Opstelten: geen specifieke hackdreiging kerncentrales
Kerncentrales lopen geen specifiek gevaar om door hacktivisten gehackt te worden, aldus minister Opstelten van Veiligheid en Justitie. Opstelten reageerde op een brief van SP-Kamerlid Gesthuizen, die vragen had gesteld naar aanleiding van een artikel op Webwereld, dat hackers hun pijlen op kerncentrales richten. Het artikel was weer gebaseerd op een waarschuwing van het ICS-CERT.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid kwam in actie nadat onderzoeker via de SHODAN-zoekmachine een lijst van meer dan 500.000 SCADA- en ICS-apparaten hadden gemaakt.
Kwetsbaar
"In het artikel wordt ten onrechte de suggestie gewekt dat hacktivisten zich hiermee specifiek op kerncentrales zouden richten", aldus Opstelten. "In de waarschuwing van ICS-CERT wordt consequent gesproken over industriële controlesystemen. Deze systemen worden in diverse sectoren toegepast. Daarmee is niet gezegd dat er geen sprake is van kwetsbaarheden in dergelijke systemen of dat er geen toegenomen aandacht bestaat van hacktivisten voor industriële controlesystemen."
Volgens Opstelten is de problematiek bij de overheid bekend en wordt daar naar gehandeld. Zo werd in het tweede Cyber Security Beeld Nederland aandacht besteed aan de kwetsbaarheden in industriële controlesystemen.
Tevens werd er ingegaan op de toegenomen aandacht van cyberonderzoekers voor kwetsbaarheden in industriële controlesystemen en het feit dat hacktivisten op zoek lijken naar kennis over dergelijke systemen en de beveiliging daarvan.
Beleid
"Hierbij wil ik nogmaals benadrukken dat in het artikel onterecht de suggestie wordt gewekt dat de dreiging specifiek op kerncentrales is gericht. De dreiging is gericht op industriële controlesystemen die in diverse sectoren worden toegepast", schrijft Opstelten.
Specifiek voor de nucleaire sector zal deze volgens de minister begin 2013 over Design Basis Threat (DBT) Cyberdreigingen beschikken. "Hiermee kunnen de Nederlandse nucleaire installaties een adequaat en proportioneel beveiligingsbeleid voeren op het vlak van ICT."
Maak U vooral niet ongerust, ook andere sectoren lopen gevaar.... ? Wat een inhoudsloos gezwam.
"Hierbij wil ik nogmaals benadrukken dat in het artikel onterecht de suggestie wordt gewekt dat de dreiging specifiek op kerncentrales is gericht. De dreiging is gericht op industriële controlesystemen die in diverse sectoren worden toegepast", schrijft Opstelten.
Geen specifieke dreiging.., gelukkig!
Wacht, heb ik dat niet eens eerder horen zeggen...
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
De safety gerelateerde systemen in een kerncentrale zijn 100% zeker niet aan de buitenwereld gekoppeld. Dat is een eis van de IAEA en er wordt nauw op toegezien door IPPAS en WANO reviews.
De wel digitale (SCADA) systemen die in moderne centrales voor representatie gebruikt worden grijpen nimmer in op nucleaire safety.
Een kerncentrale is een normaal productieproces met administratieve en procesbesturende systemen. Die zijn veelal digitaal en soms terecht en onterecht aan de buitenwereld gekoppeld. En dan is alles inderdaad mogelijk.
De safety gerelateerde systemen (die dus een nucleair probleem zouden kunnen veroorzaken) zijn dat niet. Ik herhaal niet. Zoals Opstelten dus terecht wil toelichten; er is geen verhoogd risico op dat vlak.
En toch heeft elke journo die iets over SCADA schrijft het altijd over die kerncentrale... omdat hij/zij dan aandacht krijgt (zoals nu ook weer hier op security.nl). Omdat iedereen meteen denkt aan dat enge kernsplijtingsproces.
Opstelten heeft 100% gelijk; de processystemen (die de beschikbaarheid van het proces en de kwaliteit e.d. beheersen) zijn (wellicht) hackbaar. Dat is dan een commercieel risico voor de producent/exploitant. De nucleaire veiligheid is echter nooit, nimmer in gevaar omdat daar dus helemaal geen digitale systemen zijn of deze nergens aan gekoppeld zijn.
Maar goed... de luitjes op deze site weten het uiteraard (!) weer beter dan deze zeer ervaren minister die goed voorgelicht is. Waarom zitten jullie eigenlijk niet in Den Haag (en in dat geval zou ik snel emigreren :-)
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
Ze nemen hem m.i. vooral kortzichtigheid kwalijk, net als ik dat doe wat dat betreft.
Dat Opstelten vragen moet beantwoorden over iets waar hij helemaal niets over weet (hopelijk zijn ambtenaren wel) aan de hand van een een artikel op webwereld en niet de BRON (http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-12-046-01A.pdf) is natuurlijk helemaal dramatisch, ik zie liever die 3 kritische mensen van hierboven in Den Haag in plaats van die knakker die een brief aan Opstelten schrijft zonder de bronnen na te gaan...
OT:
Er zijn sinds begin dit jaar al exploit-modules openbaar beschikbaar voor, onder andere, PLC's van GE, Schneider Electric, Rockwell Automation en Koyo, onder andere in Metasploit.
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
...
Maar goed... de luitjes op deze site weten het uiteraard (!) weer beter dan deze zeer ervaren minister die goed voorgelicht is. Waarom zitten jullie eigenlijk niet in Den Haag (en in dat geval zou ik snel emigreren :-)
Ik antwoord op een brief aan de hand van een uit de lucht gegrepen artikel met als bron ICS-CERT.
Ten onrechte wordt gesuggereerd dat de dreiging nucleair is, die is namelijk redelijk acuut en algeheel.
"Deze problematiek is bij ons bekend en daar wordt naar gehandeld."
Op 19 Maart heb ik al te kennen gegeven dat we linkjes naar relevante artikelen hebben geplaatst op ncsc.nl en / want de verantwoordelijkheid ligt bij de eigenaren hiervan.
Op 6 juli heb ik er ook nog wat over gemeld.
"Specifiek voor de nucleaire sector kan ik echter aangeven dat deze begin 2013
beschikt over een door de Minister van Economische Zaken vastgestelde Design
Basis Threat (DBT) Cyberdreigingen."
Wie zegt dat ik bang ben voor nucleaire dreigingen?
Ik vind zijn optreden hier traag, zwak & naïef. Dat wil nog niet zeggen dat ik heel zijn beleid per definitie afkeur, hij zou wat mij betreft alleen geen I(C)T in zijn portefeuille moeten hebben.
Er is dev / null toezicht, laat staan handhaving met betrekking tot de meest cruciale onderdelen van onze maatschappij en infrastructuur. Dáár heb ik moeite mee!
Zou je dat "goed voorgelicht" wellicht nog nader willen verklaren (in relevantie tot de I(C)T)?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.