Over Colonial Pipeline is in Nederland de laatste dagen weer veel geschreven, maar daarbij is het woord vergrijzing niet genoemd. In de Amerikaanse pers is dat een ander verhaal. Publicaties die schrijven over overheidsbeleid en HRM hebben dat laatste punt wel opgepakt. Er is in dit geval namelijk een directe link tussen de impact van ransomware aanvallen en vergrijzing.
Colonial Pipeline ransomware
Een paar weken terug is Colonial Pipeline in Amerika het slachtoffer geworden van een ransomware aanval. De impact was direct zichtbaar en zeer groot. De bevoorrading met brandstof voor een groot deel van het Oosten van Amerika raakte verstoord. Door de aanval was het bedrijf namelijk niet meer in staat bij te houden hoeveel brandstof er werd afgeleverd. Het registratiesysteem van de pompen was platgelegd. In reactie daarop werden ook de pompen zelf platgelegd.
Door de aanval zijn ook andere systemen van het strategisch belangrijke bedrijf geraakt. De schade was enorm. Dat het losgeld is betaald heeft iedereen meegekregen, net als dat het twee dagen terug de FBI is gelukt een groot deel van dat bedrag weer terug te halen.
Aanvalsmethode
Dat was nieuws dat wereldwijd is verspreid. Waar men minder ruchtbaarheid aan heeft gegeven is manier waarop de aanval is ingezet. Een zwak wachtwoord voor een vpn account dat eigenlijk al lang verwijderd had moeten zijn leverde de cybercriminelen toegang tot het netwerk. Binnen securitykringen is daar met verbazing op gereageerd. Ook omdat binnen Colonial Pipeline dus duidelijk geen 2FA was doorgevoerd.
Rol van vergrijzing
Maar er is nog iets aan deze zaak dat tot verbazing heeft geleid. De CEO van het bedrijf heeft inmiddels al uitleg moeten geven aan de Senaat in Washington. Daarbij heeft hij aangegeven dat de directe schade van de aanval kleiner had kunnen zijn, maar dat de vergrijzing Colonial Pipeline parten speelt.
Noodplan
Concreet komt het er op neer dat een deel van het noodplan is gebaseerd op het manueel bedienen van het pompennetwerk. Het aantal medewerkers dat daar ervaring mee heeft is gering. De noodprocedures zijn gebaseerd op een standaardwerkwijze die deels door automatisering is overgenomen. Medewerkers die de oude procedures kennen zijn bijna allemaal gepensioneerd of om andere redenen vertrokken.
En hoewel het duidelijk is dat de noodprocedures te weinig zijn getest is er ook anders aan de hand. We zijn zo afhankelijk van computergestuurde processen dat velen niet kunnen improviseren met mechanische middelen.
