image

Column: Windows 2000 geen veilige basis voor industrie

zaterdag 8 januari 2011, 21:10 door Bas Dusee, 29 reacties

Stuxnet is een uniek voorbeeld van een bijzonder ingenieus in elkaar gezet stukje malware. De eerste melding van deze malware vond plaats op 17 juni 2010. Het is één van de eerste bekend geworden aanval die specifiek gericht is tegen een industrieel proces-besturingssysteem met de bedoeling informatie te ontvreemden, maar nog meer om sabotage uit te voeren op een specifiek procesonderdeel. Het uiteindelijke aanvalsdoel is Siemens SCADA WinCC en PCStep 7 software. Hierbij wordt via een code injection in PLC controlemodules de uiteindelijke sabotage gepleegd. De meeste besmettingen blijken plaatsgevonden te hebben in Iran en Rusland.

Opmerkelijk feit van Stuxnet is dat het doel een zeer specifiek proces binnen een industrieel besturingssysteem betreft. Door de steeds hogere mate van automatisering, standaardisering en ontkoppeling van industriële netwerken kunnen we een toename verwachten van kwetsbare industriële netwerkenomgevingen gaan zien. Door het kopieergedrag van malware-makers zal er ook een toename zijn van dergelijke aanvallen.

Aanvallen op industriële procesnetwerken zijn niet helemaal onbekend. Dergelijke aanvallen waren tot nu toe vaak het gevolg van pech - denk bijvoorbeeld aan een netwerkworm die zich verplaatst van het besmette kantoornetwerk naar het industriële procesnetwerk en daar zoveel netwerkverkeer genereert dat kritische beveiligingscontrolesystemen in functie belemmerd worden.

Het probleem van industriële netwerkomgevingen, is dat de mogelijke schade van een aanval over het algemeen veel groter is dan binnen een kantoornetwerk. Dit wordt nog bemoeilijkt door de afhankelijkheid van veel industriële omgevingen aan gekoppelde IT-systemen (kantoor- en industriële omgevingen).

Stuxnet en patching
Siemens en de IT-beveiligingswereld hebben gereageerd op Stuxnet met de bekende oplossingen. Microsoft bracht een (nood) securitypatch uit op 2 augustus, Siemens een securitypatch op 18 augustus en een Trend Micro verwijdertool op 4 augustus. Antivirus-leveranciers kwamen met een pattern update (W32.Stuxnet).

De vraag is hoe effectief deze middelen zijn. De securitypatch van Microsoft is geschikt voor besturingssystemen vanaf XP SP3 (en server 2003). Sommige industriële operators stelden daarom de vraag of dit betekende dat IT-omgevingen die gebruik maken van Windows-versies van vóór het XP tijdperk dan automatisch veilig zouden zijn, omdat daar volgens Microsoft blijkbaar geen patch voor nodig zou zijn. Het antwoord op die vraag is dat deze systemen wel degelijk kwetsbaar zijn voor een aanval en die ook door kunnen geven. De beslissing van Microsoft is simpelweg gebaseerd op het gegeven dat er geen support meer wordt geleverd voor dergelijke verouderde systemen.

Geen actief patchbeleid
Het probleem met industriële omgevingen is dat er bijna nooit een actief patchbeleid aanwezig is. Procesbesturingssystemen die jaren geleden specifiek zijn ontworpen op basis van de toen gebruikelijke besturingssystemen en nu nog steeds operationeel worden vaak ‘met rust gelaten’. Een patchproces brengt simpelweg te veel risico met zich mee voor de continuïteit van het bewuste proces. Hierdoor zijn er bijvoorbeeld toch nog steeds verouderde Windows NT / 95 versies te vinden als onderliggende besturingssystemen van industriële procesbesturingssystemen. Dat leverde vóór de integratie van MES, SCADA en ERP met de kantooromgeving overigens nog geen groot (beveiligings)probleem op. Omdat een proactief systeem voor beveiligingspatching vaak ontbreekt, zullen alleen bekende incidenten zoals Stuxnet een organisatie bewegen om actie te ondernemen.

Een veel voorkomend dilemma is welke afdeling vervolgens operationeel verantwoordelijk wordt gesteld voor het patchen van deze systemen, zowel het onderliggende besturingssysteem als de industriële procesapplicatie zelf (en het testen plus ingebruikname ervan). Is de IT-afdeling verantwoordelijk, de operators of de contractleverancier van dergelijke procesbesturingsapparatuur?

Confidentiality, Integrity, Availability (CIA)
Vaak geeft de volgorde van de drie onderdelen in de bekende CIA-methodiek ook meteen de volgorde van prioriteit weer van de informatiebeveiliging in het kantoornetwerk. Binnen de industriële omgeving is deze prioriteit echter precies omgedraaid: in eerste instantie is - met afstand - de beschikbaarheid van de data en de connectie over netwerken van het grootste belang. Vooral van kritische controlesystemen is de beschikbaarheid van de informatie en systemen een eerste vereiste. Elke (beveiligings)belemmering of vertraging tussen de sensoren en controlebesturingssysteem is er één teveel.

Het zelfde geldt voor antimalware. Ook al zou je dergelijke scanners op het onderliggende besturingssysteem van een procesbesturingssysteem kunnen installeren, de vraag is of dat wenselijk is met het oog op het gevolg op de performance op de essentiële processen.

Beveiligingstooling
Een oplossing voor deze continuïteitsrisico’s moet dan ook gebaseerd zijn op een gedegen risicoanalyse van de industriële systemen. Het lukraak inzetten van beveiligingstooling - bekend uit de kantoornetwerkomgeving - is een oplossing die al snel zijn doel voorbij schiet, omdat het industriële netwerkverkeer totaal verschillend is van de kantooromgeving.
Bovendien zijn passieve en actieve beveiligingstools vaak onbekend met de industriële netwerkprotocollen en processen. Op hun beurt kunnen deze processen de (overvloedige) actieve security-scancommunicatie vaak niet aan. De gebruikte netwerkstandaarden en -protocollen zijn wel degelijk anders (PROFINET/PROFIBUS, Powerlink, EtherCAT, MODbus, etc,) dan die we kennen uit het kantoornetwerk.

Kortom: technische oplossingen (virtual pachting, antimalware en firewalling) zijn voldoende in markt verkrijgbaar, maar deze worden nog veel te weinig toegepast in industriële omgevingen. Dit komt doordat de fabrikanten van industriële systemen veelal geen andere applicaties toelaten. Daarom moeten de fabrikanten en ontwikkelaars van industriële omgevingen nu echt de volgende stap gaan maken, door beveiligingssoftware toe laten en recente versies van besturingssystemen te gebruiken. Windows NT4.0, Windows 2000 en Windows 2003 zijn echt al lang achterhaald en bieden geen veilige basis meer voor welke omgeving dan ook.

Bas Dusée - Technical Consultant, AXIANS

Reacties (29)
09-01-2011, 10:04 door WhizzMan
Dit geldt voor elk ouder besturingssysteem wat in een "freeze" status gezet wordt, dus niet alleen voor bepaalde versies van windows. Het probleem is relatief eenvoudig op te lossen door systemen die in een freeze zitten daar ook in te laten en niet achteraf op andere netwerken aan te sluiten of er datadragers aan te koppelen die voorzien zijn van uitvoerbare bestanden (executables). Zodra je dat doet, is je "freeze" niet effectief meer en haal je jezelf allerlei ellende op de hals. Het zijn de organisaties die niet geschikt zijn, het ligt niet aan de besturingssytemen.
09-01-2011, 10:39 door Above
Windows 2000 draait nog volop in de metaalindustrie op kantbanken en dergelijke. Zolang ze niet op het netwerk zijn aangesloten is er niets aan de hand. Software voor de buislaser bijvoorbeeld wat we hebben werkt alleen onder XP en office 2000. Werkt voor de rest perfect. Om over te stappen naar Windows 7 is van den zotte want dan zouden we alleen voor het softwarepakket van de buislaser €20.000,- moeten betalen.
09-01-2011, 11:11 door Anoniem
Je SCADA-netwerk hoort niet direct aangesloten te zijn op je kantoorautomatiseringsomgeving. Gebruikelijk is om een fysiek gescheiden netwerk te hebben (lastig met updates en informatiedeling) of een unidirectional netwerkkoppeling/diode.

Stuxnet maakt daar dan ook handig gebruik van door zich te verspreiden via USB-sticks. Daarbij heb je ook nog eens te maken met zero-day lekken en dan heb je niks aan virtual pachting en antimalware.

Ik denk overigens dat nieuwe producten van de fabrikanten prima Windows 7 ondersteunen. De industrie kiest er alleen voor om hun SCADA-systemen niet elke 5 jaar even te upgraden. Vaak heb je dan hardware die niet meer door de fabrikant ondersteund wordt en kan je zowel hard- als software vervangen ($$$).

De beveiligingsindustrie loopt hier juist achter. Je noemt wel netwerkprotocollen (Profibus etc.) maar de standaard beveiligingsproducten kunnen hier niet mee omgaan.
09-01-2011, 14:42 door Brammel
http://www.security.nl/artikel/35496/1/Microsoft_dicht_266_lekken_in_2010.html

Microsoft dicht 266 lekken in 2010

Op basis van deze gegevens is geen enkel windows platform veilig.

En in elk in America geproduceerd product zit een backdoor naar Big Brother.

Een operating system wat nooit in contact komt met internet is heb beste....maar dan mogen er geen wormen op usb sticks mee liften.
09-01-2011, 15:18 door Syzygy
Door Brammel: http://www.security.nl/artikel/35496/1/Microsoft_dicht_266_lekken_in_2010.html

Microsoft dicht 266 lekken in 2010
In 1 jaar tijd over een legio aan producten om even de verhoudingen scherp te houden

Op basis van deze gegevens is geen enkel windows platform veilig.
en geen ander type OS ook want 100% veilig bestaat niet !

En in elk in America geproduceerd product zit een backdoor naar Big Brother.
tuurlijk

Een operating system wat nooit in contact komt met internet is heb beste....maar dan mogen er geen wormen op usb sticks mee liften.
en besmetting via het LAN bestaat zeker niet in jouw wereld ??
09-01-2011, 15:39 door Brammel
In mijn wereld heb ik last van alles en nog wat op windows systemen en nog nooit een virus / mallware waargenomen op mijn playstation 3..

Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.

In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
09-01-2011, 15:46 door Brammel
In mijn wereld heb ik last van alles en nog wat op windows systemen en nog nooit een virus / mallware waargenomen op mijn playstation 3..

Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.

In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
09-01-2011, 17:24 door Syzygy
Door Brammel: In mijn wereld heb ik last van alles en nog wat op windows systemen en nog nooit een virus / mallware waargenomen op mijn playstation 3..

Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.

In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.

Prachtig !

Misschien een tip voor IRAN om hun kerncentrales op Playstation 3 software te laten draaien.
09-01-2011, 17:55 door Anoniem
Door Syzygy:
Door Brammel: In mijn wereld heb ik last van alles en nog wat op windows systemen en nog nooit een virus / mallware waargenomen op mijn playstation 3..

Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.

In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.

Prachtig !

Misschien een tip voor IRAN om hun kerncentrales op Playstation 3 software te laten draaien.

Konden ze er in Irak niet raketten mee besturen net voordat George B. aanklopte?
09-01-2011, 18:25 door spatieman
Windows 2000 geen veilige basis voor industrie
Bedoelen ze eigenlijk niet.
Windows geen veilige basis voor industrie
09-01-2011, 19:01 door Chocomel
Het beste voor zo'n industriële machines [maakt niet uit welke OS geïnstalleerd is] is gewoon de USB poorten eruit halen [uit het moederbord of caps erin doen] zodat geen enkel apparaat toegang krijg tot de computer. Alleen executable's blokkeren is geen optie, aangezien er genoeg exploits in PDF, PowerPoint, Word, Excel etc zitten.
Zo'n machine hoor je NOOIT, maar dan ook NOOIT op een LAN netwerk aansluiten. Wat is het nut van een buislaser om met het internet/LAN te verbinden? Niks dus, loop dan ook niet onnodig risico.

Er is voor de Playstation 3 waarschijnlijk geen malware, omdat het niet nuttige informatie bevat [en als je het op het internet publiceert, word je direct aangeklaagd door Sony...]. Daarom is de Playstation 3 niet echt aantrekkelijk.

Kerncentrales op Windows laten draaien [of iig delen van hun hardware] is het slechtste wat ze kunnen doen. Voor zo'n belangrijke functies zou ik zelf een eigen systeem in elkaar zetten, en daar software voor schrijven, wat niet op windows draait.

Terug op de 266 exploits: Dit zijn er gewoon teveel, reken maar na, hoeveel zijn het gemiddelt per product? Daarbij komt nog dat MS niet alle producten tegelijk update... 266 exploits zijn er gewoon teveel. Ook in verhouding.

Probeer Linux, veel veiliger als Windows, sneller en meer betrouwbaar!
09-01-2011, 21:44 door Anoniem
Wat ik niet begrijp is dat in de industrie, waar vele miljoenen in omgaan niet wordt gekozen voor professionelere besturingssoftware dan MS Windows. Ongetwijfeld zal de entiteit die achter Stuxnet zit handig genoeg zijn om binnen te dringen in eender welk besturingssysteem, maar mij lijkt het gebruik van bijvoorbeeld Solaris (en het NIET aan het LAN hangen van betreffende machines) een geringer risico met zich meebrengen.
09-01-2011, 22:13 door Anoniem
De vergelijking met de PlayStation 3 is nog niet eens zo gek. Sony heeft in de PlayStation allerlei voorzieningen getroffen die er voor zorgen dat alleen door Sony goedgekeurde software erop kan draaien. Dat maakt het knap lastig om ongeautoriseerde code zoals virussen en malware erop aan de gang te krijgen.

Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.
09-01-2011, 22:28 door Chocomel
Door Anoniem: De vergelijking met de PlayStation 3 is nog niet eens zo gek. Sony heeft in de PlayStation allerlei voorzieningen getroffen die er voor zorgen dat alleen door Sony goedgekeurde software erop kan draaien. Dat maakt het knap lastig om ongeautoriseerde code zoals virussen en malware erop aan de gang te krijgen.

Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.

Daar heb je zeker gelijk in, Sony beveiligt de PS3 goed. Dat weet ik wel. Maar om toch aan te kunnen tonen dat er altijd een manier is: Dongle Exploit. Dat moet je nog wel weten, een of andere bug zorgde ervoor dat je met zo'n remote internet apparaatje je PS3 kon jailbreaken. Homebrew én gedownloade games draaide gewoon op die jailbreak. Het is dus toch niet onmogelijk.

Wat een goede optie is, zijn die wat 'verouderde' controllers, die bijv. in de auto vind etc.. Die dingen zijn gewoon niet van buitenaf te benaderen.
10-01-2011, 09:02 door carolined
Wat ik mij afvraag is hoe het komt dat de SCADA systemen ooit gekozen zijn als proces besturingssystemen.
Je zou verwachten dat juist in de industriële hoek er ingenieurs aan het roer zitten. Ik ken weinig boekhouders die industriële processen besturen.
Voor die betreffende ingenieurs zou het vanzelfsprekend hebben moeten zijn dat er naast een fysieke scheiding tussen de netwerken (wat ik gezien heb bij waterproductiebedrijven) er ook een scheiding in type Operating Systeem had moeten zijn.
En dat zij de keuze hadden gemaakt voor een OS dat geschikt is om processen te besturen.
Windows, met zijn focus op de kantoorautomatisering, is dan niet de meest voor de hand liggende keuze, in tegenstelling tot Unix (Solarix, AIX, HU-UX, en andere) die eerder al vele jaren ingezet werden voor procesbesturing.

Een PS3 zou misschien zelfs een optie zijn, het is geen onzin idee Syzygy, hoewel die juist weer geoptimaliseerd is voor video bewerking.

Voordeel van gescheiden OS-en is ook nog een keer dat het "overspringen" van virussen niet zomaar gebeurt.
10-01-2011, 09:20 door Anoniem
Door Chocomel: (..)
Zo'n machine hoor je NOOIT, maar dan ook NOOIT op een LAN netwerk aansluiten. Wat is het nut van een buislaser om met het internet/LAN te verbinden? Niks dus, loop dan ook niet onnodig risico.(..)
Daar zijn heel veel redenen voor. Als je 100 van die dingen hebt wil je misschien weten als er 1 stuk is, of hoeveel er aan het idlen zijn, of misschien wil je eentje een nieuwe opdracht geven, of in een noodsituatie alle lasers stoppen, of temperatuurgegevens opvragen etc etc etc
10-01-2011, 09:34 door Anoniem
Is dit een advertorial van Microsoft ofzo ? Immers kan je net zo goed StuxNet achtige malware maken die 0day exploits misbruikt in Windows 2008 Server, Windows 7 en ga zo maar door. Natuurlijk is Windows 2000 relatief onveiliger, maar dat wil niet zeggen dat nieuwere versies niet net zo goed kwetsbaar zijn.
10-01-2011, 09:51 door Anoniem
Door Anoniem: De vergelijking met de PlayStation 3 is nog niet eens zo gek. Sony heeft in de PlayStation allerlei voorzieningen getroffen die er voor zorgen dat alleen door Sony goedgekeurde software erop kan draaien. Dat maakt het knap lastig om ongeautoriseerde code zoals virussen en malware erop aan de gang te krijgen.

Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.

Helaas zijn de master-keys publiekelijk beschikbaar, zodat iedereen z'n software kan signen waardoor er allerlei software op de playstation gedraaid kan worden
10-01-2011, 09:59 door Skizmo
Windows geen veilige basis voor industrie
FTFY !
10-01-2011, 23:08 door Anoniem
Al diegenen die claimen dat "industriele PC niet aan internet aansluiten" of "alle USB eruit gooien" werken zeker zelf niet in de industriele IT. Hoe moet je een beetje moderne PC z'n toetsenbord of muis dan aansluiten, cq hoe krijg je er software op. En dan nog, hoe komen de productieopdrachten of recepten op een machine? Floppy soms? Ga je even snel foutvrij een paar Mbyte XML (ja daar werken wij ook wel mee!) inkloppen. Of per machine per uur 5 Gbyte aan tracking&tracing data ergens bewaren. Maw, zonder netwerk kan menig machine ook niet veel meer.

Tja, en Linux, hoe mooi het ook is, er is nauwelijks bruikbare (industriele) software voor te krijgen.

Reacties van nul-en-weinig waarde mogen hier dus wegblijven. Men blaat, kakelt, mekkert, miept en miauwt maar wat. Typische "kantoor IT reacties" waar we op de werkvloer niets aan hebben, anders dan dat het het management weer op het verkeerde been zet. Kom nu eens een keer niet met "Windows bleeeeeh" kreet, maar los het mee op! Waarom hebben al jullie slimme IT'ers nog niet een werkbaar systeem voor industrieel patchmanagement bedacht?
11-01-2011, 00:17 door Anoniem
het is mij een raadsel waarom sommige industrieen ooit professionele unices hebben laten vallen voor een veredeld huis tuin en keuken spelletjes operating system als windows...

maar goed...
nu krijgen ze het lid op de neus en ik zeg eigen schuld dikke bult.

het vervelende is alleen dat zometeen wel een kern centrale ophol slaat en er miljoenen mensen de dupe van worden.
11-01-2011, 10:05 door Anoniem
Tja, en Linux, hoe mooi het ook is, er is nauwelijks bruikbare (industriele) software voor te krijgen.

Er was eens een tijd dat dergelijke software niet beschikbaar was voor Windows, maar dat heeft ooit iemand ook niet tegengehouden om Windows te willen gebruiken voor dit soort toepassingen.

Kom nu eens een keer niet met "Windows bleeeeeh" kreet, maar los het mee op!

De oplossing is vrij simpel: Windows wettelijk verbieden.
11-01-2011, 10:31 door Anoniem
"Windows 2000 draait nog volop in de metaalindustrie op kantbanken en dergelijke. Zolang ze niet op het netwerk zijn aangesloten is er niets aan de hand."

Lol. Nog nooit gehoord van USB sticks ? Of van het aansluiten van apparatuur op een telefoonlijn of GSM om malware een netwerk binnen te krijgen ? Het is een goede bescherming tegen generieke malware, maar een gerichte aanval, zeker met behulp van insiders, sla je er zeer zeker =niet= mee af.
11-01-2011, 10:32 door Anoniem
"In 1 jaar tijd over een legio aan producten om even de verhoudingen scherp te houden"

So what ? Het gaat om de vraag of de vulnerabilities misbruikt kunnen worden. En met 266 vulnerabilities in een jaar - hoeveel undisclosed vulnerabilities denk je dat er in die produkten te vinden zijn ?
11-01-2011, 19:10 door Anoniem
"Windows 2000 draait nog volop in de metaalindustrie op kantbanken en dergelijke. Zolang ze niet op het netwerk zijn aangesloten is er niets aan de hand."

Nou ook nog in de procesindustrie, grote NL bedrijven die als ze platgaan maken dat wij het allemaal errrrg koud gaan krijgen thuis. Die laptops met W'2000 worden vooral gebruikt om remote troubleshooting te doen! Bedoel maar. Het is niet zo van dat er een oud PC'tje staat in een hoekje staan te verouderen, welnee, men is erg afhankelijk van deze laptops. En ja, USB is het medium om bestanden te verslepen.
19-01-2011, 13:11 door Anoniem
Industriële machinaties zoals fabrieken, schepen, infrastructuur etc. wordt gebouwd om minstens 20 jaar mee te gaan. Wat inhoud dat alles 1 keer wordt gebouwd en vervolgens nooit meer aangepast als het niet hoeft. Continuïteit is alles in de industrie. Als het een dagje stil ligt lopen ze daar een miljoen mis.

If it ain't broke, don't fix it. Heel simpel. Dus geen gepatch om mogelijke problemen te voorkomen, gezien patchen op zichzelf al een enorm risico is. Even Service Pack 36 installeren kan een bepaalde API call veranderen waar je hijskraan software net gebruik van maakte. Twee dagen om alles weer terug te draaien is twee miljoen verlies.

Zoek maar eens een ouwe olietanker op. Dikke kans dat de navigatie nog op Windows 95 draait.

De huidige computer en automatisering sector, met de snelle upgrade cyclus en business modellen gebaseerd rond geheimhouding en afhankelijkheid, is dus gewoon geen geschikte partner om een robuuste industrie mee te bouwen.
20-01-2011, 13:34 door Anoniem
“Continuïteit is alles in de industrie. Als het een dagje stil ligt lopen ze daar een miljoen mis.”

Als dit zo is dan zal hier juist behoorlijk beleid voor moeten zijn.
Waar het hier omdraait is risicoanalyse. Blijkbaar zijn de kosten van een upgrade zo hoog en/of de gevaren van dien aard dat men de risico’s accepteert. Of het is pure onwetendheid.
Maar dit lijkt mij sterk want security en BCM is een hot item in het bedrijfsleven en waarom dan niet in de industrie. Het mitigeren van risico’s is een keuze!

“If it ain't broke, don't fix it
Dit is allang achterhaald en is een kreet die is ontstaan uit angst. Je zal hier gewoon beleid voor moeten maken. Zoals goed verandermanagement. Heel veel updates zorgen er juist voor dat je niet in de problemen komt of zorgen voor een prestatieverbetering. Dat het e.e.a. in samenspraak gaat met je leverancier spreekt vanzelf.

De verwachting is dat alle devices in de toekomst aan elkaar worden geknoopt. Dit betekent dat het beleid in de industrie tav dit onderwerp zal gaan veranderen. Daar is geen ontkomen aan, want de directie blijft verantwoordelijk (Due Care Due Diligence).
Je kritische systemen op een niet meer ondersteund OS laten draaien zal dan uit den boze zijn.
.
26-02-2011, 15:09 door Anoniem
Ik begin intussen het gevoel te krijgen dat men met de illusie leeft dat malware op enig moment voorkomen kan worden. Wat dat betreft kan in de geachte lezers uit de droom helpen; dat bestaat niet en zal ook nooit bestaan.
Het is zinloos om te discuseren om wel of geen netwerkkoppelingen toe te staan.
We leven nu eenmaal in een tijd dat we open communicatie verlangen.
Je kunt gemakkelijk de analogie maken met autorijden; ja er vallen doden en gewonden en ja we rijden allemaal gewoon door.
En dat moet ook.
Ook kun je je de vraag stellen of bedrijfsprocessen wel zo zijn ingericht om malware te voorkomen. Is het bewustzijnsniveau van de medewerkers dusdanig dat men veiligheid niet alleen associeert met ongevallen maar ook met IT.
Tevens moet er gepatched worden, virusscanners geïnstalleerd en de infrastructuur goed opgezet worden.
Policies en richtlijnen ondersteunen de bedrijfsprocessen.
Voorkomen kun je niets. Dit geldt ook voor ongevallen. Maar het zou goed zijn wanneer de industrie IT security en VCA als gelijkwaardig zou beschouwen voor zijn bedrijfsvoering.
28-02-2011, 15:59 door Anoniem
Netwerkkoppelingen tussen proces en kantoor automatisering horen steeds meer bij de industriele omgevingen, een algemeen security bewustzijn echter helaas nog niet. Beveiliging houdt op bij ''bewakers, helmen en stalen neuzen in schoenen.'' -ja, overdreven in sommige gevallen-. Communicatie met ERP's en andere process/management tooling is zonder meer gewenst. Ook de (3de partij) contactors die de machines onderhoudt maakt contact met de process systemen door een koppeling tussen de laptop en de systeen te leggen. Al dan niet direct, via LAN, Internet of (!) inbelmechanismen. Dan zou je je eigenlijk ook zorgen moeten maken om de verdere content op die laptop.

Antimalware, virtual patching, netwerk segmentatie met (snelle) firewalls op netwerk zouden een rol moeten spelen hierin. En dan kan ook. (mits met beleid/kennis ingevoerd en niet lukraak).

Een klein netwerkonderzoekje naar de netwerk beveiliging rond een PLC/SCADA systeem laat al snel allerlei backdoors zien. Zoals ik vorige maand zelf weer heb kunnen ervaren bij een lokale energie centrale voor +\- 550.000 huishoudens. Er is geen enkel netwerk beveiligingsbeleid aanwezig. Men loopt óok in die zin achter, al hoewel men wellicht zou verwachten dat dit wel leeft binnen een omgeving van een energie centrale. Helaas.

Afzender:
Ir. J.P. van Hall
Amitron
PS: Originele auteur van bovenstaande artikel in 2010. Ja, inderdaad niet zo netjes van -de marketing afdeling waar- B. D. werkt. Maar goed dit is off-topic.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.