"Offline halen van kritieke infrastructuur is geen oplossing"
Het heeft weinig zin om de systemen die voor onze water- en energievoorziening worden gebruikt van het internet te halen om te voorkomen dat ze het doelwit van cyberaanvallen worden. Dat zegt Delfin Rodillas van beveiligingsbedrijf Palo Alto Networks in een interview met Security.NL.
SCADA-systemen spelen een belangrijke rol binnen de kritieke infrastructuur. Vaak gaat het echter om oude legacy-systemen die online gaan, wat risico's met zich meebrengt omdat deze systemen niet met het internet en online security in het achterhoofd zijn ontwikkeld. Om een mogelijke cyberaanval te voorkomen wordt vaak opgemerkt dat het misschien beter is om deze systemen niet met het internet te verbinden.
In de praktijk blijkt dat dit niet altijd mogelijk is. Daarnaast komt het voor dat systemen soms onbedoeld aan het internet worden gekoppeld. Rodillas kwam eens een energiebedrijf in Oost-Europa tegen dat dacht dat het systeem niet online was. Tijdens een scan van het netwerk werd er echter internetverkeer gevonden. Het bleek afkomstig te zijn van de P2P-software eMule, de cloudopslagdienst Wuala en een applicatie genaamd WebDesk, een online editingtool. Werknemers gebruikten een "rogue" internetverbinding in de fabrieksomgeving om deze diensten te benaderen.
Volgens Rodillas hadden de werknemers geen kwade bedoelingen, maar wilden ze alleen bepaalde zaken gedaan krijgen, zoals het delen van documenten of handleidingen. "De werknemers stonden er echter niet bij stil dat dit risico's met zich meebracht." Sommige van de applicaties bevatten kwetsbaarheden die aanvallers op afstand zouden kunnen gebruiken. eMule deelt bijvoorbeeld documenten, waardoor dataverlies een potentieel gevaar is.
Een ander risico is de "quality of service". Als het netwerk voor kritieke toepassingen ook opeens gebruikt wordt voor het streamen van video's of downloaden van grote bestanden kan dat voor problemen zorgen, zoals de beschikbaarheid en stabiliteit van het netwerk.
Leveranciers
Een reden dat bijvoorbeeld de SCADA-omgeving op internet wordt aangesloten is omdat het gewoon mogelijk is, gaat Rodillas verder. Sommige werknemers weten dat er ergens een internetverbinding is in het rack waar de router staat. "Ze pakken een kabel, stoppen die in de router en klaar. En ze hebben direct toegang tot internet. Dat zou niet moeten gebeuren, maar het gebeurt."
Een situatie die vaker voorkomt waardoor SCADA-omgevingen met het internet verbonden moeten zijn is dat leveranciers dit verplichten. In het contract staat dan dat de energiecentrale een directe breedbandverbinding moet aanbieden, zodat de leverancier 24 uur per dag de software kan onderhouden. Ook kan de leverancier verplichten dat hij de enige is die beschikbare patches installeert.
Generator
Ondanks allerlei spannende berichten die in de media verschijnen over omvangrijke schade en zelfs het verlies van levens door cyberaanvallen op SCADA-systemen ziet Rodillas het niet zo' n vaart lopen, hoewel een stroomuitval voor burgers zeer vervelend kan zijn en voor bedrijven de nodige herstelkosten met zicht meebrengt. "Het elektriciteitsnetwerk is zeer veerkrachtig. Er zijn verschillende fail safes om het handmatig te doen." Rodillas kent een voorbeeld van een centrale waar het systeem maanden na een incident pas weer operationeel was. In de tussentijd werden alle operaties handmatig uitgevoerd.
Toch zijn zaken als redundantie en fail safes geen excuus om de digitale beveiliging niet serieus te nemen, gaat hij verder. Juist omdat systemen inmiddels zo afhankelijk van cyber en computernetwerken zijn geworden. "Er is in de VS geen enkel energiebedrijf dat air-gapped is en alleen seriële technologie gebruikt. Ze zijn allemaal naar een internet controlecentrum en IP-gebaseerde technologie overgestapt. Ze gaan van serieel naar IP (Internet Protocol)." De bedrijven gebruiken daarbij voor hun systemen commerciële off-the-shelf software en besturingssystemen zoals Windows.
Software die niet immuun voor aanvallen is. Ondanks het potentiële risico is het uit voorzorg offline halen van SCADA-systemen inmiddels geen optie meer, ook al zijn ze kwetsbaar voor een eventuele cyberaanval. Daarnaast werd een aantal maanden geleden bekend dat de grootste dreiging voor de kritieke infrastructuur voornamelijk nalatig personeel is. Of het nu om een onhandige werknemer gaat of een digitale aanvaller, wie niet in het donker wil komen te zitten doet er verstandig aan om voldoende water en een back-upgenerator achter de hand te hebben. Iets waar Rodillas thuis ook voor heeft gezorgd. "Dat krijg je als je in deze industrie werkt", merkt hij lachend op.
Gemak zal snel geroepen worden, icm kostenbesparing. Wat zijn echter de kosten van risicomitigerende maatregelen, laat staan de kosten van een incident? Grote kans dat dit niet opweegt tegen de (dus relatief lage) kosten van bijvoorbeeld een brugwachter?
geen internet, geen exploitability via internet.
debielen die internet verbindingen aan het bedrijfsnetwerk hangen mogen naar het uwv gaan.
Het is toch ook gewoon mogelijk om niet met het internet te verbinden? (eventueel hier en daar een kabeltje eruit en klaar :-)
Als het niet de bedoeling is om met het internet te verbinden, en iemand hobbelt toch met een kabel naar de router, om die kabel er vervolgens in te stoppen, kun je de desbetreffende persoon er toch gewoon op aanspreken dat het niet de bedoeling is om met het internet te verbinden.
Mee eens.
Beargumenteren gaat overigens naar mijn idee nog altijd door een standpunt of stelling te hebben en dit te onderbouwen met goede sterke argumenten. Eventueel tegenargumenten ook nog weerleggen.
Als een leverancier wil dat iets op internet wordt aangesloten, zal ik in het contract eisen dat de software in principe veillig is en dat ik voor oplevering een penetratietest uit kan voeren. Als hij patches installeert, wil ik weten hoe zijn reactie is op meldingen van security problemen. Heeft hij een responsible disclosure zodat er uberhaupt meldingen van problemen kunnen worden gemaakt?
Peter
Als een leverancier wil dat iets op internet wordt aangesloten, zal ik in het contract eisen dat de software in principe veillig is en dat ik voor oplevering een penetratietest uit kan voeren. Als hij patches installeert, wil ik weten hoe zijn reactie is op meldingen van security problemen. Heeft hij een responsible disclosure zodat er uberhaupt meldingen van problemen kunnen worden gemaakt?
Peter
Nog los hiervan, als zij toegang willen hebben, kunnen ze een vpn client krijgen.
Citrix client (o.i.d) opstarten en daarmee verbinding maken met een beheerderconsole.
De pc/server waar de console op draait heeft anders dan de citrix geen internet nodig.
En verder het gehele productiesysteem op een aparte (internetloze) vlan.
Als het niet de bedoeling is om met het internet te verbinden, en iemand hobbelt toch met een kabel naar de router, om die kabel er vervolgens in te stoppen, kun je de desbetreffende persoon er toch gewoon op aanspreken dat het niet de bedoeling is om met het internet te verbinden.
Verder behoort alleen IT toegang to de switches en routers te hebben. Ik ken overigens locaties waar die "in het printerhok" stonden.
Ik kan niet één goede reden bedenken.
Hoop marketing gelul maar dan heb je het ook gehad..
A) Bij voorkeur geen link met internet
B) Als dit toch nodig is voor bijv. remote onderhoud, dan goed beveiligen (tunnels, ip blocks etc.)
C) Het is nooit mogelijk om A of B af te dwingen, omdat er altijd nozems zijn die bewust of onbewust toch een internetverbinding realiseren.
Voor C kun je ook wat doen: awareness, scans (intern en extern) of andere detectiemogelijkheden (pentests, etc.). Snel erbij zijn en dan weer off-line halen.
Dat die internetverbinding moet beveiligd zijn is een evidentie.
Niets is echter 100% veilig, zeker niet op het internet.
Er wordt altijd een afweging gemaakt tussen de kost van de beveiligingsmaatregelen en het risico van een incident.
Ik werk in de telecomsector, en daar wordt altijd de afweging gemaakt van hoe redundant maken we een systeem.
Voor kleinere telefoonsystemen wordt er geen redundantie voorzien, bvb een klein bedrijf koopt gewoonlijk een niet redundante telefooncentrale, terwijl groter bedrijven meestal redundante systemen aankopen omdat de extra kost van een bijkomende server niet opweegt tegen de kost om een paar honderd mensen zonder telefoon te zetten.
Bij kritische systemen zoals bvb luchtvaartcontrole gaat de redundantie nog veel verder, daar wordt ook bekabeling, stroomvoorziening, ..... tot op de werkplek redundant uitgevoerd, wat een kost heeft die tot 20 maal hoger kan zijn in vergelijking met een normaal redundant systeem.
Het is altijd een afweging tussen kost en risico !!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.