Christian Jongeneel
Dat computersystemen bestand moeten zijn tegen hackers is zo onderhand wel doorgedrongen tot de directies van Nederlandse bedrijven. Maar dat productiesystemen meer en meer kwetsbaar zijn voor cyberaanvallen, staat nog nauwelijks op het netvlies.
Jaarlijks zijn tientallen bedrijven het slachtoffer van cyberaanvallen op hun productieprocessen. Dat worden er de komende jaren niet minder. ‘Het voornaamste probleem zit in de bewustwording.’
‘Twee, drie jaar geleden introduceerde een manager van een installatiebedrijf zich voorafgaand aan een lezing die ik zou houden’, vertelt Eric Luiijf, die zich bij TNO bezig houdt met veiligheid van Industrial Control Systems (ICS). ‘Hij vond het onderwerp interessant, maar voor hem was het niet relevant, zei hij, want hij had al zijn systemen en de beveiliging daarvan uitbesteed. Het bleek echter dat zijn personeel op afstand onderhoud pleegde aan technische systemen bij onder andere ziekenhuizen. “Dus als zij hun beveiliging niet op orde hebben, kan dan een compleet ziekenhuis plat gelegd worden”, vroeg ik. Toen besefte hij wel dat er werk aan de winkel was.’
Luiijf komt ze bijna dagelijks tegen, de managers die geen idee hebben dat cybersecurity op hun bordje ligt. ‘De ICS is een hele andere belevingswereld’, zegt hij. ‘Bij ict-managers bestaat het bewustzijn wel, maar die zijn gewend hun infrastructuur iedere paar jaar te vernieuwen. Bij ICS gaat het om investeringen die dertig, veertig jaar meegaan. Bij de gehele of gedeeltelijke vernieuwing van een productiesysteem wordt de zaak vaak zonder kennis aan internet gekoppeld.’
Zo zal de facilitair manager die een nieuwe slagboom aanschaft, het misschien heel handig vinden dat die met wifi vanuit het beveiligingsgebouw aangesloten wordt. Dat scheelt een kabel. Maar als er geen protocol is om het wachtwoord regelmatig te veranderen, neemt het risico toe dat iemand de boel kraakt en het terrein afgrendelt. Of ’s nachts de poort openzet, terwijl de camera aangeeft dat er niks aan de hand is. Dat klinkt als een ongeloofwaardige boeventruc uit een misdaadfilm, maar het begint realiteit te worden.
Een van de eerste prominente slachtoffers van een gekraakt productiesysteem in Nederland was Campina, een jaar of acht geleden. Een kaasfabriek lag negen uur stil vanwege een virus. Nog tijdens de implementatie van een gecertificeerd veiligheidssysteem ontdekte het bedrijf een nieuwe aanval. In dat laatste geval was een virus verstopt in de firmware van productieapparatuur, maar het komt steeds vaker voor dat ze op de klassieke manier via de mail binnen komen. De malware verspreidt zich dan op het netwerk, op zoek naar specifieke apparatuur om te besmetten.
Vroeger had de productie eigen systemen en netwerken, maar tegenwoordig ligt er vaak een koppeling met het kantoornetwerk, bijvoorbeeld voor voorraadbeheer of om alle productiestappen te loggen met het oog op kwaliteitsbewaking. Veelal draait de controle over de processen tegenwoordig op normale Windows of Unix-systemen, wat het ook makkelijker maakt voor hackers.
Hoe gericht hackers te werk kunnen gaan, ondervond een Duits staalbedrijf in 2014. Een combinatie van phishing en social engineering bracht een stuk malware binnen bij het kantoor van het bedrijf. Daarna ging de kwaadaardige software gericht op zoek naar technische installaties. Het leidde uiteindelijk tot grootschalige schade aan een van de hoogovens.
Het Bundesambt für Sicherheit in der Informationstechnik, dat de zaak beschreef in zijn jaarbericht, constateerde dat de hackers beschikten over diepgaande kennis van de processen en systemen in het bedrijf. Hoe zij daaraan kwamen en wat hun motief was, is niet bekendgemaakt. Deze zaak maakt in ieder geval duidelijk dat bedrijven er niet van uit mogen gaan dat ze veilig zijn omdat hun productiesystemen te specifiek zijn om aan te vallen. Dat soort ‘security through obscurity’ is achterhaald.
Naast regelrechte sabotage, die vanwege de impact snel opgemerkt wordt, zijn er ook andere motieven voor hackers, zoals het stelen van productiegeheimen of het ondermijnen van de kwaliteit. Ook de eerste pogingen tot chantage zijn al gesignaleerd.
Dat de ICS mijlenver achterligt op de ict heeft in elk geval als voordeel dat er kennis van elders gehaald kan worden voor het afweren van digitale aanvallen. Luiijf: ‘Er zijn checklists, best practices, boeken. Het voornaamste probleem zit in de bewustwording.’
Aan dat laatste wordt ook gewerkt vanuit de overheid, samen met de bedrijven uit vitale sectoren. Het Nationaal Cyber Security Centrum (NCSC) heeft ICS-specifieke aanbevelingen voor Nederlandse bedrijven. Een daarvan is dat bedrijven hun kwetsbaarheid kunnen testen met de zoekmachine Shodan, die in staat is het internet af te grazen en weet welke apparaten openbaar toegankelijk zijn. Als het IP-adres van het bedrijfsnetwerk bekend is, spoort Shodan alle gekoppelde apparatuur op.
Het bewustzijn moet bovendien veel breder in bedrijven doordringen dan alleen bij de afdeling verantwoordelijk voor ict. Een arbodeskundige zou bij de risico-inventarisatie bijvoorbeeld ook naar de cyberveiligheid van apparaten moeten kijken, om het risico van letsel door hacking of een virus te voorkomen.
Hulp van de regelgeving krijgt hij daarbij vooralsnog niet. De EU-normen schrijven momenteel voor dat de beveiliging van machines niet gewijzigd mag worden. Dus in principe ook het standaard wachtwoord van de leverancier niet. En zelfs al zou dat mogen, dan schrijft de norm voor dat onderhoud slechts mag plaatsvinden als de elektriciteit eraf is. Dat is lastig als je de firmware wilt updaten. Aan een nieuwe Europese machinerichtlijn, die dit soort problemen moet ondervangen, gaat gewerkt worden.
Ook leveranciers van ICS-software zijn huiverig om beveiligingssoftware op hun systemen toe te laten. Een reden hiervoor is dat veel van de aangestuurde processen tijdkritisch zijn. Als de virusscanner voor een hapering zorgt in slechts één processtap, dan kan een fijnchemisch proces al behoorlijk ontregeld raken. Dan moet misschien een hele batch medicijnen weggegooid worden, omdat de kwaliteit niet meer te garanderen valt.
De voortgang van de productie, 24 uur per dag, zeven dagen in de week, is doorgaans het voornaamste belang van de productiemanager; niet het voorkomen van als ‘exotisch’ ervaren cyberaanvallen erop – of disruptie door de beveiliging zelf. Ook dat laatste is niet denkbeeldig, gezien hoe nieuw dit vakgebied is. Een gasbedrijf in de VS werd ooit per ongeluk meerdere uren platgelegd door een consultant die het bedrijf had ingehuurd om zwaktes in het systeem bloot te leggen.
Inmiddels beginnen beveiligingsbedrijven zich te profileren met speciale producten voor ICS. ‘De industriële systemen draaien vaak nog op Windows XP of nog oudere systemen’, vertelt Petra van Schayik, eigenaar van fabrikant en leverancier Compumatica. ‘Updaten naar een nieuwe versie gaat niet zomaar, omdat de software van bijvoorbeeld de lasrobot specifiek voor XP geschreven is. Als je zo’n systeem wilt beveiligen, moet je de toegang ertoe afsluiten, terwijl je er toch informatie uit wilt halen.’
Compumatica lost het probleem op met een zeer strikte scheiding tussen het industriële netwerk en de kantooromgeving. Ieder datapakketje wordt opengemaakt en gecontroleerd, niet alleen op virussen, maar ook op legitimiteit van de toepassing die het verzond. Het is mogelijk van buitenaf de industriële omgeving te benaderen, maar niet om er direct iets uit te halen. Als een externe computer om informatie uit het systeem vraagt, gaat het antwoord naar een speciale server die de opgevraagde data uitsluitend naar vertrouwde partners doorspeelt. Een eventuele hacker kan dus niets uit het systeem halen.
Van Schayik: ‘Wanneer een fabrikant een update moet uitvoeren, is direct contact soms nodig. Dan wordt voor een bepaalde periode gecontroleerde toegang tot de firewall toegestaan. Het mooie van deze aanpak is dat je helemaal niets aan het ICS-systeem zelf hoeft te veranderen.’
Volgens Luiijf van TNO vinden jaarlijks in Nederland enkele tientallen incidenten plaats, verdeeld over verschillende sectoren van de industrie. Slechts een handjevol haalt de pers. Luiijf: ‘Het nadeel daarvan is dat de ernst niet doordringt tot de directiekamers. De grote raffinaderijen hebben hun zaakjes op orde. De drinkwaterbedrijven maken er serieus werk van. Campina heeft na het incident maatregelen genomen. Maar er zijn genoeg bedrijven van die omvang waar bewustwording nog in de kinderschoenen staat.’
Nu het economisch beter gaat, zullen bedrijven hun investeringen opvoeren, zodat de komende jaren een golf aan nieuwe apparatuur op de productievloer zal belanden die standaard met internet verbonden is, dus misschien wel zonder dat de koper zich daar bewust van is. Een goed beveiligingspakket bij de nieuwe slagboom, cementmixer of lasrobot kan allicht geen kwaad. En blokkeer bij voorkeur ook de usb-poort, want uit statistieken van beveiligingsbedrijf Kaspersky blijkt dat die de voornaamste besmettingsbron is van industriële systemen.
Het NCSC adviseert bedrijven nadrukkelijk om ICS-systemen niet aan internet te koppelen. Die oproep zal in toenemende mate aan dovemansoren gericht zijn. Maar in elk geval kunnen bedrijven niet volhouden dat niemand ze gewaarschuwd heeft.
https://goo.gl/9POjYz (pdf)
