Stuxnet en Duqu hebben de maakindustrie bewust gemaakt van het belang van beveiliging van procesautomatisering. Het is wrang maar er moet altijd eerst wat gebeuren voordat die bewustwording plaatsvindt. Dat is de kern van een Computable-rondetafeldiscussie tijdens de Infosecurity-beurs in Utrecht. Daar bogen vier experts zich over stellingen rond industriële beveiliging.
Aan tafel zaten Pim Berends, Busines Consultant bij HumiQ, Jan-Paul van Hall, verkoop directeur Amitron, Ciske van Oosten, PCI-consultant bij Verizon en Tom Welling, technical account manager bij Symantec Nederland.
Stuxnet en Duqu laten zien hoe kwetsbaar procesautomatisering is. Voorheen waren industriële systemen fysiek gescheiden en alleen via speciale apparatuur te beheren. Tegenwoordig worden ze gekoppeld aan gangbare ict-technologie. Daardoor ontstaan nieuwe risico's. Daarbij speelt volgens Pim Berends mee dat de verantwoordelijkheid voor het beheer en de beveiliging van ict binnen bedrijven in de maakindustrië vaak onduidelijk is. 'Het is een grijs gebied wie verantwoordelijk is. Is de ict-afdeling of de productie aansprakelijk?' Het begint volgens Berends met het vastleggen van de verantwoordelijkheid voor de beveiliging. Dat kan bijvoorbeeld in een werkgroep met afgevaardigden van de ict-afdeling en de productie-verantwoordelijken.
Bijkomend probleem is dat de hardware en software voor de aansturing van machines (plc en ics) vaak verouderd is. Patches zijn vaak moeilijk beschikbaar en de oplossingen bieden geen mogelijkheden tot versleutelen van informatie.
Stuxnet tipje van de sluier
Volgens de experts is Stuxnet het tipje van de sluier en zullen in de toekomst steeds complexere en meer gerichte aanvallen plaatsvinden. De experts zijn ervan overtuigd dat in de daders van aanvallen op industriële-ict in de meeste gevallen uit zijn op financieel gewin.
Ciske van Oosten stelt dat bij de gevallen die zijn bedrijf onderzocht de criminelen vooral mikten op het binnenhalen van bestanden met financiële informatie en intellectueel eigendom. De experts sluiten spionage voor politieke doeleinden ook niet uit.
‘Overheid moet strenger toezien’
Volgens de experts moet de overheid strenger toezien op de beveiliging van bedrijven in de maakindustrie omdat bij een aanval mens en milieu in gevaar zijn.
Het valt de deskundigen op dat er bij aanbestedingen nauwelijks wordt gelet op beveiligingsaspecten. Jan-Paul van Hall: 'Het is nog een lange weg om de bewustwording van ict-beveiliging te verhogen in een wereld van stalen neuzen en veiligheidshelmen.' Daarmee doelt hij erop dat beveiliging nog voornamelijk fysiek wordt benaderd.
