Tienduizenden bewoners die in het donker zitten, hackers die de drinkwatervoorziening kunnen manipuleren, fabrieken die hun kritische systemen niet meer kunnen opstarten… Steeds vaker zien we de gevolgen van cyberaanvallen op industriële controlesystemen. Hoe voorkomen we een digitaal ‘Armageddon’?
Cyberaanvallen op Industrial Control Systems (ICS) zijn al lang niet meer denkbeeldig. Hackers gebruiken daarbij vaak de kwetsbaarheden binnen het IT-domein als ‘springplank’ om het gekoppelde netwerk voor de operationele technologie (OT) aan te vallen.
Een bekend voorbeeld is de malwareaanval op Oekraïense energiecentrales waardoor tienduizenden huishoudens in het donker zaten. Ook Duitsland kan erover meepraten. Daar leed een staalfabriek aanzienlijke schade. Na een aanval op de industriële controlesystemen bleek het niet meer mogelijk om een van de hoogovens gecontroleerd uit te schakelen.
Eerder dit jaar zorgde de ontdekking van Industroyer voor een schokgolf. Het ging hier om een nieuw virus dat speciaal ontworpen leek om energienetwerken plat te leggen. Volgens verschillende kenners vormde Industroyer een reëel gevaar, ook voor de Nederlandse stroomvoorziening.
Bedrijven vrezen aanvallen
Het besef dat industriële systemen niet meer veilig zijn voor cybercriminelen dringt bij steeds meer organisaties door. Bijna een kwart ervaart deze dreiging zelfs als ‘zeer ernstig’, zo blijkt uit een onderzoek van het SANS Institute. Meer dan de helft van de respondenten vreesde bovendien een aanval op hun operationele systemen binnen het tijdsbestek van twaalf maanden.
Volgens hetzelfde SANS Institute zijn OT-netwerken echter te beveiligen zonder de productie in gevaar te brengen. Deze 7 tips kunnen bijdragen aan de beveiliging van industriële controlesystemen:
1. Segmenteer het netwerk
In een netwerk dat geen segmenten kent, kunnen alle computers met elkaar ‘praten’ en ook elkaar besmetten. Als de OT-omgeving zonder aanvullende beveiligingsmaatregelen is gekoppeld aan de IT-omgeving, kan een besmetting bovendien ‘overspringen’ van het ene naar het andere domein.
Daarom is het verstandig om beide netwerken op te delen in ‘virtuele zones’ waarbinnen een virus kan worden opgesloten. Hiervoor is het wel nodig om het OT-netwerk eerst volledig in kaart te brengen.
2. Richt de toegangscontrole in
Is duidelijk hoe het OT-netwerk in elkaar zit? Bepaal dan wie allemaal toegang mogen hebben tot apparaten en applicaties, en met welke credentials. Er kan sprake zijn van ‘legacyhardware’ waarvoor de toegangscontrole lastig is in te richten. In deze gevallen is extra compartimentering van het netwerk nodig.
3. Zorg voor securitymonitoring
Een goede beveiliging is in sterke mate afhankelijk van het inzicht in de verkeersstromen. ‘Verdacht verkeer’ binnen zowel het OT- als het IT-netwerk moet direct op de radar verschijnen. Securitymonitoring moet daarom zowel voor de IT als voor de OT worden ingericht.
4. Stel een incidentresponsplan op
Leidt securitymonitoring tot detectie van verdacht OT-verkeer? Dan moeten de securityanalisten direct worden gealarmeerd en moet duidelijk zijn welke stappen nodig zijn om een dreiging te mitigeren.
5. Besteed aandacht aan vulnerability- en patchmanagement
Ongepatchte systemen vormen een grote bedreiging voor IT Security. Helaas blijkt in de praktijk dat beschikbare patches vaak niet worden uitgerold. Soms zijn daar valide argumenten voor. Zo is het niet ondenkbaar dat patching de continuïteit van een industrieel systeem in gevaar brengt. Het niet patchen moet echter wel een weloverwogen keuze zijn.
6. Audit en evalueer de beveiligingsmaatregelen
Omdat aanvallers altijd weer gaten vinden in de verdediging is het aanscherpen van de beveiliging een continu proces. Onderwerp de beveiligingsmaatregelen daarom regelmatig aan een assessment en kijk waar de verbeterpunten zitten.
7. Verhoog de security-awareness
Voor veel organisaties is dit misschien wel de eerste stap: het verhogen van het beveiligingsbewustzijn bij de medewerkers. De aanval op het Oekraïense elektriciteitsnetwerk was bijvoorbeeld mogelijk na een phishingcampagne. Met gerichte phishingmails verkregen de hackers toegang tot het interne netwerk en na goed speuren konden ze de inloggegevens voor de SCADA-systemen buitmaken. Dit had met een security-awarenesstraining voorkomen kunnen worden.
