Door de verdere integratie van procesautomatisering met gewone ict, zullen er meer aanvallen zoals die met de worm Stuxnet komen. Veel procescontroletechnologie beschikt niet over de nodige beveiligingsmaatregelen. Dat zeggen verschillende experts van Computables topic Security.
'Stuxnet richt zich op systemen in de procesautomatisering', legt beveiligingsadviseur Michiel Broekhuijsen van Andarr uit. 'Dit zijn systemen die worden gebruikt om productieprocessen aan te sturen in fabrieken, maar ook in kritieke infrastructuren zoals waterzuivering en energielevering. Vroeger waren dit soort systemen fysiek gescheiden en alleen via speciale apparatuur te beheren.'
'Tegenwoordig worden meer en meer van dit soort systemen gekoppeld met gangbare ict-technologie die binnen kantoren wordt gebruikt. Dit wordt gedaan om enerzijds kosten te besparen maar ook om nieuwe functionaliteiten te kunnen bieden, denk aan de slimme energiemeters. Als oude technologie wordt gekoppeld met nieuwe technologie, ontstaan er vaak beveiligingskwetsbaarheden. Immers de oude technologie is nooit bedoeld om bijvoorbeeld via het internet te worden aangestuurd en beschikt daarom ook niet over de nodige beveiligingsmaatregelen zoals toegangscontrole.'
Patching en security
'Ik denk dat de Stuxnet-aanval een groot probleem heeft blootgelegd', denkt ook account manager Jan-Paul Oosterom van securityleverancier Check Point. 'In de industriële automatisering is patching en security op een lager niveau dan op kantoorautomatisering, datacenters en webserveromgevingen.'
'De beveiliging van een industriële omgeving is wezenlijk anders dan een kantooromgeving', legt beveiligingsadviseur René Visser van Oversite uit. 'Het testen van een patch is zeer lastig. Hoe simuleer je een fabriek? Ook een upgrade is daarom een tijdrovend en kostbaar traject. Dat maakt industriële omgeving een nieuw ideaal werkgebied voor hackers, buitenlandse (onvriendelijke) mogendheden, criminelen en terroristen.'
Patchen stoort proces
'Het probleem is dat er in industriële omgevingen bijna nooit een actief patchbeleid aanwezig is', zegt beveiligingsportfoliomanager Jan-Paul van Hall van Axians. 'Procesbesturingssystemen op basis van gedateerde computeroperatingsystemen die tien jaar geleden zijn ontworpen en nog werken laat je met rust'. Een patchproces brengt simpelweg te veel risico met zich mee voor het proces. Hierdoor zijn er nog steeds verouderde NT/95-versies van Windows te vinden als onderliggende besturingssystemen van processen.'
'In industriële omgevingen waar dit type worm voorkomt is het niet evident om cleaning toe te passen, omdat er veelal geen antiviruspakket op dergelijke systemen geïnstalleerd is. Dat betekent dat de opruiming soms handmatig moet worden uitgevoerd', vult beveiligingsevangelist Eddy Willems van G Data Security Labs aan.
Siemens
Broekhuijsen noemt nog een ander probleem: 'Industriële procesautomatiseringoplossingen worden maar door een beperkt aantal leveranciers gemaakt, zoals Siemens. Dit maakt deze systemen een aantrekkelijk doelwit: als de je kwetsbaarheden van zo'n systeem weet als de standaard wachtwoorden om vanaf afstand onderhoud te plegen, heb je grote kans dat je daarmee meerdere bedrijven kan treffen. Een andere probleem is dat dit soort systemen erg prijzig is: een nieuwe aanschaffen gebeurt pas als de economische levensduur voorbij is. Met de verdere integratie van de procesautomatisering met gewone IT, kunnen we meer aanvallen zoals die met Stuxnet verwachten. Gezien onze afhankelijkheid van kritieke infrastructuren als water, gas, elektra etc. zullen de gevolgen van de aanvallen zeker gaan toenemen.'
Terroristische dreiging
Dat denkt ook informatiebeveiligingsadviseur John Rudolph. 'Stel je voor dat een fabriek van Miitsubishi een week platgaat. Dat kost een vermogen! En dat is nog maar een 'burger'-complex. Erger is, als PLC's zodanig geherprogrammeerd worden dat de gemaakte producten afwijken van de (veiligheids)specificaties. De consequenties kunnen enorm zijn. En wat te denken als Borssele aangevallen wordt?'
'De dreiging lijkt hoofdzakelijk gericht op Azië', zegt algemeen directeur Gerco Kanbier van Trust in People. 'Echter, de AIVD publiceerde in april 2010 een rapport waarin zij heeft geïnventariseerd welke belangen per sector relevant zijn voor buitenlandse inlichtingendiensten. In Nederland worden industriële procesbesturingsystemen voornamelijk gebruikt in de utiliteitssector, voedselproductie, farmaceutische industrie, transport en de technologie sector.'
De beveiligingsrisico’s van procesbesturingssystemen binnen de productie-industrie zijn al langer bekend. De ISA-99 standaard speelt hier bijvoorbeeld op in. De industrie is echter over het algemeen zeer conservatief en begint onderkent nog onvoldoend de risico’s van Cybercrime. Daarnaast is het een branche waarbij productiekosten sterk onder druk staan. Investeringen in systeemveiligheid staan daardoor nauwelijks op de agenda. Het is te hopen dat de industrie door dit soort berichten zich beter bewust wordt van de risico’s en actie gaat ondernemen.
Je WILT toch ook helemaal geen malware scanner op een dom apparaat (hoeven) installeren? Moeten we soms van elk apparaat een instabiele onveilige Windows-bak maken?
Eerst maar eens alle PC’s over naar Linux overzetten. Dat hoeft niet 100% afdoende te zijn, maar is toch wel een gigantische stap in de goede richting.
Zeker weten dat dit soort zero-day verspreidingen dan een stuk minder wordt.
“Immers de oude technologie is nooit bedoeld om bijvoorbeeld via het internet te worden aangestuurd…”
Misschien een open deur….
Waarom doen bedrijven/ mensen het dan wel (en denken niet verder na over de mogelijke gevolgen van hun acties, beslissingen)?
Omdat het niet de ICT’ers zijn die zulke beslissingen nemen. Het zijn managers/coördinatoren/directeuren etc. die (te)veel van de ICT-beslissingen nemen.
Beveiliging en risicomanagement zijn twee verschillende zaken. In het stuk en de reacties lees je vooral de insteek van de beveiliger. Daar is niets mis mee, maar het moet dan niet gaan over de zakelijke beslissingen die op basis van een risicoafweging worden gemaakt.
Als we kijken naar kans dat bovengenoemde bedreiging zich werkelijk manifesteert en tot aanzienlijke schade leidt dan is die (tot nog toe) vrij beperkt. Als we kijken naar de kosten, problemen en risico’s die het overstappen naar nieuwe software in deze omgevingen en het toevoegen van de extra beveiliging op PLC’s met zich meebrengt dan kom je waarschijnlijk snel tot de conclusie dat je het huidige risico wilt nemen.
Ik zeg niet dat je niet kritisch moet kijken naar je beveiliging, dat moet doorlopend. En ook brengen nieuwe versies van software en verbeterde beveiliging naast problemen en risico’s ook kansen met zich mee. Maar de beslssingen rond beveiliging dienen altijd in perspectief genomen te worden van wat uiteindelijk je zakelijke balans is.
Trouwens, in dit geval zou een verandering in de procedure bij de betreffende organisatie waarschijnlijk dit type bedreigingen goed kunnen pareren. Dan is het een kwestie van tijd tot de volgende bedreiging zich aandient, maar tijd is geld en dat bepaalt de balans.
“Als we kijken naar de kosten, problemen en risico’s die het overstappen naar nieuwe software in deze omgevingen en het toevoegen van de extra beveiliging op PLC’s met zich meebrengt dan kom je waarschijnlijk snel tot de conclusie dat je het huidige risico wilt nemen.”
Het gevolg van geprivatiseerde nutsvoorzieningen (zoals de water- en stroomvoorziening), is dus dat bedrijven nu zelf kunnen beslissen of de boel zo veilig mogelijk wordt ingericht of niet. En ik vind dat daar juist de beslissing niet mag liggen. Want, zoals u al aangeeft: dan gaan commerciële belangen vóór veiligheidsbelangen. En dat is niet goed. Het risico mag klein zijn, maar de eventuele gevolgen zijn van een dermate grote orde dat we dit niet aan commerciële partijen mogen overlaten.
De beste oplossing lijkt mij: nutsvoorzieningen weer door de overheid laten regelen, en dan tegelijk van alle ministeries eisen dat er alleen nog maar Open Source gebruikt mag worden. Over de gehele linie. En niet alleen de programma’s zelf, maar ook de basis: de besturingssystemen en de embedded software.
Open Source is gewoon veel veliger dan Closed Source. Waarom zo’n verandering niet doorvoeren? Scheelt ook gelijk miljarden aan licentiegelden die vanuit Nederland met name naar Redmond gaan.
Gebruik die miljarden om hier in Nederland Open Source te ontwikkelen. Open Source dwingt een programmeur om net, veilig en malware vrije software te maken. Immers, iedereen kan de code controleren.
Valt een hoofdprogrammeur van een Open Source programma weg, dan kan de ontwikkeling van het programma eenvoudig worden opgepakt door een willekeurige opvolger. Bij Closed Source kan dat niet – daar moet dan weer van voren af aan worden begonnen. Niet erg efficiënt.
Hey MM,
mooi troll hoor. De systemen aldaar draaien op WinCC, een specifieke windows versie voor Control Centers.
En alles naar linux gaat het probleem ook niet oplossen hoor, ook Linux heeft zijn zwakheden.
Maar ja het is altijd makkelijk om Windows te bashen he, jammer dat je dit doet zonder enige kennis van zaken van de SCADA infrastructuur. Stuxnet kan SCADA systemen aanvallen en laat daar nou geen Windows of Linux op draaien maar Siemens eigen software.
Zover mij bekend maakt Siemens zelf geen OS. Scada-software draait gewoon als gewone applicatie op een x86 systeem met Linux of Microsoft OS. Derhalve zullen Scada-clients ook dezelfde gevoeligheden kennen als alle andere PC-systemen.
Handig dat open-source! Nu kan ik zelfs de broncode afspeuren op zwakke plekken en hierop een virus schrijven en testen! En wie gaat dat lek dan patchen? Die vrijwillige programmeur in z’n vrije tijd?
Het is veel makkelijker om lekken in open-source te vinden dan in closed-source producten, en moeilijker te patchen. Maak je borst maar nat!
Hans, toen ik net in de ICT begon te werken, konden alle virussen op één diskette. Het aantal virussen voor open en closed source os is thans meer dan een miljoen. De eerste groep virussen zou nog steeds op een diskette gaan. Voor de tweede groep heb je een aardige harde schijf nodig. Elke dag verschijnen er voor circa Windows 55.000 unieke virussen (originele en aangepaste virussen).
Het aantal virussen en andere malware voor closed source applicaties is ook erg groot geworden. Denk aan MS Outlook, MS Word, MS Excel, Adobe Acrobat, Adobe Reader en Adobe Flash Player.
Dus, maak je borst maar nat. Maar niet zozeer door de open source.