Stuxnet laat zien hoe kwetsbaar procesautomatisering is. Vroeger waren industriële systemen fysiek gescheiden en alleen via speciale apparatuur te beheren. Tegenwoordig worden ze gekoppeld aan gangbare ict-technologie. Daardoor ontstaan nieuwe risico’s. Ik wil een en ander verduidelijken aan de hand van drie stellingen.
1. Als oude technologie wordt gekoppeld met nieuwe technologie, ontstaan er vaak beveiligingskwetsbaarheden.
De levenscyclus van apparatuur en operating systemen in de industriële omgeving is beduidend langer dan in een kantooromgeving waar iedere dag updates en patches worden geïnstalleerd.
Vreemd genoeg is het productieproces het hart van een fabriek en ongeplande stilstand lijdt meestal tot veel extra kosten. Budget ter vervanging van end-of-life apparatuur is moeilijk te verkrijgen terwijl de kosten van erp-implementaties vele malen hoger zijn. Het management richt zich liever op het vergaren van rapportages waarbij de productie efficiency minder prioriteit heeft.
Om de productierapportages te genereren is er echter wel data nodig uit de productieomgeving en dienen er koppelingen gemaakt te worden tussen de verschillende automatiseringslagen om het handmatig invoeren van gegevens te beperken. Hier begint vervolgens de discussie tussen de productie engineers en de it-afdeling. Koppelen mag, maar wel onder allerlei corporate vastgelegde bedrijfs voorwaarden. Helaas sluiten die minder goed aan bij de productie systemen en wie gaat het beheer uitvoeren? Onbegrip van elkaars omgeving leidt tot veel discussies.
De technologie is daarom ook niet het grootste probleem, omdat ook voor de industriële omgeving steeds meer security producten worden ontwikkeld die kunnen omgaan met dedicated communicatie protocollen en bestand zijn tegen vochtigheid, temperatuurwisselingen en trillingen. Het zijn vaak de procedures die belemmerend werken voor de productiemedewerkers en die dus in de praktijk niet gevolgd gaan worden, wat weer lijdt tot een verhoging van de kwetsbaarheid. De oplossing is simpel: geef beide afdelingen inzicht in elkaars problemen en de bedreigingen, en definieer vervolgens samen een oplossing die voor beide acceptabel en uitvoerbaar is.
2. In de industriële automatisering ligt patching en security op een lager niveau.
Het is logisch dat patching en security op een lager niveau ligt in de industriële automatisering omdat in de ogen van de productieafdeling de noodzaak hiervan niet aanwezig is. Niet goed patchbeheer kan tot meer schade leiden dan waarvoor de patch oorspronkelijk was bedoeld. In een productieomgeving is het daarom raadzaam om de invloed van patches eerst off-line te testen alvorens dit op het kritisch real-time systeem wordt geïnstalleerd. Een eventueel vereiste systeem herstart of onjuiste werking kan leiden tot productiestilstand. Het niet tijdig installeren van patches en updates kan conflicten veroorzaken met de it-afdeling omdat een veilige toegang tot systemen buiten de productieafdeling niet langer gegarandeerd kan worden.
3. Stuxnet is het tipje van de sluier.
Stuxnet was volop in het nieuws omdat er voor het eerst op grote schaal industriële systemen werden aangevallen en er veel kennis en geld in was gestoken. Hackers waren tot voor enkele jaren geleden niet geïnteresseerd in deze omgeving maar daar is nu snel verandering in gekomen. Door de komst van gangbare it-protocollen en operating systemen op de productievloer is het veel makkelijker geworden om hierop in te breken, omdat hier weinig extra specifieke kennis voor nodig is. Ook de opkomst van wireless systemen maakt de productie omgeving steeds kwetsbaarder mits dit niet goed is beveiligd.
Het platleggen van essentiële systemen op het gebied van water en energie voorziening kan enorm veel schade voor mens en milieu tot gevolg hebben. Het is daarom belangrijk om een goed beveiligingsbeleid te voeren want Stuxnet was slechts een eerste vingeroefening en er zullen er meer volgen. Incidenten worden door bedrijven niet graag naar buiten gebracht dus de werkelijke aantallen aanvallen zullen beduidend hoger zijn dan wat in de media wordt gemeld. We moeten ons ook niet bang laten maken maar onderschatting van de gevaren zal zeker leiden tot ongewenste gevolgen. 100 procent beveiliging is een utopie, maar bewustwording en draagvlak is een belangrijke stap om de risico’s en de gevolgen van succesvolle aanvallen te beperken.