Cyber security is een actueel onderwerp. Bijna dagelijks verschijnen er berichten in de media dat er vertrouwelijke informatie 'op straat is gekomen' of dat er bepaalde websites zijn gehacked. Gelukkig gaat het hierbij bijna altijd over de 'bekende' ict-systemen zoals databases, servers of andere ict-gegevensdragers en betreft het zelden Industriële Controle Systemen (ICS).
Industriële Controle Systemen worden ook wel procesbesturings-systemen of SCADA-systemen genoemd. In dezelfde context worden ook vaak Smart Grid-systemen genoemd. Ondanks het feit dat er aanzienlijke verschillen bestaan tussen deze systemen, zijn er ook overeenkomsten, zeker met betrekking tot het security aspect. Dit is één van de redenen waarom deze systemen vaak onder de noemer ICS worden gebracht.
Een belangrijke overeenkomst is het feit dat deze systemen allemaal bestaan uit een aantal verschillende ‘mini-computers’ met een specifieke control functie, zoals bijvoorbeeld het openen en sluiten van een machineklep of het regelen van de machine temperatuur. Deze ‘mini-computers’ (plc’s/rtu’s/sensoren) zijn vaak jaren geleden ontwikkeld en gebouwd om de functie ‘klep open-klep dicht’ dertig jaar lang onafgebroken uit te voeren. Deze ‘mini-computers’ zijn echter nooit ontwikkeld met een (cyber) security insteek, maar moesten vooral open zijn voor de engineers en andere operationele uitvoerders, zodat zij snel en op een eenvoudige manier operationele handelingen konden uitvoeren. De security was tot enkele jaren dan ook geen issue, maar dit veranderde toen deze ‘mini-computers’ vanwege efficiëntie en kostenbesparingen aan elkaar moesten worden verbonden. Hierbij werd de aansturing van de ‘mini-computers’ gecentraliseerd onder een ‘moeder-computer’ (SCADA-systeem) en moesten zij ook vanaf buiten het industriële netwerk (bedrijfsnetwerk of zelfs internet) bereikbaar en bestuurbaar zijn!
Groter en complexer
De hierboven beschreven verandering genereert niet alleen operationele voordelen, maar het creëert ook kwetsbaarheden. Naast het feit dat deze ‘mini-computers’ van oorsprong onveilig zijn, worden de eco-systemen van de procesbesturing steeds groter en complexer. Hierdoor ontstaat er een veelvoud aan elkaar verbonden systemen, die dus het mogelijke aanvalsterrein (attack surfaces) voor een kwaadwillende aanzienlijk vergroten. Een Smart Grid is een goed voorbeeld hiervan, want een Smart Grid bestaat juist uit verschillende deelsystemen, die gezamenlijk via centrale systemen (SCADA-servers) onderling zijn verbonden.
Een kwaadwillende kan dus eigenlijk kiezen via welk deelsysteem hij/zij zichzelf toegang verschaft om bij de centrale systemen te geraken, met als doel om de operationele processen binnen het Smart Grid te beïnvloeden. Het ene deelsysteem is toegankelijker dan het andere, maar alle deelsystemen zijn te ‘kraken’. Gelukkig is deze kennis (nog) niet wijd verspreid bekend en is er op dit moment nog steeds genoeg te halen in de cyber crime en cyber spionage domeinen. Maar als deze ‘criminele inkomstenbronnen’ zijn opgedroogd, dan zullen de kwaadwillenden waarschijnlijk andere relatief makkelijke targets gaan aanvallen, zoals bijvoorbeeld de ICS/ Smart Grid systemen.
Het zorgelijke van de situatie is het feit dat dit weliswaar bekend is bij een groot aantal organisaties, die hiermee te maken hebben, maar dat hier te weinig en te langzaam concrete acties op worden genomen. Het is zelfs specifiek genoemd in een publicatie van het Nationaal Cyber Security Centrum:
De aandacht van hackers en security onderzoekers voor de beveiliging van procesbesturings-systemen (ICS/SCADA) neemt de laatste tijd zichtbaar toe. In het bijzonder systemen die direct vanaf internet bereikbaar zijn liggen onder vuur. Maar deze internetconnectie is niet het enige potentiële beveiligingsprobleem voor procesbesturings-omgevingen (Checklist beveiligen van ICS SCADA systemen – NCSC, FS 2012-02 (7 maart 2012).
Het is mijn mening dat het slechts een kwestie van tijd is voordat Nederland wordt geconfronteerd met een relatief grote aanval op een ICS/Smart Grid systeem. En als dit gebeurt, dan ontstaat er verwarring (en na enkele dagen waarschijnlijk ook chaos) en zullen er vast onderzoekscommissies worden opgericht die mogen uitzoeken hoe dit heeft kunnen gebeuren.
Dit is jammer (en waarschijnlijk ook ontzettend kostbaar), want er kan volgens mij op dit moment al actie worden genomen, waardoor de kans op een grote ICS/Smart Grid aanval kan worden beperkt. Ik ben persoonlijk van mening dat organisaties zich moeten voorbereiden op een dergelijke aanval en op dit moment aandacht moeten besteden aan de cyber security awareness op dit gebied alsook eventuele cyber security oefeningen/testen moeten organiseren. Helaas zie ik op dit moment nog te weinig actie op dit gebied in Nederland.
Moeten we dan toch weer wachten tot dat ene kalf is verdronken?
Leuk en leerzaam artikel over smart grid en ICS/Scada.
Moest hieraan denken toen ik dit las:
https://www.security.nl/artikel/40344/Nederlandse_bruggen_kwetsbaar_voor_hackers.html
Niet bepaald handig om kritische systemen aan het internet te hangen, dat scheelt heel wat kwa bedreigingen lijkt me. Ik geloof ook niet dat dit soort kritische systemen zomaar aan het internet hangen. Ook niet van banken.
En moest ook denken aan de ontwikkelingen op het gebied van domotica die bediend kan worden via het internet. Zag het al voor me, de hacker die aan de rol gaat met je magnetron, verwarming en verlichting.
Lees de laatste week regelmatig over legacy software en dan meestal in de negatieve zin en dat lijkt met niet helemaal terecht. Kan me voorstellen dat er legacy software is die technisch en functioneel niet meer voldoet (security?) en er reden is om te vervangen maar kan me even goed voorstellen dat die software nog prima voldoet. Legacy kan ook staan voor functionered, bewezen en betrouwbaar. Het is niet handig om te repareren wat niet stuk is.
Het gaat vaak over aanvallen over Internet en van buiten af maar mischien komt het grootste gevaar wel van binnenuit. De mensen die het bedienen. Het nieuws van vandaag van de ambtenaar die wat gegevens van binnenuit verkocht aan de ‘Russen’ was een mooi voorbeeld.
@Peter: Het internet is niet in gevaar. Het internet is gevaarlijk.
Het internet zelf zal zolang de belangrijkste backbone systemen en root DNS servers draaien vrolijk blijven werken.
De oorspronkelijk opzet met IP’s zorgde voor traceerbaarheid. Je kon verhaal gaan halen als er van een bepaald IP vreemde dingen gebeurde.
Tegenwoordig heeft iedereen helaas WiFi en meestal met beperkte beveiliging. (WiFi WEP en WPA zijn gewoon kraakbaar met Rainbow-tabellen)
Dus als ik zelf een DDoS aanval zou doen, zou ik dit via een gekraakte WiFi verbinding van mijn buurman doen.
Het bonet probleem wordt voornamelijk veroorzaakt door slecht beveiligde desktop systemen, domme gebruikers, onveilige besturingssystemen of een combinatie ervan. Dit is inderdaad een heel lastig probleem, want hoe krijg je alle thuisgebruikers slim?
De enige uitkomst is een superfool proof systeem te introduceren, maar dit zal niet al te snel gebeuren.
SCADA systemen zouden moeilijker te hacken moeten zijn, maar bij twijfel is isolatie van het internet natuurlijk een goeie optie.
Het stuk dat Wim de Bok aanhaalt, is natuurlijk erg zorgelijk. Je kan je afvragen hoe dat mogelijk is, wie er verantwoordelijk is voor dat soort oplossingen en of dat persoon elke avond gewoon normaal kan slapen.
Ik weet niet of er nog mensen moeten vliegen maar deze van vandaag mag niet ontbreken:
http://tweakers.net/nieuws/88408/kwaadwillende-kan-vliegtuig-op-afstand-hacken.html
@Technicus, je slaat de spijker op zijn kop wat mij betreft. Internet is is ontstaan en ontworpen uit de behoefte om iedereen van informatie te kunnen voorzien, volledig open dus. Een bank loop je niet anoniem binnen, maar met behulp van internet wandel je gewoon, bij wijze van spreken, de server ruimten binnen, wonderlijk.