Veel industriële controlesystemen (ICS) in Nederland zijn niet of onvoldoende beveiligd. Dat blijkt uit een onderzoek van KPN Security naar aanleiding van een hack bij een watervoorzieningsbedrijf in de Verenigde Staten, waarbij een cybercrimineel probeerde het drinkwater te vergiftigen. Hackers kunnen ook in Nederland deze systemen eenvoudig vinden via Google, erop inloggen en vervolgens allerlei zaken inzien of aanpassen. “Dat kan leiden tot zeer gevaarlijke situaties, zeker in de vitale infrastructuur”, waarschuwt Siep van der Waal, Security Researcher & Ethical hacker bij KPN Security.
Onlangs wist een hacker relatief eenvoudig in te breken in een watervoorzieningsbedrijf in Florida. Deze persoon kreeg via Teamviewer toegang tot een systeem dat de hoeveelheid natriumhydroxide in het water regelt. De hacker wist daarbij de hoeveelheid tot een dodelijke dosis te verhogen. Een medewerker merkte de digitale inbraak op en wist ternauwernood de actie ongedaan te maken.
De hack in de VS toont hoe gevaarlijk deze slecht beveiligde ICS zijn. “Vooral als het gaat om systemen van vitale infrastructuur. Denk aan een waterzuiveringsbedrijf, of een energiecentrale. Cybercriminelen kunnen, afhankelijk van de mogelijkheden van zo’n ICS, spelen met de configuratie van controlesystemen, of bijvoorbeeld een koelingssysteem in zijn geheel uitschakelen. De gevolgen daarvan kunnen desastreus zijn.”
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
DownloadToegang via standaardwachtwoorden
Van der Waal deed samen met zijn collega’s onderzoek naar de staat van de beveiliging van ICS in Nederland. Ze troffen via eenvoudige Google-zoekopdrachten tientallen ICS waar ze zonder noemenswaardige drempels toegang toe hadden. “Je kunt redelijk eenvoudig standaardwachtwoorden van allerlei fabrikanten achterhalen. We troffen vervolgens via de zoekopdracht met name een specifiek type ICS die vaak is ‘afgeschermd’ met standaardwachtwoorden”, zegt hij.
Bij een van de gevonden systemen namen de onderzoekers de proef op de som. Ze hadden via het standaardwachtwoord eenvoudig toegang tot een ICS van een pand in Eindhoven, dat onder andere gebruikt wordt door een hotel en de verhuur van kantoorruimtes. “Eenmaal binnen konden we bijvoorbeeld eenvoudig het netwerk verstoren. Ook hadden we toegang tot de technische plattegronden van gebouwen, informatie over de gebruikte componenten en inzage in de kamertemperatuur van bepaalde woningen. Dat soort informatie is mogelijk waardevol voor hackers.”
Maatregelen
Van der Waal pleit dan ook voor maatregelen. “Het begint bij gezond boerenverstand. Het is niet erg gebruik te maken van dit soort oplossingen, maar je moet begrijpen wat je aan je netwerk toevoegt. Je moet beseffen dat deze systemen eenvoudig via het internet toegankelijk zijn als je geen maatregelen neemt. Hij geeft daarvoor een aantal tips:
1. Verander het standaardwachtwoord
Veel ICS worden geleverd met een standaardwachtwoord. “Op internet zijn lijsten te vinden van standaardwachtwoorden voor allerlei specifieke apparaten en systemen, netjes gesorteerd op fabrikant. Verander je dit wachtwoord niet, dan is het voor een hacker kinderspel om binnen te komen. Verander dan ook altijd het standaardwachtwoord in een sterke zin met minimaal 12 verschillende tekens. Zet daarnaast altijd tweestapsverificatie aan’’
2. Update de firmware tijdig
Regelmatig worden kwetsbaarheden ontdekt in de firmware van ICS. Het is daarom cruciaal om updates voor deze firmware zo snel mogelijk te installeren. “Controleer bij de aanschaf van zo’n systeem bovendien het updatebeleid van de fabrikant. Die updates moeten er natuurlijk wel komen.”
3. Plaats het systeem achter een firewal
Een moderne, deugdelijke firewall kan voorkomen dat de ICS door indringers toegankelijk is. “Eventueel kun je ip-whitelisting toepassen. Daarmee blokkeer je de toegang voor onbekende IP-adressen. Het wordt voor hackers dan heel lastig om toegang tot je systeem te krijgen, ook als ze de inloggegevens hebben achterhaald.”
4. Bepaal een exitstrategie
Het kan altijd gebeuren dat een leverancier besluit te stoppen, of bijvoorbeeld failliet gaat. Met als gevolg dat securityupdates niet meer verschijnen, of zelfs het systeem helemaal niet meer functioneert. “Het is daarom belangrijk dat je van tevoren afspraken maakt stelt hoe je hiermee omgaat. Zo voorkom je onaangename verrassingen.”
5. Stel responsible disclosure-procedures op
Mochten buitenstaanders ondanks alle maatregelen toch kwetsbaarheden aantreffen, dan is het waardevol als zij deze discreet kunnen melden. “Daarvoor kun je zogenoemde ‘responsible disclosure’-procedures opstellen en delen met de buitenwereld. Zo weten buitenstaanders hoe ze de kwetsbaarheid veilig kunnen melden als ze onverhoopt een kwetsbaarheid aantreffen.”
KPN Security neemt als het om aangetroffen kwetsbaarheden gaat altijd grote zorgvuldigheid in acht. We zoeken bij gevonden kwetsbaarheden altijd direct en discreet contact, zodat het probleem snel opgelost kan worden. Eventueel kunnen onze specialisten hierbij helpen.
