Cyberaanvallen nemen in aantal en complexiteit toe. Organisaties in de publieke en private sector zien zich hierdoor gedwongen om hun beveiligingsstrategie opnieuw onder de loep te nemen. Hoe neem je één van de grootste zorgpunten, de beveiliging van Scada-systemen, weg?
Eén van de grootste punten van zorg van organisaties in de publieke en private sector heeft betrekking op kwetsbaarheden in de beveiliging van systemen die worden ingezet voor het beheer van kritieke nationale infrastructuren, zoals Supervisory control and data acquisition (Scada)-systemen. De energiesector in het bijzonder vormt een steeds populairder doelwit van hackers. Zorgwekkend is het feit dat 69 procent van alle energiebedrijven ‘weinig vertrouwen’ heeft in zijn vermogen om dit soort aanvallen te detecteren. Als cybercriminelen toegang krijgen tot een Scada-systeem bestaat er niet alleen het gevaar op informatiediefstal. Er kan ook schade worden aangericht aan fysieke activa, en in het ergste geval kan het mensenlevens kosten. Dit zou meer dan voldoende reden moeten zijn voor bedrijven om een beroep te doen op beveiligingssystemen waarmee ze aanvallen kunnen detecteren op het moment dat die zich voordoen en de juiste tegenmaatregelen kunnen treffen.
Een belangrijk probleem is dat er bij de ontwikkeling van een groot deel van de bestaande energie-infrastructuur niet of nauwelijks rekening is gehouden met cyberbedreigingen. Veel systemen stammen nog uit de tijd voor de opkomst van het internet. Scada-apparaten vertrouwen daarom hun omgeving inherent en kennen een groot aanvalsoppervlak. De beveiliging van deze omgevingen is oorspronkelijk ingericht op de fysieke bescherming van kritische systemen. Men hield geen rekening met de mogelijkheid dat apparatuur die gebruikmaakt van Scada- en gerelateerde seriële protocollen, zoals hoofdterminals en op afstand bediende terminals, ingebedde microcontrollers, sensoren, actuatoren en traditionele workstations ooit ondersteuning zouden bieden voor het internet protocol (ip) en daarmee toegankelijk zouden worden voor onbetrouwbare netwerken.
Kwetsbaarheden in Scada-systemen
Veel Scada-apparaten maken gebruik van uiterst basale authenticatiemethoden die eenvoudig te omzeilen zijn. Alle gegevens worden overgedragen in een leesbaar formaat. Veel applicaties zijn bovendien gebaseerd op verouderde en kwetsbare code. De enorme kwetsbaarheid van Scada-systemen blijkt onder meer uit de recente cyberaanval op het Oekraïense energienetwerk, die resulteerde in de eerste grootschalige uitval van het elektriciteitsnet. Of neem de ontdekking van verdachte malware in het netwerk van Boryspil, de grootste luchthaven van Oekraïne in Kiev. En dan zijn er nog Stuxnet en Flame, twee uiterst beruchte malware-varianten waarmee hackers zich toegang verschaften tot Scada-systemen. Uit deze cyberaanvallen blijkt duidelijk dat kritische nationale infrastructuren steeds meer onder vuur komen. En hoe vaardig en vastberaden hackers te werk gaan.
Als cybercriminelen erin slagen om de controle van een Scada-systeem over te nemen, kan dat zeer schadelijke gevolgen voor een land hebben. En nu infrastructuren steeds meer met elkaar worden verbonden, worden controlesystemen nog kwetsbaarder voor cyberaanvallen. Aanvallen kunnen zich zo makkelijk verspreiden naar andere infrastructuurcomponenten en voorzieningen. Deze situatie zal er waarschijnlijk niet beter op worden. Hackers blijven namelijk hun pijlen richten op systemen die ze met minimale inspanning kunnen overnemen en waarmee ze maximale impact kunnen realiseren.
Strategische koerswijziging
In de praktijk merken we dat veel beheerders van kritische nationale infrastructuren verouderde beveiligingsstrategieën hanteren die met de dag aan kracht inboeten. Het is een gevaarlijke misvatting om te denken dat men kan volstaan met standalone tools voor het beveiligen van de netwerkrand, zoals antivirusoplossingen en firewalls. Zeker niet in sectoren waarvan de economische stabiliteit en ontwikkeling van een land afhankelijk zijn.
Hackers voeren steeds hardnekkiger aanvallen uit en maken gebruik van uiterst geavanceerde tactieken om misbruik te maken van bestaande kwetsbaarheden. Vasthouden aan standaard beveiligingsoplossingen werkte misschien nog in de jaren voordat cyberaanvallen uitgroeiden tot een van de grootste bedreigingen voor de nationale veiligheid, maar die tijd is voorgoed voorbij. Hackers vinden steeds weer vernuftige manieren om IT-systemen binnen te dringen. Bedrijven moeten hun infrastructuur dan ook op nieuwe en innovatieve manieren beschermen. De realiteit is echter dat het niet mogelijk is om aanvallen te voorkomen. Er zijn echter wel manieren om er grip op te krijgen en de schade zoveel mogelijk in te perken.
Intelligente oplossing
De vraag is dus niet of er aanvallen zullen plaatsvinden, maar wanneer. Organisaties die gebruikmaken van Scada-systemen moeten daarom hun aandacht richten op het detecteren van aanvallen en daar zo snel mogelijk van herstellen. Systemen zijn het kwetsbaarst in de periode tussen de detectie van een incident en het nemen van tegenmaatregelen. En zonder een strategie die een efficiënte en doeltreffende reactie op incidenten mogelijk maakt, kan een aanval funeste gevolgen hebben. De kritische nationale infrastructuur vraagt om een intelligente beveiliging die alle systemen voortdurend bewaakt, zodat elke aanval kan worden gesignaleerd en aangepakt op het moment dat die zich voordoet. Omdat Scada-systemen vaak verspreid over diverse geografische locaties worden beheerd, is een centraal systeem dat realtime inzicht biedt in alle netwerkactiviteiten van cruciaal belang voor een effectief beveiligingsbeheer.
Kritische nationale infrastructuren zullen altijd een gewild doelwit van hackers blijven. En we kunnen ons niet permitteren dat ruim twee derde van alle organisaties in de energiesector niet precies weet hoe ze hun infrastructuur veilig houden. Alleen een beveiligingsaanpak die voorziet in realtime bewaking en analyse van alle netwerkactiviteiten maakt het mogelijk om geavanceerde aanvallen op Scada-systemen te detecteren, de juiste herstelmaatregelen te treffen en de herkomst van een aanval te achterhalen voordat er significante schade wordt aangericht.
Rob Pronk, Regional Director Northern Europe bij LogRhythm
