In Amerika is lokaal de gastoevoer twee dagen lang platgegaan na een aanval met ransomware. Een installatie die aardgas onder druk zet, moest tijdelijk worden afgesloten.
Het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt bedrijven op gebied van de stroom-, gas- en watervoorziening extra alert te zijn op dit soort cyberdreigingen. De vitale infrastructuur blijkt nog steeds heel kwetsbaar voor cyberaanvallen. Dringend wordt deze sector aangeraden de werkwijze van de cybercriminelen te bestuderen. Geheim blijft waar in de Verenigde Staten het incident plaatsvond, maar het karakter van de aanval is technisch tot in de details beschreven.
De aanval begon met een ‘spearphishing link’ waarmee het it-netwerk werd binnengedrongen. Vervolgens wist men toegang te krijgen tot een ot-systeem (operational technology) dat in de gaten houdt hoe apparaten zich gedragen. Met gewone ransomware werden gegevens op zowel de it- als de ot-netwerken versleuteld. De aanval beperkte zich tot systemen die op Windows zijn gebaseerd. Volgens het CISA kregen de aanvallers geen vat op de plc’s (programmable logic controllers) die worden gebruikt om controlesystemen van industriële machines aan te sturen.
Hoewel het slachtoffer niet controle verloor over de operaties, konden bepaalde real time data niet meer worden gelezen. Uit veiligheidsoverwegingen werd daarom besloten bepaalde installaties twee dagen lang af te sluiten. Het bedrijf heeft hierdoor inkomsten verloren.
Schering en inslag
Volgens het CISA heeft het slachtoffer verzuimd om de it-systemen goed af te scheiden van de ot-systemen. De aanval bleef weliswaar beperkte tot één controle-eenheid, maar ook andere compressoren moesten worden uitgeschakeld omdat die op dezelfde pijpleiding waren aangesloten. Het CISA constateert dat het bedrijf slecht was voorbereid op een cyberaanval. Alle noodplannen waren gericht op een fysieke aanval. Personeel bleek onvoldoend te zijn getraind.
Veiligheidsexpert Ronald Prins vreest dat dit soort aanvallen schering en inslag worden. ‘Aanvallen op vitale processen gaan we nog veel meer zien,’ stelt de oud-topman van Fox-IT.
Beveiliging loopt altijd achter op hackers. En die gaan steeds verder. Het is te verwachten dat ze vroeg of laat ook de PLC’s onder besturing krijgen.
Het lijkt me daarom dat bedrijven die nutsvoorzieningen bieden (gas, water, elektra) verplicht moeten worden hun operationele systemen volledig op een gesloten netwerk te laten draaien, waarbij iedere directe en indirecte connectie met internet verboden is. En bedrijven die met grote hoeveelheden gevaarlijke stoffen werken eveneens.
Voer updates ouderwets via memorysticks uit.
Het reguliere netwerk voor kantoorautomatisering met aansluitingen naar buiten toe staat er naast met geen enkele onderlinge koppeling.
Wellicht jammer dat operators dan niet van thuis uit kunnen werken, maar het risico op hacken wordt inmiddels erg groot.
Het was dan ook alleen maar een kwestie van tijd todat hackers de sprong van it naar ot zouden maken. Dat ze geen vat hebben gekregen op plc’s was ook niet nodig omdat ze het proces al ernstig konden verstoren doordat de real-time data die voor de bewaking van processen nodig is kwetsbaar bleek te zijn.
Na enige ‘ruggespraak’ vanuit de community een aanvulling, want wat als de real-time sturingsdata van controle niet onleesbaar was gemaakt maar gemanipuleerd. Een voorbeeld hiervan kennen we van de centrifuage van uranium door Iran, de werkelijke toeren en de gemeten toeren weken van elkaar af waardoor de opbrengst van uranium-235 veel kleiner was. Ronald Prins voorspelt meer van dit soort aanvallen op de vitale processen en ik ben daarom benieuwd wat onze overheid hiertegen doet, tot op heden zie ik namelikjk nog weinig beweging hierin.