ENISA luidt noodklok over ongepatchte SCADA-systemen
Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) luidt de noodklok over de systemen die voor de kritieke infrastructuur worden gebruikt. Die blijken namelijk in veel gevallen met patches en beveiligingsupdates te worstelen, als er al updates beschikbaar zijn.
SCADA (Supervisory Control and Data Acquisition)-systemen zijn een subgroep van Industriële controlesystemen (ICS) en worden binnen de energie-, water- en transportsector gebruikt. Waren deze systemen vroeger vooral geïsoleerd, de afgelopen jaren zijn ze steeds vaker met andere netwerken en het internet verbonden.
Daardoor neemt ook het risico op aanvallen van buitenaf toe. Eén manier om SCADA-systemen te beschermen is volgens ENISA het uitrollen van patches. Er zijn echter twee grote problemen als het aankomt op het patchen van SCADA-systemen. Het eerste probleem is het grote aantal patches dat niet werkt.
Volgens onderzoek van het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid in 2011, bleek 60% van de patches niet goed te werken. Ten tweede is er ook een groot gebrek aan beschikbare patches. Voor minder dan de helft van de 364 bekende SCADA-lekken in 2011 waren beveiligingsupdates beschikbaar.
Maatregelen
ENISA heeft dan ook verschillende 'best practices' met betrekking tot patching opgesteld om zo de veiligheid van SCADA-omgevingen te verbeteren. Het gaat dan om netwerksegmentatie, het verwijderen van onnodige features, applicatie-whitelisting en Deep Pack Inspection, patchmanagement en onderhoudscontracten, het uitvoeren van eigen tests en het laten certificeren van systemen nadat ze gepatcht zijn.
"Hoewel patchmanagement geen wondermiddel is om de beveiligingsproblemen van SCADA-systemen op te lossen, is het toch belangrijk dat organisaties een patchmanagementbeleid instellen", stelt ENISA-directeur Udo Helmbrecht. Volgens Helmbrecht kunnen de Europese Unie of de lidstaten het bewustzijn van patches vergroten door patchmanagement te verplichten bij het opstellen van nieuwe regels voor apparaten.
Het is al erg genoeg dat SCADA aan het publieke net hangt...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.