Een SCADA-systeem is als het ware het hart van een organisatie. Sluit je een ader af, dan stopt het met pompen. Productielijnen worden platgelegd, elektriciteitsbedrijven krijgen met stroomstoringen te maken enzovoorts. Een cyberaanval op een SCADA-systeem vereist veel voorbereiding en coördinatie. Het zal daarom niet zo snel het doelwit zijn voor de gemiddelde hacker die uit is op snelle winst, maar eerder voor nation-state hackers. Hoe reëel is de kans op zo’n scenario en kun je je ertegen beveiligen?
Wat doet een SCADA-systeem?
Een SCADA-systeem meet data en stuurt PLC’s aan. Je komt ze tegen bij de meest uiteenlopende bedrijven en organisaties, zoals:
- Productielijnen, bijvoorbeeld in een bierbrouwerij of hoogoven.
- Waterkeringen
- Elektriciteits- en kerncentrales
- Attracties in een pretpark
En wat hebben al die verschillende toepassingen gemeen? Dat de gevolgen verstrekkend kunnen zijn als zo’n SCADA-systeem een verkeerde opdracht geeft.
Waarom vormen SCADA-systemen een veiligheidsrisico?
Het probleem met SCADA-systemen is dat ze van oudsher niet ontworpen zijn om gekoppeld te worden aan het internet. Sterker nog, ze stammen vaak nog uit de tijd van voor het internet. Dat levert verschillende veiligheidsrisico’s op:
- Wat gebeurt er als men zo’n systeem toch aan het internet koppelt
- Veel SCADA-systemen draaien op verouderde (ongepatchte) software
- Veel systemen hebben in de hardware geprogrammeerde wachtwoorden
Daarnaast heeft men vaak veel geld geïnvesteerd in SCADA-systemen. Vervangen van het systeem is in dat geval meestal geen optie.
Komen SCADA-incidenten vaak voor?
Er zijn niet veel security-incidenten met SCADA-systemen bekend. Of ze halen het nieuws niet. Het zijn veelal ‘wat als’-scenario’s die we tegenkomen. Zo hebben onderzoekers onlangs een ernstig beveiligingslek in de Multilin-software van General Electric ontdekt [1]. Hiermee zou een aanvaller een deel van het elektriciteitsnetwerk kunnen uitschakelen. De onderzoekers wisten de door GE zelfontworpen encryptie zelfs helemaal te kraken. Als hacker heb je hiermee goud in handen, zou je zeggen.
Maar wat als je te maken krijgt met minder goedwillende personen. Hackers die het voorzien hebben op ons stroomnet, waterkering of productielijn.
Voor de eerste categorie, onze kritieke infrastructuur, heeft Europa in augustus 2016 de Europese richtlijn voor netwerk- en informatiebeveiliging (NIS) ingevoerd. En onze eigen overheid heeft vervolgens ingestemd met een meldplicht voor cyberincidenten in deze sector. Cijfers zijn er nog niet, maar dat is geen reden om geen actie te ondernemen.
Hoe beveilig je een SCADA-systeem?
Hoe beveilig je een systeem wat over het algemeen niet voldoet aan de huidige IT-maatstaven. Werkt het überhaupt nog wel als er beveiligingsmaatregelen op loslaat? Om duidelijk te maken hoe je een SCADA-systeem kunt beveiligen, maken we onderscheid tussen de verschillende dreigingen.
1. Dreiging van buitenaf
Het internet is de grootste dreiging voor SCADA-systemen. Met name bedrijven met een eigen productielijn zijn hier gevoelig voor. Maar ook ziekenhuizen met gevoelige apparatuur zoals MRI-scans. Steeds meer leveranciers verplichten afnemers om nieuwe machines of productielijnen te koppelen aan het internet. Bijvoorbeeld voor het efficiënter plegen van preventief onderhoud. Als het om een koffieautomaat gaat kan dat weinig kwaad. De gevolgen van een ‘koffieautomaat-hack’ zijn te overzien. Hebben we het over een cyberaanval op een productielijn voor medicijnen of op medische apparatuur, dan zijn de gevolgen van een heel andere orde.
Internet zorgt dus niet alleen voor efficiëntie, maar ook voor risico. We meldden eerder al dat SCADA-systemen vaak op verouderde, ongepatchte besturingssystemen draaien. Een nachtmerrie qua beveiliging.
Ons advies
Beveilig je endpoints. Hoe doe je dat op een manier die én zeer effectief is én geen impact heeft op de apparatuur? Niet met antivirus, daarmee loop je achter de feiten aan. Je hebt een oplossing nodig die preventief werkt en die niet alleen bekende, maar ook onbekende dreigingen herkent. Een Next Generation endpoint solution is het antwoord op malware en exploits. In plaats van bij te blijven met signatures op iedere aanval of variant erop stopt het de kerntechnieken die een hacker gebruikt voor een infectie, signatureless. De focus ligt op de oorzaak en niet het gevolg.
2. Dreiging van binnenuit
We zien regelmatig dat verschillende netwerken binnen een organisatie met elkaar verbonden zijn. Let op: met een open verbinding. Een intern helpdesksysteem staat bijvoorbeeld in open verbinding met het productiesysteem. Een succesvolle inbraak op een relatief onbelangrijk systeem heeft zo direct enorme gevolgen voor een systeem wat er wel toe doet.
Ons advies
Plaats dus altijd een goede firewall tussen de verschillende netwerken. Segmenteer en beveilig. Dit is ook een belangrijk principe van de Zero Trust strategie.
Maar alleen het nemen van technische maatregelen is niet genoeg. We hebben namelijk ook te maken met de menselijke factor. Je zult dus ook procedures moeten opstellen om de ‘menselijke’ risico’s te beperken:
- Bepaal wie toegang krijgt tot welke data en apparatuur
- Verbied het gebruik van risicovolle randapparatuur zoals USB-sticks
Hoe toon je aan dat je beveiligingsmaatregelen effectief zijn?
Laten we er hier even vanuit gaan dat je maatregelen genomen hebt om de IT-security te verbeteren. Dan wil je ook weten of ze hun werk goed doen en liefst niet proefondervindelijk. Zeker als je als organisatie onder de NIS-richtlijn valt, is het essentieel dat je kunt bewijzen dat je effectieve maatregelen genomen hebt.
Je kunt bijvoorbeeld elk half jaar een pentest laten uitvoeren. Daarmee krijg je over het algemeen een goed beeld van potentiële dreigingen en of je IT-security goed is. Maar wat gebeurt er tussen twee pentesten in? Zou je dat ook niet willen weten? Ideaal is 24/7 pentesten, oftewel je eigen red team. Goed idee, maar voor de meeste organisaties onbetaalbaar.
Ons advies
Met een geautomatiseerd testplatform wat 24/7 hacks simuleert in je eigen omgeving. Hiermee bekijk je je netwerk als het ware door de ogen van een hacker. Het is een veilige manier om multi-phase, ‘real-world’ attacks te simuleren. Het platform voorspelt aanvallen, valideert de huidige security en verbetert de respons op de laatst nieuwe malicieuze mogelijkheden. Het vindt proactief gaten voordat hackers dit doen.
Voorkomen is beter dan genezen
Loop je met een SCADA-systeem nou direct gevaar? Nee, dat niet. Maar je loopt wel risico en dat risico moet beperkt worden. De gevolgen kunnen immers groot zijn. Met een Next Generation endpoint solution en firewalls kunnen SCADA-systemen beveiligd worden tegen cyberaanvallen. En met een 24/7 geautomatiseerd testplatform kun je het nog bewijzen ook.
