Cyber security is een actueel onderwerp. Bijna dagelijks verschijnen er berichten in de media dat er vertrouwelijke informatie 'op straat is gekomen' of dat er bepaalde websites zijn gehacked. Gelukkig gaat het hierbij bijna altijd over de 'bekende' ict-systemen zoals databases, servers of andere ict-gegevensdragers en betreft het zelden Industriële Controle Systemen (ICS).
Industriële Controle Systemen worden ook wel procesbesturings-systemen of SCADA-systemen genoemd. In dezelfde context worden ook vaak Smart Grid-systemen genoemd. Ondanks het feit dat er aanzienlijke verschillen bestaan tussen deze systemen, zijn er ook overeenkomsten, zeker met betrekking tot het security aspect. Dit is één van de redenen waarom deze systemen vaak onder de noemer ICS worden gebracht.
Een belangrijke overeenkomst is het feit dat deze systemen allemaal bestaan uit een aantal verschillende ‘mini-computers’ met een specifieke control functie, zoals bijvoorbeeld het openen en sluiten van een machineklep of het regelen van de machine temperatuur. Deze ‘mini-computers’ (plc’s/rtu’s/sensoren) zijn vaak jaren geleden ontwikkeld en gebouwd om de functie ‘klep open-klep dicht’ dertig jaar lang onafgebroken uit te voeren. Deze ‘mini-computers’ zijn echter nooit ontwikkeld met een (cyber) security insteek, maar moesten vooral open zijn voor de engineers en andere operationele uitvoerders, zodat zij snel en op een eenvoudige manier operationele handelingen konden uitvoeren. De security was tot enkele jaren dan ook geen issue, maar dit veranderde toen deze ‘mini-computers’ vanwege efficiëntie en kostenbesparingen aan elkaar moesten worden verbonden. Hierbij werd de aansturing van de ‘mini-computers’ gecentraliseerd onder een ‘moeder-computer’ (SCADA-systeem) en moesten zij ook vanaf buiten het industriële netwerk (bedrijfsnetwerk of zelfs internet) bereikbaar en bestuurbaar zijn!
Groter en complexer
De hierboven beschreven verandering genereert niet alleen operationele voordelen, maar het creëert ook kwetsbaarheden. Naast het feit dat deze ‘mini-computers’ van oorsprong onveilig zijn, worden de eco-systemen van de procesbesturing steeds groter en complexer. Hierdoor ontstaat er een veelvoud aan elkaar verbonden systemen, die dus het mogelijke aanvalsterrein (attack surfaces) voor een kwaadwillende aanzienlijk vergroten. Een Smart Grid is een goed voorbeeld hiervan, want een Smart Grid bestaat juist uit verschillende deelsystemen, die gezamenlijk via centrale systemen (SCADA-servers) onderling zijn verbonden.
Een kwaadwillende kan dus eigenlijk kiezen via welk deelsysteem hij/zij zichzelf toegang verschaft om bij de centrale systemen te geraken, met als doel om de operationele processen binnen het Smart Grid te beïnvloeden. Het ene deelsysteem is toegankelijker dan het andere, maar alle deelsystemen zijn te ‘kraken’. Gelukkig is deze kennis (nog) niet wijd verspreid bekend en is er op dit moment nog steeds genoeg te halen in de cyber crime en cyber spionage domeinen. Maar als deze ‘criminele inkomstenbronnen’ zijn opgedroogd, dan zullen de kwaadwillenden waarschijnlijk andere relatief makkelijke targets gaan aanvallen, zoals bijvoorbeeld de ICS/ Smart Grid systemen.
Het zorgelijke van de situatie is het feit dat dit weliswaar bekend is bij een groot aantal organisaties, die hiermee te maken hebben, maar dat hier te weinig en te langzaam concrete acties op worden genomen. Het is zelfs specifiek genoemd in een publicatie van het Nationaal Cyber Security Centrum:
De aandacht van hackers en security onderzoekers voor de beveiliging van procesbesturings-systemen (ICS/SCADA) neemt de laatste tijd zichtbaar toe. In het bijzonder systemen die direct vanaf internet bereikbaar zijn liggen onder vuur. Maar deze internetconnectie is niet het enige potentiële beveiligingsprobleem voor procesbesturings-omgevingen (Checklist beveiligen van ICS SCADA systemen – NCSC, FS 2012-02 (7 maart 2012).
Het is mijn mening dat het slechts een kwestie van tijd is voordat Nederland wordt geconfronteerd met een relatief grote aanval op een ICS/Smart Grid systeem. En als dit gebeurt, dan ontstaat er verwarring (en na enkele dagen waarschijnlijk ook chaos) en zullen er vast onderzoekscommissies worden opgericht die mogen uitzoeken hoe dit heeft kunnen gebeuren.
Dit is jammer (en waarschijnlijk ook ontzettend kostbaar), want er kan volgens mij op dit moment al actie worden genomen, waardoor de kans op een grote ICS/Smart Grid aanval kan worden beperkt. Ik ben persoonlijk van mening dat organisaties zich moeten voorbereiden op een dergelijke aanval en op dit moment aandacht moeten besteden aan de cyber security awareness op dit gebied alsook eventuele cyber security oefeningen/testen moeten organiseren. Helaas zie ik op dit moment nog te weinig actie op dit gebied in Nederland.
Moeten we dan toch weer wachten tot dat ene kalf is verdronken?
@Fred,
Goed dat je een duidelijk – en helaas actueel – probleem helder adresseert, natuurlijk zal er gezien het onderwerp wel het een en ander achter de schermen gebeuren. Openbaar internet heeft zo zijn gevaren en vergt extra beveiligingsmaatregelen, meer dan dat, kennis om de gevolgen van onderkende risico’s voor te zijn. Hoewel procesbesturing veel in gescheiden netwerken gebeurt, gebeurde, is er altijd wel een achterdeurkoppeling met wireless of het openbare internet en daar zit direct het gevaar… daarnaast, het biedt een sca(l)/(d)a aan ongewenste besturingstoepassingen. Gezien het DDOS werk van de laatste tijd staat dit soort zaken die je adresseert wat minder in de aandacht helaas.
Zeer terecht punt, ik bedacht me dit ook al een paar keer toen ik berichten las over de manipulatie van SCADA systemen in Iran. Wat “wij” kunnen, kunnen “zij” ook.
Waar ik echter bang voor ben is dit: Het beveiligen van je ICS/SCADA levert geen geld op, het is meer een soort verzekering die je koopt als je wel de beveiliging goed op orde hebt. Door je goed te beveiligen loopt je kostprijs op, pas als het (dreigt) mis te gaan, levert beveiliging zijn investering op. Dit geldt redelijk generiek voor alles wat met cyber security te maken heeft.
Van wie wordt nu de meeste actie verwacht? De leveranciers van ICS? Maar daar los je niet je huidige legacy mee op, die systemen draaien al productie en ik weet niet hoe makkelijk je die software kunt updaten met veilig testen/downtime/risico analyse et cetera.
Misschien is het makkelijker te realiseren om je ICS omgeving te beveiligen. Dus dat je een extra schil legt om je ICS systemen zodat je nooit direct ermee kunt communiceren.
Ik ken het eco systeem van ICS systemen ook niet. Doe je security in het OS? Of in de custom code? Hier ligt in ieder geval een mooie businesscase 🙂
Prima artikel waarbij de spijker op de kop wordt geslagen. Het is natuurlijk geen goede zaak als we gaan wachten tot het kalf verdronken is. “If you think Security is expensive, try an incident”. Security is een complexe zaak. Het raakt mensen, techniek en processen. Er wordt veel aandacht besteed aan het beschermen van infrastructuur. Er worden Chinese muren aangelegd rondom de netwerken door middel van Firewalls, Identificatie- en Access Management, etc. Veel inbraken verlopen tegenwoordig via de in gebruik zijnde applicaties die niet zijn ontwikkeld met security in het achterhoofd. Dit geldt niet alleen voor ICS applicaties maar ook voor andere (web)applicaties. Als dergelijke applicaties vrij toegankelijk zijn via het Internet dan is het natuurlijk letterlijk een open deur. Onderzoek wijst uit dat 80% van de webapplicaties minimaal één kwetsbaarheid bevat die door onbevoegden misbruikt kan worden. Vraagt u eens aan programmeurs of er bij hun opleiding aandacht is gegeven aan “veilig” programmeren. In de meeste gevallen zult u horen dat ze de kennis zelf hebben moeten opdoen. Test uw applicatie/website-bouwer op de OWASP top-10 kwetsbaarheden? In een SDLC (Software Development Life Cycle) wordt in de testfase gekeken naar de functionaliteit en de performance. Applicaties worden niet of nauwelijks op security getest. De wet- en regelgeving omtrent de privacy van gegevens zal in de komende tijd erg aangescherpt worden. Voorstellen voor een EU verordening zijn al rondgestuurd binnen de Europese commissie. Door deze nieuwe wetgeving zal de aandacht voor het laten testen van de security van de applicaties in een ander daglicht komen te staan. Applicaties mogen dan namelijk geen data-lekken meer hebben op straffe van torenhoge boetes. Dit zal van invloed zijn op de testprocedures van nieuwe software. Security zal daar een grotere rol in gaan spelen.
Fred,
Goed punt om Scada na vorige week onder de aandacht te brengen.
Overleg met betrokken professionals maakt snel duidelijk dat monitoring een prima punt is. De complexiteit van Scada-systemen en de onbekendheid met achterliggende protocollen. maakt het ingrijpen op potentiële aanvallen uiterst lastig. Is geconstateerd gedrag binnen een gegeven protocol nu juist bedoeld in een industriële procesinstallatie? Of is het toch een aanvalspatroon? Volgt op ingrijpen een ongelimiteerde opbouw van de druk in bepaalde vaten of leidingen?
Intussen begrijpen securityprofessionals steeds meer van aanvalspatronen op kantoornetwerken. Maar de kennis van Scada-systemen is nog niet zo wijd verspreid.
Terecht dus dat je er de aandacht op vestigt!
Jan Jaap van der Neut
Fred,
Leuk artikel!
De SCADA-systemen vormen de legacy in de keten.Het zelfde zoals SCADA-systemen (industriële controllers) heb je ook in veel grote businessprocessen. Bijvoorbeeld in de businessprocessen binnen de bankwereld heb je genoeg van dit soort klepjes die iets in het proces en keten moeten regelen. Wanneer twee banken samengevoegd worden, zoals ABN+RBS of ING+Postbank neemt het aantal klepjes toe. Juist deze (legacy)klepjes maken het proces in de hele keten kwetsbaar voor een aanval van buitenaf.
De vraag is wat de operatie in z`n geheel gaat kosten om dit kwetsbaarheid “in de hele keten” weg te halen! Ik denk best veel, want je moet de hele keten veranderen. Maar ik denk dat dit in het geval van SCADA-systemen best meevalt. Of niet?
Heb je je twintig jaar oude SCADA-systeem achter een aantal firewalls en via een VPN-tunnel ontsloten en 50k verder komt ineens een DDOS opdoemen. En toen?
Wat dat betreft is het hetzelfde als met kleine kinderen, die laat je ook niet zomaar het internet op.
Gewoon geen Windows in die omgevingen gebruiken. Stuxnet was uiteindelijk ook mogelijk dankzij onveilige besturingssystemen. Als men kleine besturingssystemen gebruikt waarvan de broncode gecontroleerd kan worden, zie ik geen echte gevaren.
@Fred
Er stond ook een artikel in de NY Times over het probleem met meer algemene software, de source of all evil;-)
Neem als voorbeeld het advies van Homeland Security om Java volledig te deinstalleren omdat het vol zit met gaten. Beveiliging stond (staat) nu eenmaal lange tijd niet hoog op de agenda van veel ontwikkelaars. Dat in tegenstelling tot een closed source-leverancier zoals Microsoft, zoals de e-mail van Bill Gates uit 2002 laat zien: http://www.wired.com/techbiz/media/news/2002/01/49826
Zoals Marc Maiffret in de NY Times schreef gaat het om de verandering in het denken, beveiliging is namelijk geen add-on of een strategisch voordeel maar essentieel voor ons vertrouwen in al deze geautomatiseerde systemen.
Heel internet is in gevaar. Het is nooit ontworpen als zijnde veilig maar alleen voor uitval dmv een cel structuur. Wat dat betreft is het ook onmogelijk om de wereldwijde ddos-aanvallen tegen banken te stoppen zonder het hele internet plat te leggen. Botnets zijn als zevenkoppige draken waarbij afgehakte hoofden terug groeien voordat men er erg in heeft.
Een nog veel groter gevaar is dat alles op het internet bespiedt wordt door entiteiten die daar voordeel uit proberen te halen. Zij het overheidsdiensten die alles opslaan (dat is pas échte big data) of criminelen die botnets opzetten of commerciële bedrijven zoals Google die exact alles weten over de mensen die ze volgen. Op lange termijn zal het internet ook gefragmenteerd raken als de politiek teveel invloed gaat krijgen.
Feit is dat Scada-systemen tot nu toe nog niet of nauwelijks gehacked zijn is omdat niemand er belang bij heeft. Dat zal pas toenemen bij escalaties tussen groeperingen of landen. Enige oplossing is om gesloten netwerken te gebruiken die volledig los van het internet staan.
Allen, bedankt voor de reacties. Vooral de (laatste) reactie van Peter geeft stof tot nadenken (en ik ben het er ook mee eens). Vooral de stelling dat er op dit moment weinig mensen belang hebben bij het hacken van een smart grid of ICS is mijns inziens correct. Maar dit kan zeker van de ene op de andere dag veranderen, alhoewel ik dat persoonlijk niet hoop.