3min

Vandaag de dag kan bijna geen enkele industrie zonder automatisering. Of het nu gaat om een freesmachine, een 3D-printer, een distributiesysteem of een ponsmachine – zonder computer en internet is er vrijwel niets mogelijk. Het onderwerp van it-security is dan ook voor elk bedrijf een onvermijdelijk thema. Bij veel ondernemingen is de eerste impuls is de verantwoordelijkheid hiervoor bij de interne IT-afdeling of bij de externe IT-serviceprovider neer te leggen. Voor industriële installaties werkt dit echter anders: onderhoudswerkzaamheden en updates van productie-installaties worden normaalgesproken uitgevoerd door de fabrikant van de installaties.

Precies dit gegeven is de achilleshiel van industriële IT: onderhoudsrechten die worden gebruikt door fabrikanten en IT-dienstverleners zijn vaak uitgerust met verregaande ‘mag alles doen’-autorisaties. Daarnaast zijn productiefaciliteiten vaak fysiek geïntegreerd in de lokale IT, zodat productie- en controlegegevens zo snel mogelijk in de productieomgeving kunnen worden ingevoerd en gegevens ook in real-time kunnen worden opgehaald. Het zo goed mogelijk afschermen van de industriële installaties en het monitoren van hun activiteiten is daarom een belangrijke maatregel, die echter nauwelijks wordt toegepast.

Naast het risico dat de verregaande toegangsrechten die aan een externe partij (i.e. de fabrikant van het apparaat) vormt, dreigen er ook interne gevaren. De machines die uiteindelijk alle productiegegevens ontvangen, zijn en moeten vrij toegankelijk zijn in een werkplaats. Veel van de besturings-pc’s zijn ook toegankelijk voor de mensen op de werkvloer. Maar wat er precies met deze computers gebeurt, is vaak niet duidelijk. Het is voorgekomen dat medewerkers dergelijke pc’s hebben gebruikt om op het internet te surfen of om vakantiefoto’s aan collega’s te laten zien. Meestal hebben medewerkers geen kwaad in de zin, maar toch stellen zij de veiligheid van de gehele IT-infrastructuur in de waagschaal met dergelijke acties en maken zij het systeem vatbaar voor aanvallen van buitenaf.

Maar wat heeft een hypothetische aanvaller er eigenlijk aan als hij toegang heeft tot een besturingssysteem? Technisch is het mogelijk om de productiegegevens doelgericht en onopvallend te manipuleren. Waarschijnlijker is echter dat schade wordt veroorzaakt door verminderde performance van de hardware en onderbreking van de productie door fysieke schade aan systemen. Afhankelijk van het systeem zijn in sommige gevallen honderden meetpunten, ventielen, stelaandrijvingen en bedieningselementen beschikbaar. Als iemand er bijvoorbeeld in slaagt om kleppen willekeurig van buitenaf te sluiten of te openen, kan dit onherstelbare schade toebrengen aan de productie of aan een compleet systeem. In het ergste geval kan dit zelfs leiden tot persoonlijk letsel. De schade voor een bedrijf kan hierbij in de miljoenen lopen.

Een factor die het scenario van een aanval sterk vergroot, is het feit dat veel machines in de industrie worden bediend door pc’s met sterk verouderde besturingssystemen. Een upgrade is vaak economisch niet haalbaar, omdat de besturingssoftware voor de machine op geen enkel huidig systeem draait of omdat tegen hoge kosten een nieuwe licentie zou moeten worden afgenomen. In sommige gevallen heeft de fabrikant van de machine zichzelf of het apparaat uit de markt teruggetrokken, waardoor ondersteuning in zijn geheel niet meer mogelijk is. Resultaat: deze machines blijven in bedrijf tot ze (soms letterlijk) uit elkaar vallen. Ze zijn meestal ontworpen om tientallen jaren te kunnen functioneren. Dit maakt ze duur om te kopen en het creëert de noodzaak om ze hun levensduur te laten volmaken om zichzelf terug te verdienen. Het draaien van updates lijkt economisch gezien een slecht idee, omdat een systeem hiervoor vaak moet worden uitgeschakeld. Een uitgeschakelde machine verdient de machine geen geld. Het oorspronkelijke probleem is duidelijk: Veel industriële installaties zijn nooit bedoeld voor een genetwerkte wereld.

Om de risico’s op een aanval van buiten te beperken, is het verstandig om te werken met IT- beleidsregels. Deze geven heel duidelijk aan wat welk gedrag wel en niet is toegestaan in het werken met de kwetsbare pc’s. Met behulp van een Policy Manager kan naleving van de regels technisch worden afgedwongen. In een Policy Manager kunnen ook allerlei technische restricties worden opgelegd aan de onveilige pc’s, waardoor -zelfs in geval van een infectie met malware-  het probleem zoveel mogelijk kan worden beperkt.

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.