Bedrijven in de vitale sector hebben hun email slecht beveiligd tegen vervalsing door cybercriminelen. Onder andere de kerncentrale in Borssele, Luchtverkeersleiding Nederland en water- en energiebedrijven scoren slecht. Ook Veiligheidsregio’s laten opvallend vaak steken vallen.
Dat blijkt uit onderzoek van actualiteitenrubriek Zembla. De redactie van het tv-programma onderzocht samen met de Internet Cleanup Foundation de mailservers van honderd organisaties in de vitale sector.
Ze keken of deze voldeden aan de criteria en adviezen van het Forum Standaardisatie en het Nationaal Cyber Security Centrum (NCSC). Die bevelen de implementatie en strikte configuratie van de e-mailveiligheidsstandaarden dmarc, dkim en spf aan.
Het actualiteitenprogramma en de stichting voor vertrouwelijkheid en integriteit op internet concluderen dat 57 van de honderd bedrijven de aanbevolen veiligheidsstandaarden geïmplementeerd en strikt geconfigureerd hebben. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden of was deze onvoldoende strikt geconfigureerd.
43 procent van de onderzochte bedrijven blijkt dus de emailsystemen niet optimaal te hebben beveiligd. Dat kan hen kwetsbaar maken voor criminelen die uit naam van die organisaties vervalste emails versturen om vervolgens te proberen om binnen te dringen in systemen of data willen gijzelen.
Reacties
In reactie op het onderzoek zeggen 34 van de 43 bedrijven en organisaties die de zaken niet op orde hebben, hun mailbeveiliging verder aan te scherpen.
De exploitant van de kerncentrale in Borssele, EPZ, erkent dat de mail niet maximaal is beveiligd, maar zegt desondanks ‘goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren’. EPZ scherpt de beveiliging van e-mail verder aan. Ook de bedrijven in de luchtvaartsector kwamen met vergelijkbare reacties op de ontdekte kwetsbaarheden.
Een woordvoerder van hoogspanningsbeheerder Tennet, dat de mail ook onvoldoende beveiligde, reageert: ‘Ook wij hebben weleens op een verkeerde link geklikt of een besmet bestand geopend.’ De woordvoerder stelt dat het bedrijf beschikt over goed beveiligde systemen, goed opgeleid personeel en security-processen, waardoor acties niet tot verdere schade leiden of hebben geleid.
Veiligheidsregio’s
Opvallend is verder dat de veiligheidsregio’s slecht scoren, terwijl de veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog getroffen werd door een ransomware-aanval.
Van de 25 veiligheidsregio’s hadden er dertien hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn. ‘Verbetering kost tijd’, aldus de veiligheidsregio’s, die zeggen te kampen met een ‘complex ict-landschap’ nadat de systemen van de organisaties zijn samengevoegd.
Er worden versneld extra veiligheidsmaatregelen genomen, melden de samenwerkingsverbanden voor crisisbeheersing, hulpverlening, openbare orde en veiligheid aan Zembla.
Zembla profileert zichzelf als een opiniërende actualiteitenrubriek, ze zoeken graag naar de spreekwoordelijke storm in een glas water want ik mag aannemen dat de IT van de vitale sector niet gekoppeld is aan de OT. Natuurlijk is er – zoals Colonial hack liet zien – een risico dat ransomware delen in de vitale sector lam legt maar naar ik heb begrepen zijn er interessantere aanvalsvlakken. Het is natuurlijk goed dat er aandacht gegeven wordt aan de onveiligheid van e-mail, zonder streepje is het een laagje dat op de pannen zit, maar we hadden deze week ook een storm in een glas water over Facebook die problemen had met een DNS routering. Voor alle duidelijkheid, parlementaire nota KWetsbaarheden INternet (9 juli 2001) wees al op de zwakheden van e-mail welke 20 jaar later nog niet opgelost zijn omdat we blijven bezuinigen op de postzegels.
Wat betreft oude maar nog altijd relevante rapportages is ook jet opvolgende rapport over het beleid aangaande de bescherming van de vitale sectoren interessant, sommige molens draaien nu eenmaal niet zo snel. In het kaartspel van de ‘risicokaarten’ mist nog de joker want sinds 2005 is het eigenaarschap van de vitale infrastructuur nog verder verslechterd en de geconstateerde bestuurlijke zwakheden aangaande een integrale aanpak zijn daarom nog altijd niet opgelost. We hebben namelijk wel een NCSC maar als deze uiteindelijk geen autoriteit heeft dan is het een blaffende hond, divide et impere…..
@Oudlid
Je zegt: “het valt allemaal eigenlijk wel mee” ..” ..want ik mag aannemen dat de IT van de vitale sector niet gekoppeld is aan de OT..”. Maar op welke basis maak jij die aanname eigenlijk?
Zonder IT werkt vaak de OT ook niet meer en dat is dus in veel gevallen de reden waarom er losgeld betaald wordt. Zonder IT heb je geen actieve bedrijfsprocessen. Als je dan niet betaalt, dan heb je na een paar weken de-facto geen bedrijf meer.
@KJ
Als eerste zie ik de OT van processturing en -automatisering als een andere wereld dan de IT van de kantoorautomatisering, ik neem daarin aan dat een e-mail systeem niet (direct) is gekoppeld aan een SCADA systeem. Basis voor die aanname is emperisch hoewel er natuurlijk altijd ‘achterdeurtjes’ zijn welke al dan niet gautoriseerd zijn omdat we liever lui dan moe zijn middels ‘remote management’ via een netwerk. De oude RS-232 stekker is dan vervangen door een RJ-45 stekker maar meestal is dat ‘management’ netwerk een van de buitenwereld afgesloten netwerk, meestal maar niet altijd want zoals gezegd zijn er andere aanvalsvlakken dan SMTP. Zembla kleppert met de brievenbus die misschien essentieel is voor de administratie maar veelal niet vitaal voor de productie. Dus ja, het valt misschien allemaal wel mee hoewel er natuurlijk zorgen blijven over een vitale infrastructuur als die omvalt door achterstallig onderhoud.