De ransomware-bende achter LockBit 3.0 heeft een aanzienlijk slachtoffer te pakken gekregen. De grootste haven van Japan moest de operaties sinds dinsdag opschorten tot vanochtend omdat het managementsysteem voor containers plat lag. Het laat zien hoe gevaarlijk een lek in de security van OT is.
De haven van Nagoya is verantwoordelijk voor 10 procent van de totale handelswaarde van Japan en is onder andere van cruciaal belang voor autogigant Toyota. Op dinsdag bleek de Nagoya Port Unified Terminal System (NUTS) gecompromitteerd. De dader? De LockBit 3.0-ransomwarebende, die via een printer de eisen aan het havenbedrijf kenbaar maakte.
Tip: LockBit 3.0, de marktleider in ransomware
Ransomware over het algemeen en LockBit 3.0 specifiek hebben meermaals bewezen dat ze kritieke infrastructuur plat kunnen leggen. Zo kregen voetbalbond KNVB, Deutsche Post en de Britse Royal Mail met deze bende te maken. Wat echter daarbij vaak de achterliggende oorzaak is, is een software-kwetsbaarheid of dat iemand gefopt is door een phishing-email. Hierdoor gaan persoonlijke gegevens veelal verloren. Minder bekend zijn voorbeelden van havens die platliggen of dammen die niet meer bestuurd kunnen worden, maar daar zal ongetwijfeld verandering in komen als OT-security niet serieuzer wordt genomen.
Verouderde systemen
Security-experts zeggen dat operational technology (OT) steeds meer een “obstakel voor vooruitgang” is in de strijd tegen cyber-gevaren. OT kan van alles inhouden, maar omvat de hardware en software die industriële apparatuur en controlemechanismen aansturen. Zo ook het eerder genoemde NUTS in de haven van Nagoya, dat ervoor zorgt dat de juiste containerladingen op schepen belanden zodat ze op de gewenste plek arriveren.
Hoewel we nog veel details missen over de aanval van deze week, zijn er veel zorgwekkende trends te zien als het gaat om OT-security. Zo bleek uit een grootschalige rondgang van BlackBerry Research dat een duizelingwekkende 86 procent van IT-beslissers uit de maakindustrie nog gebruikmaakt van een legacy Windows-systeem. Zo gebruikt nog een derde van deze groep het antieke Windows NT dat al in 2004 de laatste update had ontvangen. Ook latere besturingssystemen zoals XP, 7 en 8 zijn al voorbij de houdbaarheidsdatum wat security betreft, maar worden veel gebruikt.
Verdichting OT en IT
Dit alles zou al ongewenst zijn als de beveiliging rondom kritieke infrastructuur verder op orde is. Het onderzoek haalt aan dat fabrikanten veelal gebruik maken van antivirus, firewalls en veilige instellingen van verbonden apparatuur. Dat is simpelweg niet genoeg. De verdichting van OT en IT is de laatste jaren geaccelereerd, waarbij OT steeds meer verbonden is geraakt met IT-systemen en de taken van medewerkers op dit gebied een toenemende overlap hebben.
Dit is omdat de informatie vanuit OT van essentie kan zijn om processen te optimaliseren en daarmee verspilling te voorkomen. Wie immers een airco-systeem kan zien en het gedrag van werknemers in kaart brengt, kan duizenden euro’s besparen door het alleen aan te zetten wanneer iemand wat aan de verkoeling of verwarming heeft. Voor complexere processen zoals het verdelen van containers in Nagoya zou je ook denken dat een zo efficiënt mogelijke oplossing kan leiden tot grote kostenbesparingen.
Het gevaar van de convergentie tussen OT en IT is dat niet alle processen gecombineerd kunnen worden. Zoals Mollie Breen van securitybedrijf Perygee aangeeft, is het risicoprofiel telkens anders. Zo stelt ze dat een ventilatiesysteem in een kantoor minder belangrijk is dan een soortgelijk systeem in een ziekenhuis. Er zijn genoeg andere voorbeelden te noemen, maar het punt is gemaakt: er moet een hogere standaard zijn voor belangrijkere OT-oplossingen. Zo wordt de nood om OT te beveiligen toch een stukje genuanceerd.
Wel is er een belangrijke paradigmaverschuiving te maken. Kritieke infrastructuur draait dus veelal op verouderde systemen, waaruit we kunnen opmaken dat men zich hecht aan iets dat gewoon werkt. “If it ain’t broke, don’t fix it” is de even voorspelbare als logische gedachtegang. “If it ain’t supported, don’t use it” bekt weliswaar wat minder lekker, maar geldt net zozeer.
Lees ook: OT-security van datacenters moet veel hoger op de agenda staan
1 dag geleden
