Meldingsprocedures voor kwetsbaarheden in energiesector schieten tekort

De uitgebreide beoordeling van de stichting, beschikbaar op basisbeveiliging.nl, heeft aanzienlijke kwetsbaarheden binnen de industrie blootgelegd.

Belangrijkste bevindingen

• Wijdverbreid gebrek aan beveiligingsnormen: maar liefst 85% van de ondervraagde organisaties beschikt niet over de verplichte security.txt-standaard, een belangrijk hulpmiddel voor onderzoekers om kwetsbaarheden te melden.
• Offshore hosting van kritieke diensten: Veel Nederlandse netwerkbeheerders, waaronder Liander, hosten onlinediensten in de Verenigde Staten, wat zorgen oproept over de soevereiniteit van gegevens en mogelijke kwetsbaarheden.
• Slechte domeinbeveiliging: meer dan 41% van de onderzochte domeinen bleek een onveilige configuratie te hebben.

Waarom de hele sector onder de loep wordt genomen

De studie gaat verder dan alleen de grootste energiebedrijven en onderzoekt ook kleinere spelers en leveranciers. Deze allesomvattende aanpak is noodzakelijk vanwege de onderlinge verbondenheid van de energie-infrastructuur.

De beoordeling ging ook dieper in op de cybersecuritypraktijken van Nederlandse netwerkoperators. Hoewel kleinere operators het over het algemeen beter deden, scoorden de twee grootste nationale netwerkoperators, Tennet en Gasunie, het laagst.

Het belang van Security.txt

Security.txt biedt een gestandaardiseerde manier voor beveiligingsonderzoekers om kwetsbaarheden te melden. De afwezigheid ervan bij de meeste energiebedrijven belemmert de ontdekking en het verhelpen van potentiële beveiligingsbedreigingen.

Oproep tot actie

De Internet Cleanup Foundation spoort organisaties aan om cybersecurity prioriteit te geven en best practices te implementeren. Door security.txt te implementeren en hun algehele beveiligingshouding te versterken, kunnen energiebedrijven hun kritieke infrastructuur en de consumenten die ze bedienen beter beschermen.

Lees hele hele onderzoek hier.