Online toegankelijke systemen waarmee benzinestations en andere vitale organisaties meten hoeveel brandstof er in opslagtanks aanwezig zijn, zijn het doelwit van aanvallen, zo stelt het Dutch Institute for Vulnerability Disclosure (DIVD). Al meer tien jaar geleden werd er gewaarschuwd voor duizenden Automated Tank Gauge (ATG) systemen die zonder wachtwoord voor iedereen op internet toegankelijk waren.

ATG-systemen worden gebruikt om de inhoud van benzineopslagtanks te meten, leveringen bij te houden, alarm te slaan in het geval van problemen met de tank of de meter en het uitvoeren van lektesten. Wanneer de apparaten direct vanaf het internet toegankelijk zijn kunnen aanvallers het brandstofniveau zien, informatie en waardes veranderen of zelfs kritieke monitoringparameters aanpassen, aldus het DIVD.

"We hebben echte incidenten waargenomen waarbij aanvallers tankinformatie aanpassen, verkenningen uitvoeren en zelfs ddos-aanvallen tegen deze systemen uitvoeren", laat de organisatie verder weten. Verdere details over deze aanvallen zijn niet gegeven. Naast benzinestations worden de systemen ook gebruikt door militaire basissen, ziekenhuizen, vliegvelden, hulpdiensten en energiecentrales. De blootstelling van deze systemen is volgens de onderzoekers dan ook een zorg voor de veiligheid van de vitale infrastructuur.

Het DIVD is begonnen met het scannen naar online toegankelijk ATG-systemen om vervolgens eigenaren te waarschuwen. Daarnaast worden beheerders aangeraden deze systemen achter een vpn te plaatsen of door middel van 'dedicated hardware' verbinding te maken. Verder geeft het DIVD het advies om ip-adressen te filteren zodat alleen vertrouwde netwerken toegang hebben, wachtwoorden voor seriële poorten in te stellen, firewalling toe te passen en voor het monitoren het gebruik van een mobiele gateway met private APN te overwegen.