Veel partijen realiseren zich niet dat ze hun API’s ook moeten beveiligen volgens de NIS2-richtlijn

De nieuwe NIS2 security-richtlijn treedt binnenkort in werking. Deze Europese richtlijn verhoogt de cybersecurityeisen voor middelgrote en grote Europese organisaties uit vitale sectoren, zoals de energiesector. De Belgische overheid heeft tot oktober 2024 de tijd om de richtlijn te implementeren. De komende maanden zal er daarom specifieke aandacht worden besteed aan handhaving en toezicht op de implementatie van NIS2. Bevoegde autoriteiten zullen worden aangesteld om naleving te waarborgen. Ze zullen in staat zijn om op elk moment inspecties uit te voeren om te controleren of organisaties voldoen aan NIS2.

De richtlijn eist dat organisaties uit vitale sectoren verschillende security-maatregelen nemen, zoals 24/7 incidentrespons, basis computerhygiëne, medewerkerstraining, cryptografie en toegangsbeheer. Daarnaast worden organisaties ook verantwoordelijk gesteld voor nalatigheid van hun directe leveranciers en kunnen directeuren zelfs persoonlijk aansprakelijk worden gesteld. Dit zorgt voor een aanzienlijke verandering ten opzichte van de GDPR-wetgeving.

API’s vormen groeiend risico

NIS2 komt niet uit de lucht vallen, de groeiende stroom cyberaanvallen heeft de bezorgdheid over de veiligheid van vitale infrastructuur doen toenemen. Uit recent onderzoek van het NCTV blijkt dat energiebedrijven steeds vaker het slachtoffer zijn van cyberaanvallen. En ook het CCB heeft de afgelopen jaren verschillende projecten opgestart om de cyberveiligheid van vitale sectoren, zoals de energiesector, te versterken. Veel organisaties met vitale infrastructuren, zoals energiemaatschappijen, zijn daarom druk bezig om hun security op orde te krijgen.

Veel partijen realiseren zich echter niet dat ze hun API’s (voluit: application programming interfaces) ook moeten beveiligen volgens de NIS2-richtlijn. Dat is zorgwekkend, want volgens Gartner zullen API-aanvallen het meest voorkomende aanvalstype worden. Naar schatting zal 40 procent van de op web gebaseerde apps te maken krijgen met cyberaanvallen. Bovendien heeft meer dan een derde van de organisaties, volgens onderzoek van Salt Security, nog geen API-beveiligingsstrategie. Een punt van zorg, want API’s spelen een cruciale rol bij veel bedrijven. Met name in de energiesector zijn ze niet meer weg te denken. Maar in de praktijk beveiligen de meeste energiebedrijven hun API’s niet, op enkele voorlopers na, zoals het Australische gas- en elektriciteitsbedrijf Jemena.

Energiesector is kwetsbaar

Energiebedrijven gebruiken API’s bijvoorbeeld om data te verzamelen en te delen over energieopwekking, distributie en verbruik. Helaas biedt dit ook kansen voor aanvallers om toegang te krijgen tot gevoelige informatie, zoals klantgegevens, financiële gegevens en operationele details. Het verlies van dergelijke gegevens kan ernstige gevolgen hebben, variërend van financieel gewin tot spionageactiviteiten die de bedrijfsvoering verstoren.

API’s worden daarnaast vaak gebruikt voor het beheer van energielevering, zoals het plannen van de energieproductie, het beheren van demand response-programma’s en het faciliteren van energiehandel. Door cyberaanvallen uit te voeren op API’s kunnen cybercriminelen bijvoorbeeld de energielevering platleggen, energiehandelsplatforms ontwrichten en de communicatie tussen verschillende spelers op de energiemarkt verstoren. Dit kan zorgen voor instabiele energienetwerken, prijsmanipulatie en een grote impact hebben op de energievoorziening aan eindgebruikers.

Een bijkomend risico van API-cyberaanvallen is het domino-effect dat kan optreden. API’s maken vaak deel uit van een groter ecosysteem van systemen en diensten die met elkaar communiceren. Wanneer een API in het energiesysteem wordt gecompromitteerd, kan dit leiden tot supply chain-aanvallen, waarbij andere systemen en API’s kwetsbaar worden. Zo’n kettingreactie kan grootschalige verstoringen in de energiesector veroorzaken, waarbij meerdere bedrijven en infrastructuur betrokken zijn.

Om API’s te beschermen is een specifieke aanpak nodig die rekening houdt met de unieke beveiligingsoverwegingen in de hedendaagse omgeving. Dit omvat het identificeren van risico’s, het opstellen van een security-beleid, en het hebben van een actueel overzicht van alle gebruikte API’s. Daarnaast is inzicht in de data die via API’s worden uitgewisseld essentieel. Organisaties moeten zorgen voor een adequaat beleid, documentatie en technologieën voor het beheren, monitoren en ontdekken van API’s.

Het waarborgen van API-security tijdens runtime is van cruciaal belang. Door het monitoren van API’s krijgen organisaties inzicht in normaal API-gedrag en kunnen ze snel potentiële misbruiken herkennen. Het identificeren van kwetsbaarheden vereist een specifieke aanpak, omdat elke API uniek is. Runtime security is nodig om het trage en doelgerichte gedrag van cybercriminelen te ontdekken die op zoek zijn naar API-kwetsbaarheden en andere fouten. Daarnaast is proactieve security essentieel. Inzichten uit tests in de pre-productiefase en tijdens runtime helpen developers om hun API’s te versterken. Het is echter niet voldoende om alleen te vertrouwen op vroege security-tactieken.

Een nieuw tijdperk

Met de NIS2-richtlijn betreden we een nieuw tijdperk van proactieve beveiliging. Het is duidelijk dat de NIS2-richtlijn een belangrijke stap voorwaarts is in het versterken van onze vitale infrastructuren. Organisaties, zoals energiebedrijven, worden dankzij de richtlijn aangemoedigd om zich beter voor te bereiden op cyberaanvallen, uitgebreide risicobeoordelingen uit te voeren, medewerkers bewust te maken van cyberdreigingen en robuuste oplossingen te implementeren.

API-security vormt hierbij een essentieel onderdeel. Het is daarom belangrijk dat organisaties deze richtlijn serieus nemen en zich grondig voorbereiden. Alleen op deze manier kunnen we een veilige digitale toekomst waarborgen, waarin de energievoorziening betrouwbaar blijft en vitale infrastructuur beschermd is tegen cyberaanvallen.