Cyber-aanvallen op kritische infrastructuren komen steeds vaker voor en zijn een wereldwijde, groeiende bron van zorg voor organisaties en overheden . Elekriciteitscentrales, verkeerssystemen, waterbeheerinstallaties en fabrieken zijn doelwit geworden van aanvallers en zijn in de afgelopen periode geraakt door een serie netwerkschendingen, datadiefstallen en denial-of-service-aanvallen.
Kwetsbaarheden in deze systemen variëren van basale zaken als systemen zonder wachtwoord of met default wachtwoorden tot en met configuratie-issues en software-bugs. Maar wanneer een aanvaller in staat is software te installeren die toegang geeft tot een controller, is de kans op een geslaagde aanval zeer groot.
Kritische infrastructuur onder aanval
Dit is geen pure paniekzaaierij. In juni 2014 vaardigde het Department of Homeland Security een waarschuwing uit dat de mogelijkheid bestaat dat een trojan industriële controlesystemen heeft aangevallen en zo meer dan duizend energiebedrijven in Europa en Noord-Amerika heeft geinfecteerd. In 2012 is de Duitse energiecentrale 50Hertz getroffen door een cyber-aanval die ervoor zorgde dat de email- en internetomgeving offline gingen. Dit was de eerste bevestigde aanval tegen een Europese grid-operator.
Bij de alom bekende Stuxnet-aanval in 2010 werd een Iraanse nucleaire centrifugefaciliteit aangevallen door een enkel computervirus. Dit gaf aan dat dergelijke aanvallen niet perse het domein zijn van de georganiseerde misdaad. In 2001 werd een Australiër naar de gevangenis gestuurd nadat hij schuldig was bevonden aan het hacken van een computergestuurd afvalverwerkingssysteem waardoor miljoenen liters ongezuiverd afvalwater in lokale parken en rivieren terecht kwam.
Aanvallen als deze, op kritische infrastructuren, hebben grote invloed op de beschikbaarheid van diensten en kunnen zelfs een gevaar vormen voor de publieke veiligheid. Ze vragen om de implementatie van een stappenplan zodat organisaties deze beveiligingsvraagstukken kunnen aanpakken.
Dit is alleen mogelijk wanneer men het verschil weet tussen ICS/Scada en traditionele it-omgevingen in combinatie met kennis over technologie die de afgelopen twintig jaar is ontwikkeld om computernetwerken te beveiligen.
Scada begrijpen
Kritische infrastructuurfaciliteiten (elektriciteit, olie, gas, water, afval, et cetera) vertrouwen sterk op elektronische, mechanische, hydraulische en andere types apparatuur. Deze wordt aangestuurd en gemonitord door dedicated computersystemen die bekend staan als controllers en sensors. Deze systemen zijn gekoppeld aan beheersystemen die samen netwerken vormen voor Supervisory Control and Data Acquisition (Scada)- en Industrial Control System (ICS)-oplossingen. Zowel ICS als Scada zorgen voor het efficiënt verzamelen en analyseren van data en helpen bij het aansturen van apparatuur zoals pompen, kleppen en relais. Dankzij de grote voordelen die deze systemen bieden, zijn ze breed geadopteerd. Hun robuustheid en stabiliteit zorgen ervoor dat infrastructuur gerelateerde fabrieken ICS en Scada voor lange tijd gebruiken.
Scada/ICS-netwerken en -apparaten zijn ontworpen om beheerbaarheid en controle te bieden met maximale betrouwbaarheid. Het komt vaak voor dat de systemen niet beschikken over mechanismen om ongeoorloofde toegang te voorkomen of om te gaan met beveiligingsdreigingen vanuit interne of externe netwerken, die inmiddels gemeengoed zijn geworden in het it-landschap.
Terwijl de implementatie meestal ‘proprietary’ is, zijn Scada-controllers in essentie kleine computers. Ze maken gebruik van standaard computerelementen zoals een besturingssysteem (vaak embedded Windows of Unix), applicaties, authenticatiemechanisme, communicatieprotocollen, et cetera. Sterker nog, sommige beheeromgevingen maken gebruik van standaard computeromgevingen zoals Windows- en Unix-werkstations.
Hierdoor zijn deze systemen in wezen even vatbaar voor kwetsbaarheden als elk ander systeem, met dat verschil dat de systemen vaak functioneren in omgevingen die fysiek moeilijk bereikbaar zijn en in elk geval nooit offline mogen gaan.
Scada-kwetsbaarheden
Over het algemeen wordt aangenomen dat ICS en Scada-netwerken fysiek gescheiden zijn van de corporate it-netwerken. Als je dat echt fysiek bekijkt, klopt dat wel, in de zin dat sommige bedrijven aparte lan’s hebben. In andere gevallen maken bedrijven gebruik van hetzelfde netwerk, maar versleutelen hun ICS- en Scada-verkeer op de gedeelde infrastructuur. Wat vaker voorkomt echter is dat netwerken een bepaalde vorm van interconnectiviteit vragen voor operationele input en/of export van data naar systemen van derde partijen. Scada-netwerkapparaten hebben specifieke karaktereigenschappen die kunnen verschillen van reguliere it-systemen:
- Ze worden vaak geïnstalleerd op locaties die fysiek moeilijk toegankelijk zijn, bijvoorbeeld op torens, op booreilanden of industriële machines en ze kennen meer omgevingsuitdagingen dan reguliere it-systemen omdat ze bijvoorbeeld buiten staan, te maken hebben met extreme temperaturen of vibraties. Of ze vragen speciale input-voltages en montage-opties.
- Ze maken vaak gebruik van besturingssystemen die tijdens de installatie niet geoptimalizeerd zijn voor het minimalizeren van securityrisico’s.
- Hun software kan niet regelmatig geupdate of gepatcht worden door beperkingen op het gebied van toegang, mogelijke downtime of de noodzaak voor nieuwe certificering.
- Ze maken gebruik van proprietary of speciale protocollen.
Deze verschillen in omgeving creëren problemen zoals gebrekkige authenticatie en encryptie en security-lekken binnen de software waardoor aanvallers toegang kunnen krijgen tot de systemen. De meeste Scada/ICS-netwerken hebben wel een bepaalde mate van perimeter-bescherming, inclusief netwerksegmentatie op basis van firewall-technologie, waardoor aanvallers altijd op zoek zijn naar alternatieve manieren om binnen te komen, bijvoorbeeld door een poort die open staat, of het uitlokken van acties van binnenuit de organisatie die ervoor zorgen dat een communicatiekanaal naar buiten open komt te staan. Voorbeelden van zulke tactieken zijn:
- Het gebruik van remote access functionaliteit die door de fabrikant gewoonlijk wordt gebruikt voor onderhoud.
- Het hacken van een legitiem kanaal tussen it-systemen en ICS/Scada-systemen.
- Het overtuigen van een interne gebruiker te klikken op een url in een e-mail vanaf een werkstation dat in contact staat met het ICS/Scada-netwerk en het internet.
- Het infecteren van laptops en/of draagbare media als die niet aan het ICS/Scada-netwerk verbonden zijn. Deze infecteren de interne systemen wanneer ze connectie maken om data te vergaren of voor controller/sensor-updates.
- Gebruikmaken van configuratiefouten in de beveiliging of bij aanwezige apparaten.
Zodra een hacker het Scada-netwerk geïnfiltreerd heeft, wordt het mogelijk om kwaadaardige commando’s te sturen naar de apparaten zodat ze crashen of stopgezet worden, of inbreken in specifieke kritische processen die vervolgens door hen worden bestuurd, zoals het openen en sluiten van kleppen. Daar waar gewoonlijk bij computergebaseerde aanvallen vooral financiële danwel digitale schade ontstaat kan er nu ook fysieke/materiële schade optreden.
Beveiliging
Om een goed beveiligingsniveau te kunnen garanderen voor industriële en kritische netwerken, moet de beveiliging veranderen van een verzameling afzonderlijke technologieën en activiteiten naar een effectief business-proces. Een effectieve beveiligingsstrategie moet abnormaal gedrag kunnen detecteren en aanvallen kunnen voorkomen en de organisatie moeten voorzien van betekenisvolle forensics om inbraken te kunnen onderzoeken op het moment dat ze plaatsvinden.
De beveiligingsstrategie moet er voor zorgen dat alle activiteit wordt gelogd op een onafhankelijke manier die niet is gerelateerd aan de configuratie van de Scada-apparaten, omdat die wellicht zijn gehackt door inbrekers. Dit moet ondersteund worden door een basis voor normaal gedrag op Scada-apparaten en er moet gedefinieerd worden wat wel is toegestaan, niet is toegestaan en wat verdacht gedrag is. Wanneer dit geregeld is, moet de strategie voorzien in automatische notificatie en preventie van afwijkingen van deze basis, zodat direct en efficiënt actie ondernomen kan worden tegen ongewenste activiteiten op het netwerk.
Naast het hebben van een goede strategie, moet het gehele it-netwerk goed beveiligd worden om daarmee ook de Scada-omgeving veilig te maken. Situaties uit het verleden tonen aan dat de it-omgeving, die normaal gesproken verbonden is aan het internet, als een kanaal kan dienen naar de operationele technologie-omgeving. Daarom moet er gezorgd worden voor mechanismen die zorgen voor toegang op basis van authenticatie, zoals application control en identity awareness, maar ook threat prevention inclusief een firewall, intrusion prevention, antivirus en threat emulation.
Een belangrijke component van een meerlaagse verdediging voor Scada-apparaten is threat intelligence, die zorgt voor zowel het delen als het verzamelen van intelligence op het gebied van nieuwe en opkomende bedreigingen voor de kritische infrastructuur. Door threat intelligenge te implementeren zijn organisaties in staat hun netwerken te verdedigen tegen cyber-dreigingen voordat die het netwerk bereiken. Hierdoor zijn Scada-apparaten beter beveiligd en minder kwetsbaar voor aanvallen.
Cyber-dreigingen die focussen op Scada-systemen zijn de afgelopen jaren toegenomen en dit is een trend die waarschijnlijk zal doorzetten in de nabije toekomst. Hackers worden slimmer en zijn meer geïnteresseerd in het aanvallen van kritische infrastructuren en, dankzij bekende kwetsbaarheden, lopen Scada-netwerken meer risico’s. Daarom is het essentieel dat strategieën en systemen worden geïmplementeerd die zowel het netwerk en de diensten die ze controleren beveiligen zodat niet alleen de organisaties veilig zijn, maar vooral de maatschappij in zijn geheel.
Als je weet dat je systemen niet veilig zijn waarom hang je ze wel aan het internet?
Een klant van mij die op dit gebied werkzaam is vroeg me of ik nog een oude laptop met windows 98 had om een van de (siemens) komponenten te programmeren.
Dat is toch russisch (of oekrains) roulette spelen!
Wat dat betekent moet iedereen weten sinds Stux.
De schrijver is niet goed bekend met de aandacht die er vanuit de overheid is voor de vitale sectoren. Onder de naam ISAC werken organisaties uit vitale sectoren samen met ministeries, KLPD, AIVD en NCSC samen aan een veilige basis infrastructuur voor o.a. energie, water, geld en zorg. Het niveau van beveiliging binnen de deelnemers ligt zeer hoog. Hoger dan tradionele kantoorautomatisering. Zeker als je het aantal incidenten uit beide omgevingen tegen elkaar afzet. Voor een beter beeld raad ik u aan om Cyber Security Beeld Nederland (CSBN) publicatie 4 te lezen.