Cyberterrorisme is een groteske term die angst aanjaagt, omdat het publiek die associeert met de procesindustrie. Die industrie ziet de dreiging echter veelal als onwaarschijnlijk: er worden immers zware beveiligingsmaatregelen getroffen om onbevoegden buiten de deur te houden bij de processen die bij kwade opzet grote delen van de bevolking van ons land kunnen schaden.
Er is niet alleen gedacht aan fysieke beveiliging, ook de computers en netwerken van de ondernemingen in de sector zijn in de meeste gevallen zeer grondig beveiligd. Maar hoe goed zijn de computers die niet in het netwerk hangen beveiligd?
Dat grote organisaties ook ten prooi kunnen vallen aan cyberaanvallen, werd duidelijk in december 2009 en januari 2010, toen de Aurora-aanval verschillende internationals infecteerde. Het bekendste slachtoffer was Google. Google heeft zelf in de publiciteit gebracht dat het netwerk van het bedrijf was binnengedrongen, waarop een politieke discussie over censuur in China losbarstte. De ophef over dit principiële onderwerp overschaduwde in de media het belangrijkste aspect van Aurora: naast Google werden nog ruim dertig grote ondernemingen, die zeker niet zonder security software en intrusion prevention op hun netwerken opereren, ook geraakt door de hackers, dankzij de enorme geraffineerdheid van de aanval.
Maar, hoe vervelend Aurora’s gevolgen ook waren voor de aangevallen bedrijven en eventueel voor hun klanten, het doel was bedrijfsspionage. Buiten grote stress bij de it-verantwoordelijken van de aangevallen bedrijven, was er geen potentiële schade aan de volksgezondheid.
Anders lag dat bij dé andere cyberaanval van 2010: Stuxnet. Stuxnet is, net als Aurora, een stuk malware dat uit meerdere onderdelen bestaat. De ontwikkelaars van Stuxnet zijn hierin echter nog veel verder gegaan. Zo maakt Stuxnet niet gebruik van één zero day-lek, zoals Aurora, maar van vier. Daarnaast werd ook een oud zero day-lek gebruikt. Deze dateert al uit 2008. Windows heeft het lek ook al in 2008 gedicht, maar er zijn veel systemen waarop deze patch niet is geïnstalleerd. Om als legitieme software te worden gecategoriseerd door Windows, maakte Stuxnet gebruik van gestolen legitieme Windows-certificaten van de nog altijd actieve ondernemingen Realtek Semiconductors en JMicron.
De malware is niet bedoeld om veel computers, maar om specifiek de juiste computers te infecteren. Om dit te bewerkstelligen, is de infectie alleen mogelijk op basis van fysieke nabijheid, bijvoorbeeld via usb-sticks of via het aansturingsysteem van gedeelde printers. Om onder de radar te blijven en dus niet te snel naar teveel computers te verspreiden, kan de malware telkens maar drie andere pc’s infecteren. Dit getuigt van een ongekende focus en discipline van de malwareschrijvers. Ondanks deze limitatie heeft Stuxnet wereldwijd tientallen industriële netwerken kunnen infecteren.
Uit de aanvallen van Aurora en Stuxnet zijn enkele conclusieste trekken. Allereerst lijken cyberaanvallen steeds professioneler en geraffineerder te worden. Ten tweede lijken ook de doelstellingen van malware te escaleren. Waar het eerst de bedoeling was wat geld van het doelwit te stelen, werd op een gegeven moment kritieke bedrijfsinformatie de prooi. Nu lijken chantage, afpersing, totale controle over industriële processen, vernietiging en, zeker in het geval van de procesindustrie, schade aan de volksgezondheid de volgende doelstellingen.
In de Nederlandse procesindustrie worden process control-systemen, evenals in de rest van de wereld, als minder relevant gezien voor de it-security. Deze machines staan immers los van het normale bedrijfsnetwerk en er wordt niet aan gewerkt zoals op kantoor aan gewone pc’s wordt gewerkt. De kans op infectie is daarmee echter niet nihil. Het process control-systeem is wellicht een eiland, maar er zijn weldegelijk infrastructurele verbindingen met ‘het vaste land’. Het is dan ook zeker niet uitgesloten dat de Nederlandse procesindustrie in aanraking zal komen met een cyberaanval.
Er is een dilemma vanuit het it-oogpunt. Patches kunnen schadelijk zijn voor het proces en worden derhalve zeer langdurig getest alvorens zij worden uitgerold. Hetzelfde geldt voor securitysoftware. De lange aanlooptijden resulteren echter helaas vaak in een verslapping van de aandacht. De veiligheid van de geïsoleerde systemen verliest prioriteit en er kunnen jaren overheen gaan voordat een kritiek lek in het besturingssysteem wordt gedicht, zoals Stuxnet pijnlijk heeft aangetoond.
Om de dreiging van dit soort aanvallen tegen te gaan, is het van groot belang om de urgentie van beveiliging van de process control-systemen te erkennen. Op zoek gaan naar de perfecte security-oplossing zou dan ook de eerste prioriteit moeten zijn. Het uitvoeren van software-updates en het installeren van patches moet inderdaad niet overhaast gebeuren, maar het proces van testen ervan moet weldegelijk direct in gang worden gezet en zo snel mogelijk worden afgerond om zwakke plekken in de systemen te kunnen dichten.
Een ander belangrijk punt is de bewustwording van alle werknemers dat zij een potentieel doelwit zijn van cybercriminelen, ongeacht of zij nu wel of niet betrokken zijn bij het process control-proces. Dat betekent dat ze, vooral wanneer ze op het werk zijn, zeer terughoudend moeten zijn met het aanklikken van links in e-mails en op sociale netwerksites. Ook het gebruik van usb-sticks zou sterk moeten worden afgeraden. Deze maatregelen zijn deels technisch af te dwingen. Hoewel dit gemakkelijk is en daarom ook zeker aan te raden, is het van essentieel belang dat werknemers begrijpen waarom ze te maken hebben met deze beperkingen. Alleen dan zullen ze deze accepteren en niet proberen om deze op creatieve wijze te omzeilen en daarmee het bedrijf onbedoeld openstellen voor gevaar.
Met deze maatregelen wordt het risico van individuele ondernemingen wat ingedamd. Echter daarmee is deze nieuwe tak van georganiseerde misdaad nog niet aangepakt. Dat zal op internationaal niveau moeten gebeuren. Het zou logisch zijn dat overheden, net als bij het kernwapenprogramma, afspraken maken over het zelf ontwikkelen en hun financiële betrokkenheid bij de ontwikkeling van dit soort cyberaanvallen. Ook zouden er procedures moeten worden ontwikkeld waarbij de opsporing van de verantwoordelijken eenvoudiger wordt. Het onderzoek wordt al snel grensoverschrijdend en alle landen zouden (actief) moeten meewerken aan de opsporingsonderzoeken. De strafmaat voor dit soort aanvallen zou aanzienlijk moeten zijn, en gelijk in alle landen. Zo wordt voorkomen dat cybercriminelen zich gaan ophouden in landen met een lage strafmaat voor cybermisdaad.
Maar naast politieke, politionele en justitiële instellingen, zou ook de internationale industriesector actief moeten samenwerken om de risico’s van cyberaanvallen te verkleinen. Hoewel vanuit concurrentieoogpunt niet ieder bedrijf genegen is om bekend te maken dat een cyberaanval op hun netwerk (redelijk) succesvol is verlopen, zouden internationale afspraken dit verplicht moeten stellen. Wanneer informatie over een cyberaanval in een vroeg stadium bekend wordt, kunnen andere ondernemingen maatregelen treffen tegen die aanval. De industrie kan verder afspreken om altijd volledig mee te werken aan onderzoek naar cyberaanvallen, ook als dat betekent dat de productie hier tijdelijk onder te lijden heeft, of dat bepaalde bedrijfsgeheimen aan de onderzoekers prijs moeten worden gegeven.