagen stilliggen en potentiële kosten van tientallen miljoenen per dag betekenen. Als er een fout in een algoritme zit of een IT systeem uitvalt kan dit een wereldwijde onderbreking van de productie veroorzaken en kunnen de verliezen zich verspreiden over verschillende regio’s en sectoren. Ondertussen kunnen nieuwe technologieën aansprakelijkheidskwesties verhogen. Er kunnen bijvoorbeeld claims worden neergelegd bij de ontwikkelaars en leveranciers van preventieve onderhoudssoftware wanneer letsel zich voortdoet.
Hoe te voorkomen?
Hoe kunnen toenemende risico’s in de industriële sector op een efficiënte manier worden voorkomen en verzacht? “Hoewel er niet zoiets is als 100% zekerheid, kan een veelomvattend cyber en IT risico bedrijfsstrategie met betrokkenheid van verschillende functies binnen het bedrijf nodig zijn om cyberrisico’s succesvol te bestrijden”, zegt Jens Krickhahn, Cyber Insurance Expert bij AGCS Centraal en Oost Europa. “Hoge technische IT-beveiliging standaards van netwerken, software en mobiele apparaten, bewustwording training van het personeel, continue procesoptimalisatie en een streng beheer van toegangsrechten en richtlijnen moeten hand in hand gaan. Om de overgebleven risico’s te beheren wordt de cyberverzekering een kernelement in het risicobeheer van vele bedrijven.“
In de toekomst zal de digitalisering de aard van de bedrijfsgoederen doen verschuiven van voornamelijk materieel naar steeds meer immaterieel. Merkwaarde en reputatie zullen net zoals intellectueel eigendom, technische know how en integraal ketenbeheer steeds belangrijkere activa worden. Bruch voegt toe: “Dekking voor de productielocatie van een bedrijf zal meer en meer elementen bevatten uit cyber, reputatie en specifieke niet-fysieke schade van de productieketen om zijn immateriële activa adequaat te beschermen. Het verfijnen van bestaande en ontwikkelen van nieuwe diensten rondom risico’s die verder gaan dan de traditionele is een kernelement om goed voorbereid te zijn op de volgende industriële revolutie voor zowel verzekeraars als bedrijven.”
Om bijvoorbeeld risico’s in de supply chain te verlichten is een verzekering veel meer dan een polis. Het is eerder een bundel van diensten die zowel risicoanalyses, benchmarking als advies bevat en die kan helpen de kwaliteit te analyseren en de weerstand verhogen. “We kunnen bedrijfsspecifieke resultaten aanleveren voor de dienstverleners en dit benchmarken voor een bepaalde bedrijfstak”, verklaart Volker Muench, AGCS Global Property Practice Group Leader. “Hoe meer informatie we hebben, hoe beter we de exposure kunnen modelleren en monitoren wat ons in staat brengt hogere dekkingslimieten kunnen bieden.”