Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

De BV Nederland loopt gevaar

Moeten we weer wachten op dat ene bekende kalf?

Cyber security is een actueel onderwerp. Bijna dagelijks verschijnen er berichten in de media dat er vertrouwelijke informatie 'op straat is gekomen' of dat er bepaalde websites zijn gehacked. Gelukkig gaat het hierbij bijna altijd over de 'bekende' ict-systemen zoals databases, servers of andere ict-gegevensdragers en betreft het zelden Industriële Controle Systemen (ICS).


Industriële Controle Systemen worden ook wel procesbesturings-systemen  of SCADA-systemen genoemd. In dezelfde context worden ook vaak Smart Grid-systemen genoemd. Ondanks het feit dat er aanzienlijke verschillen bestaan tussen deze systemen, zijn er ook overeenkomsten, zeker met betrekking tot het security aspect. Dit is één van de redenen waarom deze systemen vaak onder de noemer ICS worden gebracht.

Een belangrijke overeenkomst is het feit dat deze systemen allemaal bestaan uit een aantal verschillende ‘mini-computers’ met een specifieke control functie, zoals bijvoorbeeld het openen en sluiten van een machineklep of het regelen van de machine temperatuur. Deze ‘mini-computers’ (plc’s/rtu’s/sensoren) zijn vaak jaren geleden ontwikkeld en gebouwd om de functie 'klep open-klep dicht' dertig jaar lang onafgebroken uit te voeren. Deze ‘mini-computers’ zijn echter nooit ontwikkeld met een (cyber) security insteek, maar moesten vooral open zijn voor de engineers en andere operationele uitvoerders, zodat zij snel en op een eenvoudige manier operationele handelingen konden uitvoeren.  De security was tot enkele jaren dan ook geen issue, maar dit veranderde toen deze ‘mini-computers’ vanwege efficiëntie en kostenbesparingen aan elkaar moesten worden verbonden. Hierbij werd de aansturing van de ‘mini-computers’ gecentraliseerd onder een 'moeder-computer' (SCADA-systeem) en moesten zij ook vanaf buiten het industriële netwerk (bedrijfsnetwerk of zelfs internet) bereikbaar en bestuurbaar zijn!

Groter en complexer

De hierboven beschreven verandering genereert niet alleen operationele voordelen, maar het creëert ook kwetsbaarheden. Naast het feit dat deze ‘mini-computers’ van oorsprong onveilig zijn, worden de eco-systemen van de procesbesturing steeds groter en complexer. Hierdoor ontstaat er een veelvoud aan elkaar verbonden systemen, die dus het mogelijke aanvalsterrein (attack surfaces) voor een kwaadwillende aanzienlijk vergroten. Een Smart Grid is een goed voorbeeld hiervan, want een Smart Grid bestaat juist uit verschillende deelsystemen, die gezamenlijk via centrale systemen (SCADA-servers) onderling zijn verbonden.

Een kwaadwillende kan dus eigenlijk kiezen via welk deelsysteem hij/zij zichzelf toegang verschaft om bij de centrale systemen te geraken, met als doel om de operationele processen binnen het Smart Grid te beïnvloeden. Het ene deelsysteem is toegankelijker dan het andere, maar alle deelsystemen zijn te ‘kraken’. Gelukkig is deze kennis  (nog) niet wijd verspreid bekend en is er op dit moment  nog steeds genoeg te halen in de cyber crime en cyber spionage domeinen. Maar als deze 'criminele inkomstenbronnen' zijn opgedroogd, dan zullen de kwaadwillenden waarschijnlijk andere relatief makkelijke targets gaan aanvallen, zoals bijvoorbeeld de ICS/ Smart Grid systemen. 

Het zorgelijke van de situatie is het feit dat dit weliswaar bekend is bij een groot aantal organisaties, die hiermee te maken hebben, maar dat hier te weinig en te langzaam concrete acties op worden genomen. Het is zelfs specifiek genoemd in een publicatie van het Nationaal Cyber Security Centrum:
De aandacht van hackers en security onderzoekers voor de beveiliging van procesbesturings-systemen (ICS/SCADA) neemt de laatste tijd zichtbaar toe. In het bijzonder systemen die direct vanaf internet bereikbaar zijn liggen onder vuur. Maar deze internetconnectie is niet het enige potentiële beveiligingsprobleem voor procesbesturings-omgevingen (Checklist beveiligen van ICS SCADA systemen – NCSC, FS 2012-02 (7 maart 2012).

Het is mijn mening dat het slechts een kwestie van tijd is voordat Nederland wordt geconfronteerd met een relatief grote aanval op een ICS/Smart Grid systeem. En als dit gebeurt, dan ontstaat er verwarring (en na enkele dagen waarschijnlijk ook chaos) en zullen er vast onderzoekscommissies worden opgericht die mogen uitzoeken hoe dit heeft kunnen gebeuren.

Dit is jammer (en waarschijnlijk ook ontzettend kostbaar), want er kan volgens mij op dit moment al actie worden genomen, waardoor de kans op een grote ICS/Smart Grid aanval kan worden beperkt. Ik ben persoonlijk  van mening dat organisaties zich moeten voorbereiden op een dergelijke aanval en op dit moment aandacht moeten besteden aan de cyber security awareness op dit gebied alsook eventuele cyber security oefeningen/testen moeten organiseren. Helaas zie ik op dit moment nog te weinig actie op dit gebied in Nederland.

Moeten we dan toch weer wachten tot dat ene kalf is verdronken?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4703514). © Jaarbeurs IT Media.
?

 

Reacties

@Fred,

Goed dat je een duidelijk - en helaas actueel - probleem helder adresseert, natuurlijk zal er gezien het onderwerp wel het een en ander achter de schermen gebeuren. Openbaar internet heeft zo zijn gevaren en vergt extra beveiligingsmaatregelen, meer dan dat, kennis om de gevolgen van onderkende risico's voor te zijn. Hoewel procesbesturing veel in gescheiden netwerken gebeurt, gebeurde, is er altijd wel een achterdeurkoppeling met wireless of het openbare internet en daar zit direct het gevaar... daarnaast, het biedt een sca(l)/(d)a aan ongewenste besturingstoepassingen. Gezien het DDOS werk van de laatste tijd staat dit soort zaken die je adresseert wat minder in de aandacht helaas.

Zeer terecht punt, ik bedacht me dit ook al een paar keer toen ik berichten las over de manipulatie van SCADA systemen in Iran. Wat "wij" kunnen, kunnen "zij" ook.

Waar ik echter bang voor ben is dit: Het beveiligen van je ICS/SCADA levert geen geld op, het is meer een soort verzekering die je koopt als je wel de beveiliging goed op orde hebt. Door je goed te beveiligen loopt je kostprijs op, pas als het (dreigt) mis te gaan, levert beveiliging zijn investering op. Dit geldt redelijk generiek voor alles wat met cyber security te maken heeft.

Van wie wordt nu de meeste actie verwacht? De leveranciers van ICS? Maar daar los je niet je huidige legacy mee op, die systemen draaien al productie en ik weet niet hoe makkelijk je die software kunt updaten met veilig testen/downtime/risico analyse et cetera.

Misschien is het makkelijker te realiseren om je ICS omgeving te beveiligen. Dus dat je een extra schil legt om je ICS systemen zodat je nooit direct ermee kunt communiceren.

Ik ken het eco systeem van ICS systemen ook niet. Doe je security in het OS? Of in de custom code? Hier ligt in ieder geval een mooie businesscase :-)

Prima artikel waarbij de spijker op de kop wordt geslagen. Het is natuurlijk geen goede zaak als we gaan wachten tot het kalf verdronken is. "If you think Security is expensive, try an incident". Security is een complexe zaak. Het raakt mensen, techniek en processen. Er wordt veel aandacht besteed aan het beschermen van infrastructuur. Er worden Chinese muren aangelegd rondom de netwerken door middel van Firewalls, Identificatie- en Access Management, etc. Veel inbraken verlopen tegenwoordig via de in gebruik zijnde applicaties die niet zijn ontwikkeld met security in het achterhoofd. Dit geldt niet alleen voor ICS applicaties maar ook voor andere (web)applicaties. Als dergelijke applicaties vrij toegankelijk zijn via het Internet dan is het natuurlijk letterlijk een open deur. Onderzoek wijst uit dat 80% van de webapplicaties minimaal één kwetsbaarheid bevat die door onbevoegden misbruikt kan worden. Vraagt u eens aan programmeurs of er bij hun opleiding aandacht is gegeven aan "veilig" programmeren. In de meeste gevallen zult u horen dat ze de kennis zelf hebben moeten opdoen. Test uw applicatie/website-bouwer op de OWASP top-10 kwetsbaarheden? In een SDLC (Software Development Life Cycle) wordt in de testfase gekeken naar de functionaliteit en de performance. Applicaties worden niet of nauwelijks op security getest. De wet- en regelgeving omtrent de privacy van gegevens zal in de komende tijd erg aangescherpt worden. Voorstellen voor een EU verordening zijn al rondgestuurd binnen de Europese commissie. Door deze nieuwe wetgeving zal de aandacht voor het laten testen van de security van de applicaties in een ander daglicht komen te staan. Applicaties mogen dan namelijk geen data-lekken meer hebben op straffe van torenhoge boetes. Dit zal van invloed zijn op de testprocedures van nieuwe software. Security zal daar een grotere rol in gaan spelen.

Fred,

Goed punt om Scada na vorige week onder de aandacht te brengen.

Overleg met betrokken professionals maakt snel duidelijk dat monitoring een prima punt is. De complexiteit van Scada-systemen en de onbekendheid met achterliggende protocollen. maakt het ingrijpen op potentiële aanvallen uiterst lastig. Is geconstateerd gedrag binnen een gegeven protocol nu juist bedoeld in een industriële procesinstallatie? Of is het toch een aanvalspatroon? Volgt op ingrijpen een ongelimiteerde opbouw van de druk in bepaalde vaten of leidingen?

Intussen begrijpen securityprofessionals steeds meer van aanvalspatronen op kantoornetwerken. Maar de kennis van Scada-systemen is nog niet zo wijd verspreid.

Terecht dus dat je er de aandacht op vestigt!

Jan Jaap van der Neut

Fred,
Leuk artikel!
De SCADA-systemen vormen de legacy in de keten.Het zelfde zoals SCADA-systemen (industriële controllers) heb je ook in veel grote businessprocessen. Bijvoorbeeld in de businessprocessen binnen de bankwereld heb je genoeg van dit soort klepjes die iets in het proces en keten moeten regelen. Wanneer twee banken samengevoegd worden, zoals ABN+RBS of ING+Postbank neemt het aantal klepjes toe. Juist deze (legacy)klepjes maken het proces in de hele keten kwetsbaar voor een aanval van buitenaf.
De vraag is wat de operatie in z`n geheel gaat kosten om dit kwetsbaarheid "in de hele keten" weg te halen! Ik denk best veel, want je moet de hele keten veranderen. Maar ik denk dat dit in het geval van SCADA-systemen best meevalt. Of niet?

Heb je je twintig jaar oude SCADA-systeem achter een aantal firewalls en via een VPN-tunnel ontsloten en 50k verder komt ineens een DDOS opdoemen. En toen?

Wat dat betreft is het hetzelfde als met kleine kinderen, die laat je ook niet zomaar het internet op.

Gewoon geen Windows in die omgevingen gebruiken. Stuxnet was uiteindelijk ook mogelijk dankzij onveilige besturingssystemen. Als men kleine besturingssystemen gebruikt waarvan de broncode gecontroleerd kan worden, zie ik geen echte gevaren.

@Fred

Er stond ook een artikel in de NY Times over het probleem met meer algemene software, de source of all evil;-)

Neem als voorbeeld het advies van Homeland Security om Java volledig te deinstalleren omdat het vol zit met gaten. Beveiliging stond (staat) nu eenmaal lange tijd niet hoog op de agenda van veel ontwikkelaars. Dat in tegenstelling tot een closed source-leverancier zoals Microsoft, zoals de e-mail van Bill Gates uit 2002 laat zien: http://www.wired.com/techbiz/media/news/2002/01/49826

Zoals Marc Maiffret in de NY Times schreef gaat het om de verandering in het denken, beveiliging is namelijk geen add-on of een strategisch voordeel maar essentieel voor ons vertrouwen in al deze geautomatiseerde systemen.

Heel internet is in gevaar. Het is nooit ontworpen als zijnde veilig maar alleen voor uitval dmv een cel structuur. Wat dat betreft is het ook onmogelijk om de wereldwijde ddos-aanvallen tegen banken te stoppen zonder het hele internet plat te leggen. Botnets zijn als zevenkoppige draken waarbij afgehakte hoofden terug groeien voordat men er erg in heeft.

Een nog veel groter gevaar is dat alles op het internet bespiedt wordt door entiteiten die daar voordeel uit proberen te halen. Zij het overheidsdiensten die alles opslaan (dat is pas échte big data) of criminelen die botnets opzetten of commerciële bedrijven zoals Google die exact alles weten over de mensen die ze volgen. Op lange termijn zal het internet ook gefragmenteerd raken als de politiek teveel invloed gaat krijgen.

Feit is dat Scada-systemen tot nu toe nog niet of nauwelijks gehacked zijn is omdat niemand er belang bij heeft. Dat zal pas toenemen bij escalaties tussen groeperingen of landen. Enige oplossing is om gesloten netwerken te gebruiken die volledig los van het internet staan.

Allen, bedankt voor de reacties. Vooral de (laatste) reactie van Peter geeft stof tot nadenken (en ik ben het er ook mee eens). Vooral de stelling dat er op dit moment weinig mensen belang hebben bij het hacken van een smart grid of ICS is mijns inziens correct. Maar dit kan zeker van de ene op de andere dag veranderen, alhoewel ik dat persoonlijk niet hoop.

Leuk en leerzaam artikel over smart grid en ICS/Scada.

Moest hieraan denken toen ik dit las:

https://www.security.nl/artikel/40344/Nederlandse_bruggen_kwetsbaar_voor_hackers.html

Niet bepaald handig om kritische systemen aan het internet te hangen, dat scheelt heel wat kwa bedreigingen lijkt me. Ik geloof ook niet dat dit soort kritische systemen zomaar aan het internet hangen. Ook niet van banken.

En moest ook denken aan de ontwikkelingen op het gebied van domotica die bediend kan worden via het internet. Zag het al voor me, de hacker die aan de rol gaat met je magnetron, verwarming en verlichting.

Lees de laatste week regelmatig over legacy software en dan meestal in de negatieve zin en dat lijkt met niet helemaal terecht. Kan me voorstellen dat er legacy software is die technisch en functioneel niet meer voldoet (security?) en er reden is om te vervangen maar kan me even goed voorstellen dat die software nog prima voldoet. Legacy kan ook staan voor functionered, bewezen en betrouwbaar. Het is niet handig om te repareren wat niet stuk is.

Het gaat vaak over aanvallen over Internet en van buiten af maar mischien komt het grootste gevaar wel van binnenuit. De mensen die het bedienen. Het nieuws van vandaag van de ambtenaar die wat gegevens van binnenuit verkocht aan de 'Russen' was een mooi voorbeeld.

@Peter: Het internet is niet in gevaar. Het internet is gevaarlijk.
Het internet zelf zal zolang de belangrijkste backbone systemen en root DNS servers draaien vrolijk blijven werken.

De oorspronkelijk opzet met IP's zorgde voor traceerbaarheid. Je kon verhaal gaan halen als er van een bepaald IP vreemde dingen gebeurde.
Tegenwoordig heeft iedereen helaas WiFi en meestal met beperkte beveiliging. (WiFi WEP en WPA zijn gewoon kraakbaar met Rainbow-tabellen)
Dus als ik zelf een DDoS aanval zou doen, zou ik dit via een gekraakte WiFi verbinding van mijn buurman doen.

Het bonet probleem wordt voornamelijk veroorzaakt door slecht beveiligde desktop systemen, domme gebruikers, onveilige besturingssystemen of een combinatie ervan. Dit is inderdaad een heel lastig probleem, want hoe krijg je alle thuisgebruikers slim?
De enige uitkomst is een superfool proof systeem te introduceren, maar dit zal niet al te snel gebeuren.

SCADA systemen zouden moeilijker te hacken moeten zijn, maar bij twijfel is isolatie van het internet natuurlijk een goeie optie.

Het stuk dat Wim de Bok aanhaalt, is natuurlijk erg zorgelijk. Je kan je afvragen hoe dat mogelijk is, wie er verantwoordelijk is voor dat soort oplossingen en of dat persoon elke avond gewoon normaal kan slapen.

Ik weet niet of er nog mensen moeten vliegen maar deze van vandaag mag niet ontbreken:

http://tweakers.net/nieuws/88408/kwaadwillende-kan-vliegtuig-op-afstand-hacken.html

@Technicus, je slaat de spijker op zijn kop wat mij betreft. Internet is is ontstaan en ontworpen uit de behoefte om iedereen van informatie te kunnen voorzien, volledig open dus. Een bank loop je niet anoniem binnen, maar met behulp van internet wandel je gewoon, bij wijze van spreken, de server ruimten binnen, wonderlijk.

Computable Expert
Fred  Streefland

Fred Streefland
IT Security Manager, Ocom. Expert van Computable voor het topic Security.
Hele profiel

Lees meer over:
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×