Computable experts zijn het in grote lijnen eens met de bevindingen uit het Intel Security-onderzoek dat een cyberaanval tot dodelijke slachtoffers kan leiden. Wat voor soort cyberaanvallen deze slachtoffers tot gevolg kan hebben en waar organisaties zich daarom op moet focussen, leggen zij uit in dit artikel.
Woensdag publiceerde Intel Security de resultaten van zijn beveiligingsonderzoek. Hieruit bleek dat bijna de helft van de werknemers bij organisaties met focus op vitale infrastructuursectoren denkt dat de komende jaren dodelijke slachtoffers gaan vallen als gevolg van een cyberaanval die een onderdeel van de kritieke infrastructuur plat legt. Een aantal Computable-experts heeft zijn reactie gegeven op deze resultaten. En volgens hen kloppen de conclusies die in het onderzoek worden getrokken in grote lijnen.
Volgens principal consultant bij I-to-I, Lex Borger, is het wel belangrijk om er op te letten dat het onderzoek meer een opiniepeiling betreft dan een wetenschappelijk onderzoek. Om te bepalen of de resultaten kloppen interpreteert hij de resultaten dan ook als opinies en kijkt hij vooral naar trendverschillen over de jaren heen.
Op basis van deze trends en met de interpretatie van de bevindingen als opinies, is hij het in grote lijnen eens met de resultaten uit het rapport. ‘Hackers zijn nu al zo ver dat er doden zouden kunnen vallen. Maar tot nu toe hebben zij zich beperkt tot informatiediefstal en ‘onschuldige’ vormen van gegevensmanipulatie, waarbij dodelijke slachtoffers niet direct zijn aan te wijzen.’ Ook Robbrecht van Amerongen, business innovation manager bij AMIS Services, denkt dat er een aanzienlijke kans is dat er in de nabije toekomst slachtoffers gaan vallen door cyberaanvallen. Volgens hem zijn er al voorbeelden te noemen uit de afgelopen jaren waarbij onveilige systemen via een secundaire weg slachtoffers tot gevolg hebben gehad. ‘Het bekendste voorbeeld is het lek bij Diginotar die het regime in Egypte in staat stelde om via een nep certificaat de Gmail en Twitter-accounts van activisten af te luisteren. Een aantal van deze activisten zijn toen opgepakt en niet meer terug gekomen.’
Borger meent dat we dodelijke slachtoffers door fouten in de automatisering al langer kennen. ‘Denk hierbij aan het toedienen van een verkeerde dosis medicijnen of bestraling. Mensen kunnen daar fouten bij maken en hackers kunnen weer misbruik maken van die mogelijkheid. Bovendien maken we onszelf afhankelijker van geavanceerde techniek die gevoeliger is voor cyberaanvallen. Een pacemaker die draadloos bijgewerkt kan worden, kan ook aangevallen worden.’
Robèr van den Brink, business development director bij IT-Ernity Internet Services, ziet het op dit moment nog niet zo snel gebeuren dat er dodelijke slachtoffers vallen als het gevolg van een aanval op vitale infrastructuren. ‘Op termijn kan dat echter weldegelijk het geval zijn. Met name de ontwikkelingen rondom the internet of things (IoT) gaan daarbij van belang zijn. Denk hierbij aan zelfrijdende auto’s die zijn verbonden met internet, pacemakers en andere medische toestellen die iemands levenslijn voeden worden 100 procent afhankelijk van internet.’ Ook Borger ziet het voor zich dat er doden mogelijk zijn als nieuwe Chryslers tijdens het rijden, van afstand over het internet gesaboteerd kunnen worden. ‘Er gaat een hardnekkig gerucht dat de dood van Michael Hastings door een verkeersongeluk in Los Angeles in 2013 een cyberaanval was, alleen is er geen bewijs…’
Bedreigingen
Wat betreft de bedreigingen die dodelijke slachtoffers zouden kunnen eisen denkt Van Amerongen dat deze bestaan uit lekken van binnenuit kritische infrastructuur, waarin maatwerksystemen opereren die gebouwd zijn in een tijdperk dat er nog vrijwel niet aan cybercrime werd gedacht. ‘Door deze systemen van binnenuit te beïnvloeden, kan er bijvoorbeeld een grote hoeveelheid gas in een bepaalde regio worden gestuurd, een sluis worden opengezet of een militaire drone op pad worden gestuurd.’ Van Amerongen denkt dat vooral de combinatie tussen persoonlijke accounts en systeem-accounts veel gevaar met zich mee brengt. ‘Er is niet meer te achterhalen wie de opdrachtgever is en de verstoring wordt pas laat geconstateerd.’ Hij hoopt dat het niet te laat zal zijn, maar het is volgens hem wel iets waar ernstig rekening mee moet worden gehouden.
Marcel Bosgra, lead architect bij ion-ip, denkt dat vooral onbekende malware het grote probleem wordt. Zo ontdekt één van de grotere security-leveranciers die zich richt op onbekende malware volgens Bosgra wekelijks meer dan tweehonderdduizend nieuwe malware software pakketten. ‘Door die nog onbekende malware houden virusscanners 60 procent van de virussen niet tegen.’ Ook Borger vindt het hoge vertrouwen (meer dan 80 procent) in traditionele beveiliging als firewalls en web gateways dan ook overtrokken. ‘Bij het falen van de techniek is de doorbraak ook gelijk groot. Zo is het eerder regel dan uitzondering wanneer een hack miljoenen slachtoffers maakt.’
Daarnaast meent Bosgra dat het bedroevend is gesteld met de bescherming van PLC / Scada-infrastructuren. ‘Deze worden vaak niet gepatched, omdat het proces niet kan worden gestopt. Soms zitten er zelfs nog XP-machines verstopt in de industriële automatisering.’
Uit het onderzoek bleek dat de belangrijkste oorzaak voor cyberaanvallen ligt bij menselijke fouten. Borger vindt dat we moeten stoppen de mens de schuld toe te schuiven voor het klikken op een phishing-link en dergelijke. ‘De geavanceerde aanvallers zijn niet meer van echt te onderscheiden. Dit stond zo al in de vierde uitgave van Cybersecuritybeeld Nederland. Binnenkort komt de vijfde versie uit. Ik ben benieuwd.’
Bewustzijn verhogen
Van den Brink denkt dat er tal van ontwikkelingen zijn die de kwetsbaarheid van infrastructuren verminderen. ‘Verminderen is hier bewust de woordkeuze. 100 procent beveiliging bestaat niet. De recent ontsnapte Mexicaanse crimineel zat immers ook in een gevangenis die voor 100 procent beveiligd was…’
Volgens Borger laat het onderzoek zien dat het bewustzijn van cyberproblematiek groeit en ook de hoeveelheid preventieve aandacht bij bestuurders toeneemt. Van den Brink ziet voor het verhogen van bewustzijn met name een cruciale rol weggelegd voor de mens achter de knoppen. ‘Beveiliging valt en staat met bewustzijn en ‘common sense’. Organisaties zouden met name daar sterk op in moeten zetten.’
Typische bangmakerij om via emotie mensen te manipuleren in zinloze symptoombestrijding.
Common sense is om geen vitale systemen aan een inherent onveilig internet te hangen. En als er een noodzaak is voor een eigen gesloten netwerk dan zal die er moeten komen.
Michael Hastings was als onderzoek journalist aan het wroeten in donkere krochten van de samenleving want hem niet in dank werd afgenomen en had zijn naasten hierover gewaarschuwd. Vervolgens krijgt hij een freak ongeluk op een manier waarvan Mercedes claimt dat het onmogelijk een technisch mankement kan zijn geweest. Want automotoren vliegen doorgaans niet tientallen meters door de lucht na een botsing.
Zijn daarom alle mercedessen onveilig geworden? Of begint het auto fabrikanten eindelijk duidelijk te worden dat ze geen open netwerken in hun autos moeten bouwen?
Johan,
Vergeet Michael Hastings even, dat is een gerucht. Je stapt wel even makkelijk over het Chrysler-incident heen.
Je zegt verder dat het ‘Common sense is om geen vitale systemen aan een inherent onveilig internet te hangen’. Er zijn vele vitale systemen die wél verbonden zijn met het internet, om allerlei bedrijfsredenen met beveiligingsmaatregelen. Soms achter een login, soms indirect. Dit is de realiteit. Veel vitale systemen bevatten verouderde techniek die niet meer in support is. Dat alles vervangen zou alleen al jaren duren…
Van wat we denken te weten over Stuxnet hingen de verrijkingscentrifuges in Iran niet aan het internet, toch wist de malware de Siemens Scada systemen te bereiken. Dus wanneer is een netwerk goed genoeg gesloten?
Nalezend vind ik dat Birgit en de experts feitelijke informatie geven en professionele inschattingen. Bangmakerij? Wellicht. Emotie en manipulatie? Nee.