Industriële beveiliging en het bedrijfsnetwerk, een gevaarlijke cocktail

27 mei 2015 - 15:266 minuten leestijdAdvertorialSecurity & Awareness
Martijn Sprengers
Martijn Sprengers

Ondanks strenge veiligheidsprotocollen is het bij industriële installaties vaak slecht gesteld met de ICT-beveiliging. Zeker nu dit soort vitale installaties steeds vaker gekoppeld zijn aan het bedrijfsnetwerk en standaard ICT, kan dat een gevaarlijke situatie opleveren. Om dit te verbeteren, moet ICT-beveiliging binnen industriële omgevingen drastisch anders.

Over deze blogger

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Bedrijven zijn steeds afhankelijker van informatie uit hun ICT-systemen. Data over het productieresultaat van fabrieken worden bijvoorbeeld vaak gebruikt om realtime de bedrijfsvoering aan te passen of bij te sturen. Proces Controle Systemen (PCS) van industriële en vitale installaties zijn daarom steeds vaker gekoppeld aan het normale bedrijfsnetwerk. Dat brengt beveiligingsrisico’s met zich mee.

Maatwerksystemen

Veel industriële installaties worden aangestuurd door maatwerksystemen. Die PCS hebben vaak jarenlang geïsoleerd gefunctioneerd, maar zijn inmiddels gekoppeld aan het bedrijfsnetwerk.

Ook worden PCS steeds vaker aangestuurd met standaardsoftware. Binnen die wereld van SCADA (Supervisory Control And Data Aqcuisition) en ICS (Industrial Control Systems) met eigen besturingssystemen en protocollen, vindt een integratieslag plaats met de ‘gewone ICT’ die bestaat uit Windows, Linux en koppelingen met standaard databases. Dit zorgt voor extra risico’s op het gebied van beveiliging. Ik kom bijvoorbeeld wel eens bij bedrijven over de vloer die hun ERP-systeem gekoppeld hebben aan systemen die de productie aansturen. Natuurlijk is het handig om vanuit het ERP-systeem direct te kunnen ingrijpen in het productieproces. Maar het vormt ook een groot beveiligingsrisico. Criminelen kunnen immers via het ERP-systeem direct binnendringen in de ICT van de productie-omgeving.

Safety staat los van Security

Binnen de wereld van industriële omgevingen is sprake van een opvallende tegenstelling. Hoewel noodprocedures en veiligheidsprotocollen, de zogenaamde Health Safety Environment (HSE)-regels, vaak van zeer hoog niveau zijn, is er relatief weinig aandacht voor ICT-beveiliging.

Boorplatformen beschikken bijvoorbeeld over Fire and Gas (FIS/GAS) of Emergency Shutdown (ESD)-systemen die automatisch het proces en de onderliggende infrastructuur stil leggen als er vuur, gas of te hoge druk gedetecteerd wordt. Kijk je naar de ICT-security, dan is er sprake van een heel andere situatie. Sommige systemen zijn zelfs zonder nadenken gekoppeld aan het internet. Het is opvallend dat in een omgeving waarin veiligheid alom aanwezig is, de ICT-beveiliging vaak achterblijft. De paradox is dat juist die zwakheden in de ICT-security misbruikt kunnen worden om de safety-systemen buiten werking te zetten. Safety wordt dus ondermijnd door een gebrek aan security.

Windows XP

Binnen de industriële omgevingen die ik heb bezocht, gebruikt ongeveer tachtig procent nog Windows XP. Dit is eerder regel dan uitzondering. Het gaat van oudsher om op zichzelf staande systemen die op een gegeven moment aan het bedrijfsnetwerk of internet zijn gekoppeld. 

Het is vaak moeilijk die security-risico’s te vertalen naar de belevingswereld van engineers die dagelijks met PCS werken. Dat komt doordat industriële controle systemen (ICS) 24/7, 365 dagen per jaar moeten draaien, en vaak wel 20 jaar continu in bedrijf moeten zijn. Voor patches of updates is dan geen tijd, omdat men veronderstelt dat de productie daarvoor stilgelegd moet worden. Verder gaan engineers er nog steeds vanuit dat ICS op zichzelf staan en het doen van penetratietests uit den boze is. Voor het overzicht zet ik graag de risico’s en mogelijke oplossingen voor u op een rij.

Belangrijkste risico’s

  1. Gebrek aan inzicht beveiliging. 
    Omdat er te weinig kennis of bewustzijn over beveiliging is, kent men de risico’s niet of focust op verkeerde dingen.
  2. Remote shutdown.
    Een van de grootste beveiligingsrisico’s van industriële installaties is dat iemand van afstand de productie-omgeving kan beïnvloeden en kan stil leggen.
  3. Ongeautoriseerde toegang tot Programmable Logic Controller (PLC). 
    Deze systemen regelen de aansturing van proces en machines. De verschillende software per proces heet ‘ladder logic’, een veiligheidstrappensysteem dat bijvoorbeeld een installatie afremt als ergens de druk te hoog wordt. Als criminelen deze protocollen kunnen beïnvloeden, ontstaat een heel gevaarlijke situatie. Dit was bijvoorbeeld het geval bij Stuxnet.

  4. Dreigingen vanuit een 3e partij. 
    Op productielocaties is het vaak een komen en gaan van allerlei externe partijen als leveranciers, engineers, monteurs. Zij loggen met allerlei apparaten in en vormen zo een beveiligingsrisico, omdat zij allerlei malware in de productieomgeving kunnen introduceren. Ook zie ik te vaak dat men zonder na te denken verbindingen legt met systemen van derden, om bijvoorbeeld ‘beheer op afstand’mogelijk te maken.

Oplossingen

  1. Verbeter toegangscontrole netwerk en PCS.
    Wachtwoorden zijn vaak zwak, omdat men van oorsprong fysieke toegang nodig had om verbinding te maken met deze systemen. Indringers in de bedrijfsomgeving, kunnen zo met eenvoudige wachtwoorden als ‘engineer’ of ‘operator’ de proces controle-omgeving binnendringen.
  2. Focus op detectie in plaats van preventie. 
    Er moeten analyses in de beveiliging worden ingebouwd, die risico’s of fraude actief kunnen opsporen. Het patchen van software of wachtwoorden veranderen is niet genoeg, omdat de software vaak vrij oud is en dit niet snel zal gaan veranderen.
  3. Zorg voor de juiste governance. 
    De verantwoordelijkheid voor de ICT-beveiliging moet bij de juiste persoon liggen. Dat is soms een hoofd-engineer of facility manager op locatie. Maar hebben deze personen wel de juiste kennis en middelen? Hierbij kan een stuurgroep helpen, bestaand uit mensen die het proces snappen en mensen met kennis van security, zoals de CISO. Daarnaast moet de Raad van Bestuur ook eigenaarschap nemen, want uiteindelijk draait het om hun bedrijf en personeel.
  4. Probeer de engineer te begrijpen. 
    Engineers werken in een andere wereld dan ICT-security professionals. In industriële omgevingen draait alles om het 24 uur per dag draaiend houden van een productiesysteem. De veiligheid van die installatie staat voorop, maar engineers zijn zich vaak niet bewust van de risico’s op ICT-gebied. Daar is sturing nodig. De ‘echte’ risico’s moeten duidelijk gemaakt worden in een taal die wordt begrepen door de engineer.  Dus niet “de virusscanner is niet geïnstalleerd”, maar geef aan wat de gevolgen zijn. Dat vertaalt zich naar: “door deze combinatie van instellingen is het mogelijk de ladder logic vanaf het internet aan te passen.”

Meer lezen

Geef een reactie

Footer