De Noorse damhack: een wake-up call voor OT-security

Samenvatting

Remote access is onmisbaar voor moderne kritieke infrastructuur.
Maar het is ook één van de grootste risico’s binnen OT-omgevingen.

Begin 2025 kregen Russische hackers toegang tot de waterkrachtcentrale bij Lake Risevatnet in Noorwegen. Ze speelden urenlang met een afvoerklep, zonder dat iemand het doorhad. Geen zero-day. Geen slimme malware. Alleen open toegang en tijd.

Het incident bevestigt wat we in OT al jaren weten:
remote access is onvermijdelijk, maar genadeloos als je het niet strak regelt.

Kijk je naar deze aanval door de bril van de SANS Five ICS Critical Controls, dan wordt het pijnlijk duidelijk wat er misging. De basis was niet op orde. Met bekende, bestaande maatregelen had de toegang beperkt kunnen worden. De aanval was eerder ontdekt. En de impact had kleiner kunnen blijven.

Waarom remote access in OT onvermijdelijk blijft

In kritieke infrastructuur is remote access geen ontwerpkeuze, maar operationele noodzaak.

In een land als Noorwegen maakt het landschap alleen al continue fysieke aanwezigheid onhaalbaar. Waterkrachtcentrales liggen diep in fjorden. Andere installaties bevinden zich in berggebieden of afgelegen valleien. Permanente aanwezigheid op locatie is daar niet realistisch, en bovendien ook niet veilig.

Operators zijn daarom afhankelijk van remote access voor kernprocessen:

• Continue monitoring van waterstanden, klepposities en alarmen
• Coördinatie tijdens extreme weersomstandigheden
• Onderhoud, probleemoplossing en updates door leveranciers
• Rapportage en toezicht richting toezichthouders

Het gaat hier niet om simpele, verwaarloosbare processen. Deze processen zijn van cruciaal belang voor veilige bedrijfsvoering.

De kwetsbaarheid van OT is simpelweg een historisch feit. Veel SCADA- en controlesystemen zijn ontworpen in een tijd waarin externe bereikbaarheid geen uitgangspunt was. Encryptie en sterke authenticatie waren beperkt of niet mogelijk, omdat wereldwijde connectiviteit niet werd voorzien.

Wanneer deze systemen vandaag de dag wél extern bereikbaar zijn, vormen die gebreken echter een risico.

ls een aanvaller verkeer kan observeren of beïnvloeden vanwege verkeerd ingestelde firewalls, zwakke authenticatie of directe internettoegang, is geavanceerde malware vaak niet eens nodig. Besturing kan dan relatief eenvoudig worden gemanipuleerd. Publieke zoekmachines zoals Shodan maken zichtbaar hoe vaak dit nog voorkomt.

Automatisering verhoogt de efficiëntie, maar zonder aanvullende beheersmaatregelen vergroot het ook de potentiële impact van misbruik.

Het Lake Risevatnet-incident

Begin 2025 kregen Russische hackers toegang tot de Lake Risevatnet-dam. Ze forceerden een afvoerklep open en lieten honderden liters water per seconde wegstromen. Later deelden ze screenshots en telemetrie openlijk via Telegram.

De impact zat niet alleen in het feit dat ze binnenkwamen. Belangrijker was wat ze lieten zien. De aanvallers begrepen hoe de dam functioneerde. Ze waren bekend met de bedieningslogica en wisten precies welke handelingen effect hadden.

Minstens zo zorgwekkend was de detectietijd. Pas na ongeveer vier uur zagen operators dat de besturing werd gemanipuleerd.

Voor een sector die al jaren weet hoe complex OT-beveiliging is, maakte dit incident één ding opnieuw duidelijk. Remote access, hoe onmisbaar het ook is, blijft een enorm risico.

De SANS Five ICS Critical Controls

Het Noorse damincident is een schoolvoorbeeld van hoe de SANS Five ICS Cybersecurity Critical Controls het verschil hadden kunnen maken. Deze controles zijn specifiek ontwikkeld voor dit soort situaties. Niet om aanvallen onmogelijk te maken, maar om de kans te verkleinen en de impact te beperken.

Elke control laat een concreet moment zien waarop risico beperkt had kunnen worden.

1. ICS Incident Response

De detectietijd van vier uur wijst op een duidelijke zwakte in incident response. Niet omdat niemand keek, maar omdat niet werd herkend wat er gebeurde.

Toepassing van de Incident Response-control betekent:

• Procedures die afwijkingen in het proces herkennen, zoals ongebruikelijke klepbewegingen, onverklaarbare setpoint-wijzigingen of remote sessies buiten normale werktijden
• Oefeningen waarbij waterkracht-ingenieurs, securityteams en crisisorganisaties samen trainen, zodat besluitvorming en escalatie sneller verlopen
• Duidelijke en geoefende criteria voor overschakeling naar lokale bediening of handmatige controle

2. Defensible Architecture

We weten uit onderzoek dat de aanvallers binnenkwamen via een interface die direct vanaf het internet bereikbaar was. Segmentatie werd omzeild en de besturingslogica lag open voor externe partijen.

Toepassing van de Defensible Architecture-control betekent:

• Kritieke OT-assets, zoals dam-HMI’s, uitsluitend plaatsen achter een industriële DMZ en nooit op een publiek routeerbare interface
• Strikte netwerkzonering volgens het Purdue Model, zodat aanvallers niet vrij kunnen bewegen tussen IT, OT en besturing
• Actuele asset-inventarisaties en configuratiebaselines, zodat zichtbaar is welke services en beheerdersinterfaces daadwerkelijk blootgesteld zijn

Remote access kan prima samengaan met sterke segmentatie.
Een verdedigbare architectuur neemt remote access niet weg, maar voorkomt dat het een directe ingang wordt.

3. ICS Network & Visibility Monitoring

Tijdens de Risevatnet-aanval konden aanvallers ongeautoriseerde commando’s uitvoeren zonder dat dit werd opgemerkt. Zonder zicht op OT-verkeer of procesafwijkingen waren operators feitelijk blind voor wat zich afspeelde.

Toepassing van de Network & Visibility Monitoring-control betekent:

• Het vastleggen van ‘normaal’ gedrag, zoals toegestane commando’s, frequenties en herkomst
• Alerts bij afwijkingen, bijvoorbeeld ongebruikelijke tijdstippen, snelle commandoveranderingen of onverwachte bronnen
• Integratie van OT-telemetrie in centrale monitoring om correlatie en context mogelijk te maken

Zichtbaarheid voorkomt niet elk incident.
Het verkort de dwell time van een aanvaller. En die tijd bepaalt vaak de schade.

4. Secure Remote Access

Dit was het doorslaggevende falen in het Noorse incident. Een blootgestelde interface met zwakke of eenvoudig te raden inloggegevens gaf aanvallers precies het startpunt dat ze nodig hadden.

Toepassing van de Secure Remote Access-control betekent:

• Bemiddelde toegang via jump hosts of bastions binnen beveiligde zones
• Tijdgebonden sessies met MFA, volledige logging en actieve monitoring
• Gelijke eisen voor interne gebruikers en externe partijen, inclusief tijdelijke accounts, goedkeuringsflows en continue controle

Remote access moet operaties mogelijk en makkelijk maken, niet zélf het operationele risico worden.

5. Key Vulnerability Management

De belangrijkste kwetsbaarheid in deze casus was niet softwarematig, maar lag in de architectuur.

Toepassing van de Key Vulnerability Management-control betekent:

• Openbare blootstelling van besturingsinterfaces behandelen als een kritieke situatie
• Zwakke authenticatie en niet-versleutelde protocollen classificeren als hoog risico
• Compensatiemaatregelen toepassen wanneer patching niet direct mogelijk is

In OT wordt kwetsbaarheid niet gemeten in CVSS-scores, maar in fysieke gevolgen.

Hoe nu verder

De aanval op Lake Risevatnet was geen kwestie van uitzonderlijke vaardigheden van hackers of zeer geavanceerde tooling. De aanvallers bouwden simpelweg voort op voorspelbare zwakke plekken die in veel sectoren nog steeds voorkomen.

Open interfaces. Zwakke inloggegevens. Beperkt zicht op wat er daadwerkelijk gebeurt.

Voor operators in energie, water, transport en industrie is de les helder.
Remote access mag nooit het zwakste punt zijn dat een kritisch proces onderuithaalt.

Door de SANS Five ICS Critical Controls structureel toe te passen en door remote access te behandelen als een privilege in plaats van een standaard, kunnen organisaties een realistisch evenwicht vinden. Operationele noodzaak blijft gewaarborgd. Het risico wordt beheersbaar.

Niet door remote access te vermijden.
Maar door het volwassen te organiseren.

FAQ