Industriële sector moet werk maken van goede cybersecurity aldus Applied Risk

Binnen de industriële sector worden de operationele besturingsprocessen en de bijbehorende communicatieprotocollen steeds vaker met bedrijfsnetwerken verbonden. Hiermee krijgt de business dan direct toegang tot operationele data voor zakelijke analyses. Deze verbindingen vergroten echter ook de kans dat hackers of andere kwaadwillenden toegang krijgen tot deze gegevens en tot de industriële componenten zelf. Techzine sprak hierover onlangs met Applied Risk, een Nederlandse specialist voor het beveiligen van deze Industrial Control Systems (ICS)- en Supervisory Control And Data Acquisition (SCADA)-systemen voor industriële en kritieke infrastructuur.

Aanleiding voor het gesprek was de ontdekking in de maand oktober van dit jaar van de GreyEnergy-malware door het Slowaakse ESET. Deze malware wordt gebruikt door gevaarlijke Advanced Persistent Threats (APT’s) die het onder meer op systemen van elektriciteitscentrales hebben voorzien. Deze malware is er duidelijk op gericht om low profile te blijven en heeft, tot nu toe bekend, nog geen schade toegebracht aan de getroffen kritieke systemen. Wellicht is de malware op een soort ‘verkenningsmissie’ gestuurd om informatie te verzamelen hoe het beste een mogelijke aanval met maximaal resultaat kan worden uitgevoerd.

Volgens Rutger Hendriks, Industrial Control Systems (ICS) Cyber Security Consultant bij Applied Risk laat deze nieuwe GreyEnergy-malware zien dat niet alleen kritieke systemen van energiecentrales nu kunnen worden aangevallen, maar dat het steeds eenvoudiger wordt om aanvallen op alle ICS-werkstations met SCADA-software en -servers te kunnen uitvoeren. Ook andere industriële sectoren dan de energiesector kunnen dus worden getroffen.

Groeiende aandacht voor industriële systemen

De komst van GreyEnergy komt volgens de securityconsultant niet als een verrassing uit de lucht vallen. Wanneer je naar de trends van de afgelopen jaren kijkt, valt te constateren dat hackers steeds meer aandacht schenken aan ICS- en SCADA-systemen. Vroeger waren aanvallen op dit soort systemen nog vaak een soort nevenschade van andere aanvallen op industriële bedrijven, zoals ransomware-aanvallen, maar nu worden ze doelgerichter ingezet.

Een belangrijke reden voor deze toegenomen aandacht is dat hackers beseffen dat zij hiermee veel meer schade kunnen toebrengen, zo geeft Hendriks aan. Binnen industriële bedrijven, of bij andere vitale infrastructuuraanbieders, zoals elektriciteitsbedrijven, moeten de ICS- en SCADA-systemen een hoge beschikbaarheid van de diensten garanderen, eigenlijk 24/7. Door deze systemen vervolgens aan te vallen, uit te zetten of anderszins te ontregelen zorgen aanvallers voor een maximale schade en ontwrichting van systemen.

Ook Nederlands probleem

Over hoeveel aanvallen jaarlijks in Nederland op ICS- en SCADA-systemen worden uitgevoerd, laat het beveiligingsbedrijf weinig los. Aanvallen door hackers hoeven natuurlijk niet alleen een daadwerkelijke verstoring van dit soort omgevingen te veroorzaken, maar kunnen er dus ook op gericht zijn informatie te verzamelen over wat de beste manier is om de systemen op een later moment aan te vallen. Concrete cijfers zijn dan ook moeilijk te geven, aldus Applied Risk. Alleen is wel zeker dat we in de nabije toekomst meer van dit soort aanvallen kunnen verwachten.

Vooral aanvallen op kritieke infrastructuur, zoals olieleveranciers, de elektriciteitsnetwerken of de dijkbewaking, gaan nadrukkelijk aandacht krijgen van hackers. Vooral omdat aanvallen op dit soort bedrijven een extra effect kunnen hebben op andere sectoren, zoals het transport of de communicatiesector. Hierdoor wordt de schade en ontwrichtende kracht dan gemaximaliseerd.

Goede voorbereiding noodzakelijk

De vraag is natuurlijk of bedrijven er wel genoeg op voorbereid zijn om aanvallen op hun ICS- en SCADA-systemen te kunnen pareren. Immers het is voor hen nog relatief nieuw dat deze systemen op bedrijfsnetwerken zijn aangesloten, om de broodnodige data te leveren voor de business-omgeving.

Volgens Applied Risk verschilt dit per organisatie. De eigen klanten zijn natuurlijk proactief, maar Hendriks vindt het moeilijk om een algemeen beeld te schetsen. Wel signaleert hij dat het makkelijker wordt om aanvallen te plegen omdat steeds meer data uit de operationele processystemen naar het business-netwerk vloeit. Dit werkt de kans dat er daadwerkelijk aanvallen worden gepleegd natuurlijk in de hand. Er worden op deze manier steeds meer verbindingen worden gelegd die er vroeger nog niet waren.

Te nemen maatregelen

Belangrijk is dus dat industriële bedrijven zich echt op aanvallen gaan voorbereiden. Bijvoorbeeld door hier al bij de inkoopfase van deze systemen meer rekening te houden met cybersecurity-aspecten. In deze fase kunnen bedrijven al eisen stellen op beveiligingsgebied aan hun leveranciers om zo hun kritieke systemen goed te kunnen beveiligen.

Daarnaast moeten bedrijven, voor zover zij dit niet al hebben gedaan, hun netwerkinfrastructuur opdelen in verschillende lagen. Deze opdeling bestaat uit een laag waarin zich het business-netwerk met de ‘gewone’ gebruikers zich bevindt. Deze wordt gevolgd door de klassieke van firewalls voorziene Demilitarized Zone (DMZ) tussen het business- en operationele procesnetwerk met de databases met historische operationele informatie voor onder meer analytics. Vervolgens komt dan, als het goed zit, een volledig gescheiden laag met daarin alle procesmatige en kritieke componenten.

Kortom, eigenlijk dus een klassieke netwerkbeveiligingsinfrastructuur. Op deze manier is dan, bij een goede implementatie, het operationele netwerk met alle processen en systemen goed gescheiden van het zakelijke netwerk.

Risico’s door behoefte aan data

Applied Risk signaleert wel dat er steeds vaker lijntjes om de DMZ  heen worden gebouwd, zodat toch sneller operationele informatie de business bereikt. Steeds meer gegevens vloeien nu vanuit de voorheen vaak gescheiden netwerken naar het zakelijke bedrijfsnetwerk om verschillende redenen, zoals analytics. Op deze manier wordt natuurlijk ook het risico groter dat nu ook de operationele systemen onder vuur van hackers komen te liggen, vergroot. Ook wordt een goede beveiliging van alle systemen hiermee in gevaar gebracht omdat, Hendriks herhaalt het nog eens maar, bedrijven nu iets doen wat vroeger nog niet mogelijk was of behoefte voor bestond.

De specialist wijst hun klanten dan ook op dit gevaar en adviseert hen met klem om een meerlaagse netwerkstructuur aan te leggen, bijvoorbeeld ook met een aparte laag voor zogeheten Safety Instrumented Systems (SIS) controllers die industriële in plaats van fysieke systemen gebruiken voor veiligheidstoepassingen. Applied Risk heeft hiervoor al enige tijd specifieke aanvallen gezien die er echt op waren gericht deze systemen onbruikbaar te maken.

Proactieve houding echt gewenst

De securityspecialist vindt dat bedrijven voor de beveiliging van hun industriële en kritieke systemen echt een proactieve houding moeten aannemen. Onder meer door hiervoor internationale standaarden te volgen, zoals de internationale IEC 62443-standaard. Deze specifieke standaard zorgt ervoor dat bedrijven en organisaties, de beschikbaarheid de integriteit en de vertrouwelijkheid van onderdelen of complete systemen voor automatisering en controle binnen de industrie volledig worden gewaarborgd.

Daarnaast moeten bedrijven die meerdere vestigingen hebben, en vaak nog allemaal losstaande netwerken hebben of soms wel met elkaar verbonden zijn, stuk voor stuk al deze netwerken gaan controleren en aanpassen naar de laatste security-toepassingen. Iets waarbij de specialisten van Applied Risk natuurlijk goed van dienst kunnen zijn.

Flinke kluif

Allemaal mooi en wel die proactieve houding die bedrijven moeten aannemen, maar het goed voorbereiden van het industriële bedrijfsleven gaat nog een flinke kluif worden. Binnen de industrie zijn veel (operationele) systemen erop gericht een levensduur van tussen de twintig en vijfentwintig jaar te hebben. Vergeleken met de levensduur van IT-systemen, gemiddeld twee tot vier jaar, dus een hele lange periode. Dit betekent onder meer dat veel huidige gebruikte systemen nog niet ingericht zijn om zich op cyberaanvallen te kunnen voorbereiden. Voor de gebruikte communicatieprotocollen van deze systemen is nog nooit nagedacht over cybersecurity en voeren bijvoorbeeld nog geen checks uit op authenticatie of identiteit. Zaken die tegenwoordig in de huidige IT-wereld gewoon zijn.

Het zou natuurlijk mooi zijn als bedrijven dan actief deze systemen gaan beveiligen, maar dat is volgens de specialist van Applied Risk ook geen sinecure. De betreffende bedrijfssystemen zijn vaak legacy-systemen die niet zomaar even kunnen stil worden gelegd. Altijd beschikbaar zijn, is voor deze bedrijven het belangrijkste. Dit levert dan vooral problemen op voor patch management.

Wetgeving mogelijk steuntje in de rug

Kortom, er is nog veel werk aan de winkel voor bedrijven. Een eerste besef en begin is er al, maar het kan nog veel beter. De recent ingegane Wet beveiliging netwerk- en informatiesystemen (Wbni) kan bedrijven met industriële systemen of anderszins kritieke systemen wellicht een steuntje in de rug geven om hun beveiliging op orde te krijgen.

Deze wet is de Nederlandse uitvoering van het European Directive on Security of Network and Information Systems (NIS) van de Europese Unie. In de wet is geregeld dat bedrijven die onder meer actief zijn op het gebied van kwetsbare infrastructuur, zoals de energiesector of de digitale infrastructuur van ons land, verplicht maatregelen moeten nemen om hun digitale weerbaarheid te versterken en op orde te houden. Vanuit het Ministerie van Economische Zaken en Klimaat (EZK) wordt hier toezicht op gehouden, onder meer via het Agentschap Telecom.

We blijven met Techzine de vinger aan de pols houden als het gaat om deze specifieke securitybehoefte.