29 november 2016

Is uw OT-omgeving levensgevaarlijk?

Met een cyberaanval op het Oekraïense elektriciteitsnetwerk demonstreerden hackers eind 2015 dat ze in staat zijn om miljoenen mensen letterlijk in de kou en in het donker te zetten. Helaas staat deze aanval niet op zichzelf. Door het naar elkaar toegroeien van de IT en de Operationele Technologie (OT) vormen ICS oplossingen binnen het OT domein een steeds makkelijker doelwit voor aanvallers. Rond 2012 is het risico van een cyberaanval op OT systemen door een reportage van EenVandaag op de politieke agenda gezet en heeft de publieke opinie binnen Nederland inzicht gekregen in de risico’s. Tegelijkertijd moeten we ervoor waken om deze digitale ontwikkeling als een zeer groot gevaar, of als iets levensbedreigends te gaan zien. Wel is het van belang dat er een duidelijke visie, strategie en bijbehorende maatregelen worden ontwikkeld om ook binnen dit domein de invloed van kwaadwillenden te minimaliseren.

Hoe groot is het risico?

Met aanvallen op ICS oplossingen kunnen hackers letterlijk mensenlevens op het spel zetten. Zo had een recente aanval op een waterbedrijf – door Verizon omschreven in de geanonimiseerde ‘Kemuri Water Company’-casus – desastreus kunnen aflopen. Als het waterbedrijf de inbraak niet tijdig had ontdekt, dan hadden de aanvallers de drinkwatervoorziening kunnen saboteren door bijvoorbeeld levensgevaarlijke hoeveelheden chemicaliën aan het drinkwater toe te voegen. Tegelijkertijd zien we dat bij reguliere cyberaanvallen, bijvoorbeeld op ziekenhuizen, ook mensenlevens in gevaar gebracht kunnen worden.

Wel kunnen we vaststellen dat impact van een cyberaanval op de kritische (OT) infrastructuur grote gevolgen kan hebben voor de continuïteit van Nederland. En daarmee zou een mogelijke cyberaanval ook tot gevolgschade voor andere partijen binnen Nederland leiden. Hiermee verschilt het risicoprofiel wel degelijk dan dat van de gemiddelde, reguliere IT infrastructuur. Daarnaast geldt ook nog eens dat veelal de huidige IT-infrastructuur van organisaties ontworpen is met security-in-mind en dat kan van de meeste ICS oplossingen binnen OT-omgevingen niet direct gesteld worden. Binnen het ICS domein heeft de focus jarenlang gelegen op ‘safety’ in plaats van security. En dat brengt een nieuwe ingang voor kwaadwillenden.

Welk risico is er nu eigenlijk?

Binnen het OT domein zijn er wel degelijk cyber security-risico’s, maar ligt de focus vooral nog steeds operationele impact. De ‘Kemuri Water Company’ en de aangevallen Oekraïense energiemaatschappij hadden met elkaar gemeen dat de aanvallers gebruik konden maken van zwakheden tussen de IT en OT infrastructuur. Daarnaast zijn de basics in cybersecurity, goed passwordbeheer, goede authenticatie of patchmanagement, lang niet altijd goed geregeld in het OT-domein. Niet vanuit bewust slecht handelen, maar vanuit ontbrekende kennis of vanuit de onmogelijkheid om dit (bijvoorbeeld fysiek) in te regelen. Dat betekent niet direct dat de OT-omgevingen ook daadwerkelijk onveilig zijn, het betekent dat er een risico is en dat risico moet inzichtelijk gemaakt worden en vervolgens wel of niet afgedekt worden.

Een belangrijk risico is dat industriële hostsystemen op enigerlei wijze vaak wel verbonden zijn met het internet en via de ‘IT-kant’ toegankelijk zijn. Volgens schattingen heeft ruim 90 procent van die verbonden systemen een kwetsbaarheid aan boord. In Nederland zou dat neerkomen op bijna 3.000 industriële hostsystemen met een kwetsbaarheid, waarvan ruim 200 ernstig. Met behulp van een zoekmachine als Shodan zijn deze kwetsbare, verbonden systemen kinderlijk eenvoudig op te sporen. Vervolgens hebben hackers alle ruimte om bijvoorbeeld bruggen, sluizen of energiecentrales op afstand te besturen. Zodra deze risico’s inzichtelijk zijn, kan er vanuit de organisatie op geacteerd worden.

Wellicht meer nog dan de cybersecurity risico’s, ligt de focus op de operationele impact. Binnen het OT-domein worden processen in kaart gebracht, wordt de operatie beheerd en is de doelstelling om de business draaiende te houden. Verstoringen moeten worden opgemerkt, veranderingen moeten inzichtelijk gemaakt worden en risico’s – vanuit welke bron dan ook- moeten afgedekt worden en tegelijkertijd moet de (on)mogelijkheid tot het nemen van acties duidelijk zijn. Het is namelijk lang niet altijd simpel om op een fysiek zeer moeilijk te bereiken locatie ‘even’ de nieuwste security maatregelen te nemen of de laatste patches op een embedded system te doen.

Wat kunnen we doen?

Een eerste stap in de beveiliging van dergelijke kritische infrastructuren is het uitvoeren van een nulmeting en het vaststellen van een goed risicoprofiel, waarbij de IT omgeving en de OT omgeving allebei in kaart gebracht zijn: hoe ziet de architectuur er uit, waar zijn risico’s, welke (operationele) impact hebben deze risico’s en op welke manier zijn er verbindingen tussen beide omgevingen.

Bij het nemen van security maatregelen kan het organisaties helpen om zoveel als mogelijk de best practises van het NCSC te volgen. Eén van de best practises is het aanbrengen van een ‘air gap’. Daarbij worden de SCADA-systemen binnen het OT-domein, die niet zijn ontworpen met security als uitgangspunt, zoveel als mogelijk losgekoppeld van het IT-domein. Een hacker kan een kwetsbaarheid in het kantoornetwerk dan niet eenvoudig misbruiken om toegang te krijgen tot een SCADA-systeem.

Treffende security maatregelen zijn echter per organisatie verschillend. Voor sommige organisaties zal dat betekenen dat zij systeem hardening in detail zullen toepassen op zowel het IT als het OT domein, waar mogelijk. Daarbij worden overbodige functies worden uitgeschakeld, zal er consequent gepatcht en gemonitord worden op aanvallen. Voor andere organisaties zal de stap beginnen bij het verhogen van het beveiligingsbewustzijn bij de medewerkers. De aanval op het Oekraïense elektriciteitsnetwerk was bijvoorbeeld mogelijk na een phishingcampagne, waarbij de hackers toegang verkregen op het interne netwerk en na goed speuren de inloggegevens voor de SCADA-systemen konden buitmaken.

Some good advice

Nee, uw OT-omgeving is niet levensgevaarlijk. Zoals geschetst, zijn er zijn wel degelijk risico’s te benoemen binnen het OT-domein en een eventuele cyberaanval kan grote implicaties hebben voor de continuïteit van de organisatie en in bepaalde gevallen voor Nederland. Tegelijkertijd moeten we ons niet gek laten maken door allerlei stellingen en aannames.

Om de risico’s voor een organisatie te verkleinen, kunnen diverse voorzorgsmaatregelen genomen worden. Veel van deze voorzorgsmaatregelen komen ook terug in de checklist van het Nationaal Cyber Security Centrum. Zij hebben organisatorische en technische maatregelen opgesteld voor de beveiliging van SCADA-systemen. KPN onderschrijft deze en werkt samen met gerenommeerde partijen binnen deze tak van sport, zoals Security Matters, om de security van de kritische infrastructuur te verbeteren. Door het IT-domein en het OT-domein niet langer als afzonderlijk te beschouwen, door te vertrouwen op elkaars expertise en door het voortdurend delen en uitwisselen van kennis, kunnen we streven naar cyber resilience in plaats van cyber security. KPN helpt u daar graag bij mee! Heel Nederland beschermd is onze missie!

Meer weten:

Stuur dan een mail naar managedsecurityservices@kpn.com of bekijk ons IT Security portfolio.

Gerelateerde artikelen