Een lange weg te gaan naar veilige kritieke infrastructuur

Inmiddels zijn er nog nauwelijks organisaties te vinden die zich niet bewust zijn van de kwetsbaarheid van hun technologienetwerken. Dagelijks worden we geconfronteerd met nieuws over weer een nieuwe cyberaanval, verloren of gesloten gegevens en eigenlijk alles dat te hacken valt. Je zou bijna terug verlangen naar fysieke oude systemen die bijvoorbeeld nog handmatig aangestuurd worden.

Denk aan de metro in New York. Een meer dan 100 jaar geleden ontworpen systeem waarbij een hendel nodig is om de metro te starten of te stoppen. Cybertechnologie is niet aan de orde. Dat wil niet zeggen dat deze systemen per definitie veiliger zijn. Mensenwerk betekent ook meer fouten. Bovendien zijn fysieke oude systemen vaak minder beschermd. En daar ligt de volgende uitdaging; hoe zorgen we ervoor, dat onze kritieke infrastructuren ook beter beveiligd worden? De wereld van IT en industriële automatisering, ofwel het Process Control Domein (PCD) lijken nog mijlen ver uit elkaar te liggen. Daar moet snel verandering in komen.

Beveiligen van industriele systemen

Industriële systemen buiten scope veiligheidsbeleid

Nog niet zolang geleden gaf ons Nationaal Cyber Security Centrum (NCSC) weer een nieuwe waarschuwing af waarbij werd gesteld dat “kwaadwillende en securityonderzoekers interesse tonen in de (on)veiligheid van industriële controlesystemen zoals ICS/SCADA-systemen, maar ook gebouwbeheerssystemen. Deze systemen blijken vaak direct vanaf internet bereikbaar te zijn. Het grootste probleem is de zorg dat deze industriële controlesystemen geen deel uitmaken van het securitybeleid van menigeen organisatie.”

ICS/SCADA staat voor Industrial Control Systems/Supervisory Control And Data Acquisition. Dat voorziet in het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van machines en grote industriële systemen. In de basis zijn dit industriële computers (PLC’s : Programmable Logic Controllers) die binnen de industriële wereld alles regelen via een SCADA applicatie. Bovenop deze systemen draait meestal een Manufacturing Execution System (MES). Dat is een informatiesysteem dat een productieproces aanstuurt of monitort. Deze systemen komen vooral voor in de energiesector, chemie, utiliteitsbouw- of productie-industrie. Maar ook in transport en logistiek. Dus eigenlijk van trein, waterschap, warehousing, verkeersinstallatie, raffinaderij tot klimaatsbeheersingsinstallaties. Elk systeem is voorzien van een enorme database of heeft een koppeling met ERP-software en bevat daarmee tevens een enorme bron van informatie. Die gegevens kunnen interessant zijn voor spionagedoeleinden.

Industrie en IT liggen mijlen ver uit elkaar

Bij deze kritieke infrastructuren gaat traditioneel alle aandacht uit naar voortdurende beschikbaarheid en functionaliteit. Het moet nu eenmaal altijd en goed blijven draaien. Deze netwerk ontsloten systemen kennen ontelbare afhankelijkheden of koppelingen. Als een vitaal onderdeel niet werkt, gaat vaak het gehele proces in de remmen. Kortom, de eigenaren van deze industriële systemen in het Proces Control Domein worden vooral afgerekend op non-stop beschikbaarheid.

PCD Domein

Bij de meeste kritieke infrastructuren is inmiddels een gezonde aandacht voor dit probleem, maar het PCD domein is zoveel groter. Bij de risico-analyses voor uptime komen de gevaren voor cyberaanvallen nog nauwelijks voor. Verder hebben veel organisaties geen inzage in het aantal systemen dat verbonden is met het internet, door onder andere de grote hoeveelheid zogenaamde ‘derde partijen’ die gekoppeld zijn.  Het PCD-domein wordt bovendien vaak nog gedreven door flink oude legacysystemen die nauwelijks nog ondersteund worden door bijvoorbeeld Microsoft. En dus blijven draaien op oude besturingsystemen van 15 tot 20 jaar oud. Maar nog altijd altijd moeiteloos door blijven draaien.

En last but not least, de IT-afdeling praat niet of nauwelijks met de collega’s van de industriële systemen. Een ander vak en een andere wereld, is vandaag de dag nog het idee.

En daar moet zo snel mogelijk verandering in komen. Organisaties moeten hard aan de slag met de convergentie tussen IT en industriële engineering. Dat vraagt ook om nieuwe werkafspraken, vaardigheden en afrekenmodellen waarbij techniek, processen en mensen op een lijn komen. Dat is niet van vandaag op morgen geregeld maar moet wel snel gebeuren. Het platleggen van gas, water en licht, vlieg- en treinverkeer of legio andere systemen binnen het PCD willen we allemaal voorkomen. Niemand zit te wachten op het stilleggen van onze samenleving door (cyber)criminelen.

Bron: Infosecurity Magazine, oktober 2016

Meer weten? 

Benieuwd naar hoe je de beveiliging van industriële systemen en infrastructuren integreert in het (IT)security-beleid? Neem dan contact op met Rogier via onderstaande gegevens.