VS waarschuwt energiesector na aanvallen via standaard wachtwoorden
Het Amerikaanse cyberagentschap CISA heeft de energiesector in de Verenigde Staten gewaarschuwd na aanvallen via standaard wachtwoorden op de Poolse energiesector. Energiebedrijven worden opgeroepen om meteen al hun standaard wachtwoorden te wijzigen. Eind december werden verschillende onderdelen van de Poolse energiesector, waaronder wind- en zonneparken en een warmtekrachtcentrale, het doelwit van aanvallen. De aanvallers wisten binnen te komen via Fortinet FortiGate-firewalls en standaard inloggegevens, zo liet het Poolse Computer Emergency Response Team (CERT) eind januari in een analyse weten.
Van alle Fortinet-firewalls was de vpn-interface toegankelijk vanaf het internet en konden accounts zonder het gebruik van multifactorauthenticatie inloggen. Hoe de aanvallers toegang tot de apparaten wisten te krijgen is niet bekend, maar uit onderzoek bleek dat sommige van FortiGate-firewalls in het verleden enige tijd kwetsbaar waren geweest. Het ging onder andere om beveiligingslekken die remote code execution mogelijk maken. Door middel van standaard wachtwoorden konden de aanvallers toegang tot verschillende achtergelegen systemen krijgen. Bij de aanval werd ook malafide firmware geupload om zo apparaten te beschadigen, wat mogelijk was doordat er geen firmware-verificatie plaatsvond.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security stelt dat het rapport van het Poolse CERT drie belangrijke zaken laat zien. Namelijk dat kwetsbare edge devices een belangrijk doelwit voor aanvallers blijven, OT-apparaten zonder firmware-verificatie permanent kunnen worden beschadigd en de aanvallers standaard wachtwoorden gebruikten om toegang tot belangrijke systemen te krijgen. "Beheerders moeten meteen standaard wachtwoorden wijzigen en OT-leveranciers verplichten om wachtwoordwijzigingen in de toekomst door te voeren", aldus het cyberagentschap. Daarnaast worden energiebedrijven opgeroepen om edge devices, zoals firewalls en vpn-servers, die end-of-life zijn te vervangen.
Dat is niet echt een probleem, het wordt alleen interessant als landen op zwart gaan en wij ze moeten helpen met stroomleverantie. Dat op zwart gaan kan op verschillende manieren, door bijvoorbeeld productie te verstoren, of distributie.
Wat we hier moeten doen, en vermoedelijk allang doen, is de risico-modellen blijven oppoetsen en verrijken met out of the box risico's, en wie die risico's neemt, en waarom, en of dat een paar maanden laten nog steeds een goed idee is.
"maar we hebben toch een firewall" is inmiddels wel een uitspraak waar je voor mag gaan schamen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
