‘Personeel is meestal te slordig’

De kans dat een cyberaanval of een IT-panne een industriële ramp veroorzaakt, is op korte termijn klein. Maar de dreiging neemt toe nu cyberterroristen zich op kritieke infrastructuur richten en de systemen complexer worden, waarschuwen de experts van Kaspersky Lab.

60 procent van de olie- en gasbedrijven is niet genoeg beveiligd tegen aanvallen van hackers, zegt Fox-IT. De Nederlandse beveiligingsspecialist peilde naar de paraatheid om deze en andere cyberrisico’s onder controle te krijgen. Bijna al de energiebedrijven zijn zich bewust van het gevaar en de gevolgen van cyberincidenten, maar slechts vier op de tien kunnen onmiddellijk reageren.

De beveiliging van nutsvoorzieningen en industriële machines is al lang een populair gespreksthema onder cybersecurity-experts. Sinds de ontdekking van het Stuxnet-virus in 2010 gingen die discussies crescendo. Die malware is vermoedelijk van Amerikaanse en Israëlische makelij. Ze saboteerde succesvol machines die werden gebruikt in het Iraanse kernwapenprogramma. Ondertussen heeft het zich wereldwijd verspreid naar andere machines met gelijkaardige besturingssoftware. Gelukkig zonder nare gevolgen, omdat Stuxnet enkel uit was op het Iraanse kernwapenprogramma.

Kerncentrales

Cybersecurity-experts vrezen dat varianten van Stuxnet en andere gespecialiseerde malware ooit echte rampen veroorzaken. Maar ook zonder kwaad opzet, stijgt het risico op schade nu nuts- en industriële infrastructuur verregaand worden geautomatiseerd. Dat bleek op de Security Analyst Summit van de Russische cyberveiligheidspecialist Kaspersky Lab (zie kader Russische roots zijn een voordeel) in februari. Trends was als enige Belgische medium uitgenodigd op de conferentie in Mexico. Meer dan 300 experts bespraken er de nieuwste trends in cybersecurity. Voor het eerst was er ook een aparte reeks presentaties gewijd aan de kwetsbaarheid van nuts- en industriële infrastructuur. Daar passeerde een aantal horrorverhalen de revue. Hackers kunnen bijvoorbeeld gemakkelijker toegang krijgen tot stoplichten en andere verkeersregelaars nu die worden geautomatiseerd. Volgens Cesar Cerrudo, een Argentijnse cyberexpert en een van de sprekers, is er malware gevonden op systemen in de VS die meer dan 100.000 kruispunten aansturen. Maar cyberincidenten kunnen ook op andere manieren verkeerschaos veroorzaken. Door een softwarefout riep een Amerikaanse stad onlangs meer dan 1200 juryleden tegelijkertijd op voor één rechtszaak, in plaats van een twintigtal.

Dat is klein bier in vergelijking met de schade die kan worden aangericht aan bijvoorbeeld een energiecentrale. Fanc, de Belgische toezichthouder voor nucleaire veiligheid, neemt al jaren de IT-beveiliging mee in de audit van de kerncentrales. “Op korte termijn is er weinig kans op een industriële cyberramp”, vertelt Alexey Polyakov aan Trends in de marge van de conferentie. Hij is een van de experts voor infrastructuurbeveiliging bij Kaspersky. “De meeste systemen zijn zeer complex en vergen bovendien veel menselijke handelingen. Het is moeilijk om vanop afstand een energiecentrale te kapen, en om pannes op te vangen zijn er ook voldoende noodsystemen. Er is altijd personeel in de controlekamer en dat kan snel ingrijpen. Daarom is een volledige automatisering van zo’n kritieke infrastructuur nooit wenselijk.”

Windows XP

“Een zorgelijke trend is wel dat het aantal incidenten stijgt in alle industriële sectoren”, gaat Polyakov voort. “Voorlopig zijn het vooral pannes door slechtwerkende software of virussen die per ongeluk het systeem infecteren. Dat laatste gebeurt bijna altijd door slordigheid van het personeel. De meeste controlesystemen hebben een geïsoleerd netwerk, waardoor besmettingen in theorie uitgesloten zijn. Maar al te vaak sluit het personeel USB-sticks aan die ze ook privé gebruiken en waar buiten hun weten malware op huist. En zo raken die systemen in quarantaine toch besmet. Alles hangt dus af van de discipline van het personeel, en van goede processen. Meestal is het overigens de regel dat de USB-poorten en andere ingangen extra beveiligd zijn of zelfs dichtgelast zijn. Die maatregelen om hardware af te sluiten zijn wel geen wondermiddel. Tijdens een van mijn audits ontdekte ik dat een werknemer met nachtdienst in een controlekamer iedere shift de behuizing van zijn dienstcomputer verwijderde en er tijdelijk een draadloze netwerkkaart in installeerde om op het internet te kunnen.”

De meeste malwarebesmettingen in de industrie gebeuren dus onopzettelijk. “Maar dat kan veranderen”, vreest Polyakov. “Natiestaten, criminele en terroristische organisaties beginnen zich toe te leggen op het hacken van industriële systemen. Het is een ongelijke strijd, want de geviseerde bedrijven hebben meestal niet de middelen om zich te verdedigen. Vele zijn ook extra kwetsbaar. De software voor hun machines draait vaak nog op Windows XP. Dat besturingssysteem wordt al meer dan een jaar niet meer ondersteund door Microsoft. Daardoor zitten de systemen vol met zwakke plekken die niet meer worden gedicht.”

eBay

“Bedrijven vergeten ook bijna altijd de apparatuur en software van hun leveranciers te screenen”, vertelt Polyakov. “De beveiliging is meestal wel aangezet, maar vaak nog met de fabrieksinstellingen en met standaard wachtwoorden die gemakkelijk online te vinden zijn. Ook daarvoor moeten bedrijven waakzaam zijn. En koop a.u.b. geen onderdelen op eBay of andere onlinehandelsplaatsen. Het is een beproefde tactiek om zo malware binnen te smokkelen.”

“Eigenlijk komt het altijd op hetzelfde neer: personeel goed trainen en extra systemen. Het slechte nieuws is dat beveiliging van kritieke infrastructuur jaren achterophinkt tegenover die van klassieke IT-systemen. Maar het goede nieuws is dat industriële bedrijven en nutsvoorzieningen zich nu echt van de risico’s bewust zijn. Bij de omvorming van onze elektriciteitsnetwerken tot smart grids is beveiliging nu ook een prioriteit.”

Stijn Fockedey in Cancún, Mexico

“Al te vaak sluit het personeel USB-sticks aan die ze ook privé gebruiken en waar buiten hun weten malware op huist”