NCSC waarschuwt voor SCADA-lekken
SCADA-systemen horen niet direct op het internet te zijn aangesloten en hackers zoeken steeds vaker naar lekken in dit soort systemen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) in een nieuwe factsheet. Deze systemen worden vaak voor aansturing van de kritieke infrastructuur gebruikt. Gisteren toonde EenVandaag dat Nederlandse sluizen, gemalen, rioleringspompen en zelfs bruggen zeer kwetsbaar voor aanvallers zijn. Volgens het NCSC zijn hackers tegenwoordig gerichter op zoek naar kwetsbare ICS/SCADA systemen.
Uit de praktijk zou blijken dat veel organisaties onwetend zijn over welke van hun systemen direct via internet bereikbaar zijn. "Een deel van die onwetendheid komt omdat systemen zijn aangelegd en/of worden beheerd door derden, waarmee geen of onvoldoende afspraken zijn gemaakt over beveiligingseisen", aldus het NCSC in een nieuwe factsheet.
Ook komt steeds meer ‘hack-tooling’ en kennis vrij beschikbaar die het zoeken eenvoudiger maakt. In de factsheet wordt uitgebreid stilgestaan bij zoekmachine Shodan. Shodan indexeert op basis van de banner-informatie die systemen prijsgeven. Daardoor is het eenvoudig om SCADA-systemen te zoeken, die vaak dit soort informatie laten indexeren. Het NCSC adviseert dan ook om waar mogelijk de banner-informatie die SCADA-systemen vrijgeven te beperken.
Internet
Verder waarschuwt het NCSC om control system devices geen directe verbinding met het internet te laten maken en de 'netwerk-exposure' te beperken. Ook komt het gebruik van VPNs, het beperken van poorten/services, het uitschakelen van default accounts en wachtwoorden, het gebruik van sterke wachtwoorden en installeren van updates aan bod.
Veel SCADA-kwetsbaarheden worden door hackers publiek gemaakt. "Organisaties waarvan de systemen zijn krijgen hierdoor te maken met negatieve publiciteit", zo is in de factsheet te lezen. Deze negatieve publiciteit trek volgens het NCSC nieuwsgierige personen aan die mogelijk ‘iets’ proberen. "Dit kan leiden tot manipulatie en overname van de besturing. Afhankelijk van de aard van uw systemen kan dit grote gevolgen hebben."
Gemak dient niet alleen de mens maar is dus nu ook dodelijk voor gebruiksvoorwerpen als bruggen en centrales.
Altijd maar weer het bewustzijn van mensen blijven prikkelen. Dat is de remedie. Tot ze er gek van worden. Heb je hem weer met zijn beveiliging. Dan komt er vanzelf een moment dat het gemiddelde van het bewustzijn hoger wordt
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.