Cyberaanvallen kunnen grote gevolgen hebben voor fabrikanten. Ze verstoren toeleveringsketens, leiden tot downtime en resulteren in productiviteits- en reputatieschade. Ze kunnen zelfs de fysieke veiligheid van werknemers in gevaar brengen. Als belangrijke apparatuur eenmaal gecompromitteerd is, kan een productielocatie met allerlei problemen te maken krijgen, van productiestilstand tot brandschade en ongelukken op de werkvloer. Lees verder om meer te ontdekken over de belangrijkste cyberdreigingen voor productiebedrijven in 2025 en wat je eraan kunt doen.
Bijna 65% van de industriële bedrijven werd in 2024 getroffen door ransomware-aanvallen, waarbij 71% van de aanvallen gericht was op productiebedrijven. Een jaar eerder bereikten ransomware-betalingen 1,05 miljard euro, terwijl het aantal ransomware-aanvallen op industriële infrastructuren verdubbelde.
Wat maakt productiebedrijven zo’n aantrekkelijk doelwit? De combinatie van digitalisering, de beschikbaarheid van data, IT en OT, en een relatief laag niveau van cybervolwassenheid ten opzichte van andere sectoren creëren ideale omstandigheden voor aanvallers om kwetsbaarheden op te sporen voor financieel gewin.
Voor meer informatie over trends en uitdagingen, lees The Cybersecurity Handbook for Mid-sized Manufacturers 2025:
Omdat fabrikanten gevoelig zijn voor downtime, is de kans minder groot dat ze investeren in cybersecurity. Voor productiebedrijven kunnen zelfs klassieke maatregelen – zoals systeemupdates en patchmanagement – obstakels worden voor ongestoorde productie. Geavanceerde beveiligingsmaatregelen kunnen de gehele productielijn tot stilstand brengen. Of tot grote kosten leiden door legacy-apparatuur te vervangen.
Tegelijkertijd zorgt de onderling verbonden natuur van productie risico’s met zich mee die verder gaan dan de klassieke toeleveringsketens. De sector staat bekend om zijn grote ecosystemen, die van sensoren in het veld helemaal doorlopen naar AI in de cloud, waardoor er zowel over-the-air operaties als clouddiensten worden toegevoegd. Niet alleen hebben we grotere aanvalsoppervlakken en nieuwe aanvalsvectoren, maar we hebben te maken met complexere netwerken van afhankelijkheden.
1. Ransomware-aanvallen, waaronder RaaS, zijn de grootste dreiging
Ransomware-groepen – dat wil zeggen: groepen van wereldwijd actieve aanvallers – gebruiken geavanceerde afperstechnieken om te zorgen dat doelwitten losgeld betalen. De beoogde informatie kan variëren van klantgegevens en intellectueel eigendom in brede zin, tot specifiek gerichte handelsgeheimen en R&D-data.
Hierbij nemen aanvallers de volledige controle van de kritieke systemen en activa van een doelwit over, versleutelen ze gevoelige data en eisen ze losgeld in ruil voor de decryptiesleutels die de data weer beschikbaar maakt. In scenario’s met zogenaamde dubbele afpersing stelen de aanvallers de data ook, naast dat ze deze versleutelen. In andere situaties kunnen de criminelen bedrijfsdata stelen en een organisatie afpersen door te dreigen om de informatie wereldkundig te maken.
Een nieuwere vorm van ransomware, RaaS of Ransomware-as-a-Service, is nu breed beschikbaar via opensource-tools en -diensten als RansomHub, Farnetwork en Kryptina.
Volgens het meest recente Threat Landscape-rapport van ENISA zijn LockBit, Cl0p en PLAY nu de meest gebruikte vormen van ransomware die in RaaS-aanvallen gebruikt worden. LockBit is daarbij goed voor ongeveer de helft van de gemelde incidenten.
De industriële sector en de maakindustrie zijn in 2024 “de meest frequente slachtoffers met de hoogste impact” gebleven, zegt het rapport. Binnen Europa behoren LockBit, 8Base en C10p tot de belangrijkste RaaS-groeperingen, die bijdragen aan zowel de grootste hoeveelheid als de meest complexe ransomware-aanvallen. LockBit en 8Base richten zich daarbij specifiek op productiebedrijven.
2. Social engineering-aanvallen
Bij social engineering worden menselijke fouten misbruikt om toegang te krijgen tot gevoelige informatie of financieel gewin. Het doel is om werknemers zo ver te krijgen dat ze bepaalde acties uitvoeren waarmee kwaadwillenden toegang krijgen tot persoonlijke gegevens, wachtwoorden, bankrekeningen of creditcardgegevens. Meestal doen kwaadwillenden zich voor als een autoriteit en maken ze valse berichten waarin de beoogde werknemer gevraagd wordt om snel te handelen.
Aanvallers gebruiken steeds geavanceerdere technieken voor, waaronder “open source information gathering” (OSINT) met behulp van open source generatieve AI, om zo zeer overtuigende, eigen berichten te maken. Deze berichten verleiden werknemers om op een link te klikken of een geïnfecteerd bestand te openen.
Aanvallers kunnen zich richten op specifieke individuen en context toevoegen waardoor het lastig is om scams te onderscheiden van legitieme communicatie. Of ze kunnen AI-automatisering gebruiken om berichten in bulk te versturen naar een willekeurige lijst van verzamelde e-mailadressen. Recente gevallen van Business Email Compromise (BEC) gebruiken bijvoorbeeld bestaande e-mailketens om legitiem te lijken en verleiden hun doelwit om bepaalde acties uit te voeren.
De diefstal van cloudinloggegevens – waarbij cloud-specifieke inloggegevens worden misbruikt en cloudaccounts worden overgenomen – zijn het afgelopen jaar geëscaleerd, wat pleit voor meer waakzaamheid rond identiteit-gebaseerde aanvallen. De top drie merken die in het vierde kwartaal van 2023 het doelwit werden, waren Microsoft (33%), Amazon (9%) en Google (8%). In het eerste kwartaal van 2024 zagen we een toename in het aantal social engineering-zaken dat gerelateerd was aan LinkedIn (11%).
3. Aanvallen op de toeleveringsketen
Bij deze cyberaanvallen proberen kwaadwillenden de interacties tussen productiebedrijven en hun leveranciers compromitteren. Daarvoor gebruiken ze een variëteit aan technieken, van klassieke social engineering-aanvallen via malware tot brute-force-aanvallen en misbruik van kwetsbaarheden in software als gevolg van slecht patchmanagement.
Van aanvallen op de toeleveringsketen is bekend dat ze zich richten op updatemechanismen of proberen om de toeleveringsketen van opensource-software proberen te compromitteren, door malware toe te voegen aan bestanden of om ontwikkelaars te verleiden om gecompromitteerde software te gebruiken.
Vooral aanvallen op de toeleveringsketen waarbij opensource-technologie gebruikt wordt, nemen toe. Een opvallend incident in 2023 was de 3CX-zaak, waarbij een achterdeurtje werd toegevoegd aan een opensource-project. Dit werd alleen ontdekt omdat het achterdeurtje tot pieken in het CPU-gebruik leidde.
Een andere zaak is gerelateerd aan een reeks verdachte, op het oog ongerelateerde e-mails aan de OpenJS Foundation, wat ertoe leidde dat de OpenJS Foundation en The Open-Source Security Foundation een officiële waarschuwing uitstuurden aan alle opensource-beheerders om hun projecten te beschermen.
Volgens gegevens van ENISA worden met name digitale infrastructuur (8%), de maakindustrie (6%) en zakelijke dienstverlening (8%) door aanvallen op de toeleveringsketen getroffen.
4. Aanvallen via dreigingen van binnenuit
Bij dit soort aanvallen wordt de geautoriseerde toegang van een werknemer gebruikt om gevoelige data te stelen en om uiteindelijk schade toe te doen aan de organisatie door de vertrouwelijkheid en integriteit van die data te compromitteren.
Veelvoorkomende vormen van dit soort aanvallen zijn de diefstal van intellectueel eigendom en cyberspionage. Beide aanvalsvormen kunnen ertoe leiden dat klant- of bedrijfsdata gelekt worden, de concurrentie een oneerlijk voordeel krijgt of, in extreme gevallen, dat het productiebedrijf zijn reputatie op de markt verliest.
Diefstal van intellectueel eigendom kan ook draaien om R&D-middelen, zoals innovatieve producten of materialen, zakelijke processen of productontwerp. Zonder de nodige beveiligingsmaatregelen hebben bedrijven misschien niet eens door dat de integriteit van hun data gecompromitteerd is en dat er intellectueel eigendom is gestolen.
Staat-gesponsorde aanvallen voegen extra complexiteit toe. Hierbij is cyberspionage de grootste zorg. Productiebedrijven worden het doelwit van staten die de economie van een land willen verstoren of handelsgeheimen willen bemachtigen om hen een wereldwijd concurrentievoordeel te geven. Vanwege de lange toeleveringsketens en meerdere zakelijke samenwerkingen zijn productiebedrijven een gemakkelijk doelwit.
5. Denial of service (DoS)- of distributed denial of service (DDoS)-aanvallen
(Distributed) denial of service (DDoS)-aanvallen vallen de beschikbaarheid van systemen en data aan. In feite overspoelen ze het netwerk van het doelwit met verkeer totdat het doelwit niet meer kan reageren of crasht. Deze tactiek voorkomt dat legitieme gebruikers bij een systeem, apparaat, data of andere zakelijke middelen kunnen komen.
De DDoS-trend wordt toegeschreven aan de terugkeer van hacktivisme gericht op EMEA- en EU-lidstaten, maar ook aan de beschikbaarheid van tools en diensten waarmee DDoS-aanvallen gehuurd kunnen worden. Deze tools en diensten maken het significant minder ingewikkeld om DDoS-aanvallen op te starten en uit te voeren. Volgens het Threat Landscape 2024-rapport van ENISA worden DDoS-aanvallen ook steeds vaker gebruikt als dekmantel voor andere aanvallen.
Cloud computing-omgevingen worden een populaire aanvalsvector, waarmee geavanceerde DDoS-aanvallen kunnen worden uitgevoerd. Voor fabrikanten is dit relevant vanwege de groeiende trend richting mobiele en sensor-gebaseerde scenario’s.
Een andere veelvoorkomende vorm is Ransom Denial of Service (RDoS), een financieel gemotiveerde vorm van een DDoS-aanval. Hierbij identificeren kwaadwillenden kwetsbare systemen, zodat ze afpersende DDoS-aanvallen kunnen uitvoeren, die er uiteindelijk toe leiden dat er losgeld wordt betaald.
Al met al signaleert ENISA de volgende trend: aanvallen worden goedkoper, gemakkelijker uit te voeren, vinden op grotere schaal plaats en worden complexer. Dat blijkt onder meer uit de zogenaamde multivector DDoS-aanvallen. De redenen hiervoor zijn het toegenomen gebruik van direct beschikbare dual-use open-source technologie, de opkomst van generatieve AI, en de wijdverspreide adoptie van schaalbare cybercrime-as-a-service-diensten.
Conclusie en vooruitblik
Het is tijd voor fabrikanten om verder te gaan dan de traditionele beveiligingsmaatregelen en proactieve, meerlaagse verdedigingsstrategieën te implementeren. Nu aanvallers beter, sneller en slimmer worden, moeten fabrikanten cybersecurity integreren in hun bedrijfscontinuïteitsplannen. Een investering in cybersecurity betekent het beschermen van operaties, intellectueel eigendom en reputatie. De mogelijkheid om op dreigingen te anticiperen, deze te detecteren en daarop te reageren, kan het verschil betekenen tussen de deuren open houden of ze sluiten. Dit is waar Eye Security inspringt met 24/7 MDR met IR, deskundige begeleiding en geïntegreerde cyberverzekering. Neem contact op om alle details te ontvangen.
