ICS-hackers zijn de terroristen van internet - en die bestrijd je met andere beveiligingsmaatregelen

  1. 5 apr 2016
  2. 0 reacties

Vincent-Zeebregts-Fortinet-

Begin maart luidde NSA-baas Michael Rogers de noodklok. Tijdens zijn toespraak op RSA, de cyber security conferentie in San Francisco, zei hij dat dat het geen kwestie is van ‘of’, maar ‘wanneer’ een buitenlandse macht een cyberaanval uitvoert op de Amerikaanse infrastructuur.

Cybercriminelen voeren vaker gerichte aanvallen uit, zowel direct als indirect, op de bedrijven die verantwoordelijk zijn voor infrastructuur, zoals bijvoorbeeld deltawerken of elektriciteitscentrales. Hiermee krijgen hackers de controle over Industrial Control Systems, die de besturing regelen van machines in grote industriële systemen. Dat kan enorme gevolgen hebben voor het bedrijfsleven en de maatschappij. Er staan zelfs mensenlevens op het spel. Daarom is het goed om te kijken wat de stand van zaken is als het gaat om de bescherming van dergelijke systemen.

Naar aanleiding van Rogers’ uitspraak vroeg De Volkskrant vervolgens zich af hoe lang de Oosterscheldekering nog veilig is voor hackers: “Vergeet de klassieke terrorist. Het nieuwste onheil komt van hackers en richt zich op elektriciteitscentrales, ziekenhuizen, bruggen, dammen en kernreactoren,” aldus het dagblad.

Het overnemen en kwaadwillend besturen van industriële en infrastructurele systemen lijkt wel op een scenario van een James Bondfilm. Het is echter geen fictie, want in de praktijk blijkt dit soort problemen al voor te komen. Zo zou een Russische hackersgroep een recente grote stroomstoring hebben veroorzaakt in Oekraïne. Ook de problemen met een Iranese kernreactor worden toegewezen aan een SCADA-aanval.

Industriële Beheersystemen (Industrial Control Systems, ICS) beheersen en beheren fysieke processen zoals de doorgifte van elektriciteit, het transport van olie en gas door pijpleidingen, waterdistributie, verkeerslichten en, inderdaad, dammen en waterkeringen. Deze systemen houden de moderne samenleving draaiende.

FortiGuard Labs, het onderzoeksteam van Fortinet, stelt vast dat de aanvallen op ICS in de afgelopen jaren vaker voorkomen en steeds geavanceerder zijn. Dit is deels het gevolg van de onvermijdelijke integratie van Operationele Technologie (OT) met Informatietechnologie (IT). Net zoals in alle situaties waar computers bij komen kijken, brengt automatisering veel voordelen, maar ook veel risico’s met zich mee. De impact van een inbraak op de meeste IT-systemen is echter beperkt tot financiële- en imagoschade, terwijl er met ICS-aanvallen niet alleen heel veel euro’s, maar ook heel veel mensenlevens verloren kunnen gaan.

Dit belangrijke onderscheid komt ook terug in het profiel en de motivatie van de aanvallers. De meeste cybercriminelen die binnendringen op IT-systemen zijn uit op financieel gewin of persoonlijke erkenning. Aanvallers op ICS-systemen hebben echter een terroristisch oogmerk. Zij willen de maatschappij ontwrichten, angst zaaien, de economie in het slop werken en de kwetsbare verhoudingen tussen landen verhitten.

Volgens de ICS-CERT Monitor Newsletter waren er tussen oktober 2014 en september 2015 maar liefst 295 incidenten meldingen. Het grootste aantal hiervan ging over aanvallen op de infrastructuur in de maakindustrie (97,33%), gevolgd door de energiesector (46,16%). Naast de uitdaging om ICS te beveiligen tegen steeds geavanceerdere cyberterroristen, zijn er nog andere hordes te nemen, zoals industrie specifieke systemen, wet- en regelgeving en grote verschillen in de operationele werkwijzen. De meeste ICS-toepassingen zijn afkomstig van verschillende leveranciers en gebruiken vaak op maat gemaakte besturingssystemen, applicaties en protocollen. Hierdoor zijn de gebruikelijke beveiligingsoplossingen niet geschikt voor ICS.

Aanbevelingen om ICS-aanvallen te voorkomen:

  • Waak voor phishing e-mails: Phishing e-mailberichten zijn niet meer van echt te onderscheiden. Daarom is het goed om antivirussoftware als extra beveiligingslaag toe te passen. Deze waarschuwt voor kwaadaardige bijlagen en links. Spear-phishing e-mails richten zich nog sterker op één slachtoffergroep en kwamen bij nagenoeg alle ICS-aanvallen voor.
  • Logging en periodieke netwerkcontrole: Logs, rapporten over het gebruik van netwerken, zijn uitstekend voor het controleren van systeemgebruik en helpen bij het uitpluizen van incidenten. Ze kunnen ook een eerste indicatie geven van infecties van computervirussen. Het onderhoud van de logs is daarom heel verstandig voor ICS-beheerders. Periodieke netwerkcontrole (Regular Network Scanning) is een ander veel toegepaste beveiligingsmethode om een vroege indicatie te krijgen van een infectie.

Het goede nieuws is dat een gewaarschuwd mens voor twee telt. Er is de afgelopen tijd veel aandacht voor ICS-aanvallen en het bewustzijn hierover groeit. De eerste stappen om de risico’s te verminderen of om kwetsbaarheden te verhelpen, worden al gezet. Dit gebeurt onder meer met de hulp van overheidsinstellingen zoals de Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) in de VS en het Centre for Protection of National Infrastructure (CPNI) in het Verenigd Koninkrijk. Aangezien Nederland onder de zeespiegel ligt, en een groot infrastructureel belang heeft voor het Europese achterland en de wereldwijde handel, zou een dergelijke overheidsorganisatie ook in Nederland niet misstaan.

Vincent Zeebregts, country manager Fortinet Nederland