‘Waarom zou iemand onze fabriek willen hacken?’
Waarom zou iemand onze fabriek willen hacken? We zijn toch geen kerncentrale? Bovendien zijn onze systemen niet verbonden met het internet, dus we hoeven ons geen zorgen te maken.” In dit artikel reageren we op opmerkingen die we regelmatig horen van medewerkers in de industriële sector. Welke risico’s gelden specifiek voor Industrial Control Systems (ICS)? En in welke mate leeft ICS-beveiliging op industriële locaties?
Wanneer we beveiligingsassessments uitvoeren op industriële locaties zoals een chemische fabriek of een autofabriek, horen we vaak dezelfde opmerkingen .Terwijl de aandacht voor de beveiliging van IT-systemen de laatste jaren alleen maar is toegenomen, begint de belangstelling voor de beveiliging van Operational Technology-systemen (OT-systemen) nu pas een beetje op gang te komen. Ook wordt men zich langzaamaan steeds bewuster van het belang van OT-beveiliging.
“Niemand vindt ons de moeite waard als doelwit”
Dit geldt waarschijnlijk voor veel industriële locaties. Het is best mogelijk dat uw specifieke fabriek geen voor de hand liggend doelwit is voor een cyberaanval. Dit in tegenstelling tot bepaalde chemische fabrieken of energiecentrales, die vaak worden belaagd door milieuactivisten. Ook concurrerende bedrijven, ontevreden werknemers of statelijke actoren kunnen een bedreiging vormen.
Wat echter vaak wordt vergeten is dat niet alle cyberincidenten het resultaat zijn van een groep hackers die uw bedrijf gericht aanvalt. Een malware-infectie gebeurt vaak per ongeluk.
In juni 2017 werden containerterminals over de hele wereld platgelegd door malware die zich verspreidde binnen de systemen van een groot zeecontainerbedrijf. Het ging hierbij om gijzelsoftware, software die alle bestanden in een systeem versleutelt en zo onbruikbaar maakt, totdat het slachtoffer losgeld betaalt.
Alleen in dit geval zou het niet helpen om losgeld te betalen. De malware was ontworpen om te vernietigen. Bovendien was de zeecontainermaatschappij slechts ’collateral damage’. De aanval was primair gericht op bedrijven in Oekraïne. De malware werd verspreid via Oekraïense boekhoudsoftware, die de scheepvaartmaatschappij in een kleine vestiging in Oekraïne gebruikte.
Toevallige infectie met malware is een belangrijke aanpak die we niet over het hoofd moeten zien en waar we verderop in dit blog nog op terugkomen. Daarnaast helpt een goed threat intelligence-programma om vast te stellen wat de echte risico’s van doelgerichte aanvallen zijn, of welke andere risico’s er zijn voor een specifiek bedrijf of een specifieke sector of locatie.
“Door beveiliging gaat de omzet niet omhoog”
Wanneer het risico bestaat dat de productietargets aan het eind van de maand niet worden gehaald, is het begrijpelijk dat de eerste prioriteit niet bij de Cyber Security van de productiesystemen ligt.
Maar Cyber Security kan op de lange termijn wel degelijk voor meer winst zorgen. We zien steeds vaker dat bestaande ICS-systemen worden verbonden met het internet en dat gebruik wordt gemaakt van het zogenoemde Industrial Internet of Things (IIoT), vaak Industry 4.0 genoemd.
Analyse van Big Data kan erg nuttige inzichten in het productieproces opleveren en mogelijkheden voor optimalisatie vaststellen. Productieprocessen die niet 24/7 op volle capaciteit hoeven te draaien, kunnen op basis van de fluctuerende aanvoer van grondstoffen of energieprijzen worden opgeschaald of juist worden afgeschaald. Voor al deze innovaties is meer connectiviteit nodig.
Wanneer ICS-systemen op veilige wijze worden geïmplementeerd en onderhouden, kan Cyber Security de deur naar nieuwe ontwikkelingen openen. Zonder de juiste beveiliging is het niet mogelijk de concurrentie voor te blijven zonder tegelijkertijd onaanvaardbare risico’s te nemen.
“Onze systemen zijn niet verbonden met het internet”
Het is moeilijker om besturingssystemen te patchen en anti-virus signatures te updaten voor OT dan voor IT. Met de opkomst van Industry 4.0 wordt het urgenter om risicobeperkende acties voor de korte termijn te ondernemen, zelfs wanneer de huidige patching-procedures goed geïmplementeerd zijn. Een van de belangrijkste risicobeperkende maatregelen voor ICS‑systemen is netwerksegmentatie. Het is heel belangrijk om ervoor te zorgen dat kantoorcomputers niet zomaar kunnen communiceren met de productiemachines. Ook is het een goed idee om de productieomgeving te verdelen in segmenten om de impact van eventuele cybersecurityproblemen zo klein mogelijk te houden.
In april 2016 werd een Duitse energiecentrale gesloten nadat malware was aangetroffen in de computersystemen. Uit nader onderzoek bleek dat de infectie niet het gevolg was van een doelgerichte aanval, maar waarschijnlijk per ongeluk had plaatsgevonden. De malware was de IT-systemen, die op geen enkele manier verbonden waren met het internet, binnengekomen via een USB-stick. Draagbare media en laptops kunnen de door gesegmenteerde netwerken gecreëerde kloof overbruggen en zo nog steeds (toevallige) malware-infecties veroorzaken in air-gapped systemen. Een systeem is air-gapped wanneer het volledig geïsoleerd is en geen bedrade of draadloze verbindingen met andere systemen heeft.
Netwerksegmentatie is zeker een goed begin, maar er zijn meer beveiligingsmaatregelen nodig in het OT-domein. Het belangrijkste concept hier is defence in depth. Netwerksegmentatie is hierbij slechts één van de lagen. Door aanvullende beveiligingsmaatregelen te nemen, zoals een beperking van het gebruik van draagbare media of laptops en het aanbieden van een veilig alternatief, ontstaat beveiliging op een dieper niveau. Dit opent de deur naar nieuwe ontwikkelingen die in de toekomst de stap naar verbonden fabrieken mogelijk maken.
“Niemand heeft op afstand toegang tot onze locatie, behalve onze vertrouwde leveranciers”
Implementatie en onderhoud van systemen wordt vaak uitbesteed aan leveranciers, omdat zij over de vereiste kennis en vaardigheden beschikken. Wanneer er echter geen beperkingen worden opgelegd aan de verbinding die een leverancier via internet met de locatie kan maken, kunnen ernstige veiligheidsrisico’s ontstaan. Zoals we al eerder zeiden: malware‑infecties hoeven niet altijd opzettelijk te zijn.
Bovendien is het ook nog mogelijk dat een leverancier zelf wordt gehackt. De trojan Havex werd ontdekt in 2013. Deze malware verspreidde zich op verschillende manieren, waaronder via watering hole attacks (drinkplaatsaanvallen) en het corrupt maken van legitieme applicaties van leveranciers. Bij een watering hole attack valt de aanvaller een bepaalde groep gebruikers aan, in dit geval branchedeskundigen, door websites te infecteren die deze groep regelmatig bezoekt. De naam watering hole attack komt uit de dierenwereld en verwijst naar roofdieren die zich schuilhouden in de buurt van drinkplaatsen en daar proberen een bepaalde prooi aan te vallen.
Toegang op afstand voor leveranciers vraagt om zorgvuldigheid en moet regelmatig opnieuw worden beoordeeld. Het Industrial Control Systems Cyber Emergency Response Team van het ministerie van Binnenlandse Veiligheid in de VS (ICS-CERT) heeft een document opgesteld waarin wordt beschreven hoe toegang op afstand voor ICS-systemen veilig kan worden uitgevoerd en beheerd. Ook hier draait het om defence in depth met meerdere verdedigingslagen, zoals Intrusion Prevention Systems, provisioning van identifiers op basis van need-to-know en multifactorauthenticatie.
“Het is een dure grap om de veiligheid van onze locatie te verbeteren”
Dat klopt helemaal: er bestaat geen manier om de Cyber Security van OT gratis of voor weinig geld te verbeteren. Maar dat betekent niet dat er helemaal geen aandacht voor Cyber Security moet zijn. Het is zelfs zo dat industriële locaties ten opzichte van traditionele IT-omgevingen in het voordeel kunnen zijn. Het bewustzijn omtrent Cyber Security en de inzet van Cyber Security loopt in OT-omgevingen weliswaar achter vergeleken met IT-omgevingen, maar OT loopt wat de implementatie van verandermanagement en het toewijzen van verantwoordelijkheden betreft juist voor. Dat heeft te maken met de sterke focus op veiligheid in dit soort omgevingen. Veiligheid is diep verankerd in de cultuur van iedereen die betrokken is bij productieprocessen.
Het is veel gemakkelijker om vanuit deze achtergrond een verandermanagementproces aan te passen om Cyber Security aan de veiligheidsprocedures toe te voegen, dan dit helemaal vanaf de basis op te zetten. Dat geldt ook voor risicobeoordelingen en het definiëren van rollen en verantwoordelijkheden. Deze bestaande kaders kunnen worden gebruikt om relatief gemakkelijk en met beperkte kosten een locatie volwassener te maken op het gebied van cybersecurity.
Er kan worden gekozen voor een risicogebaseerde aanpak, waarbij alle systemen op een industriële locatie worden geanalyseerd en beschermd op basis van het veronderstelde risico dat een dreiging uitloopt op een succesvolle aanval. Door reeds geïmplementeerde processen erbij te betrekken kan het veiligheidsniveau met een minimum aan extra middelen worden verhoogd.
Meer informatie
Meer weten over technische industriële Cyber Security, bijvoorbeeld wat de mogelijkheden en uitdagingen zijn bij het gebruik van virtualisatie in OT‑omgevingen, lees dan eens deze blogpost van Dima van de Wouw. Voor een beeld op strategisch niveau, over de noodzaak van een security officer in industriële omgevingen, lees dan de blogpost van Michel van Veen.
