Een cyberoorlog zal zich niet alleen afspelen op het internet. Kritieke infrastructuur zoals energiecentrales en andere nutsvoorzieningen komen in het vizier van gesofisticeerde computervirussen.
We lezen wel vaker berichten dat virussen en andere vormen van malware ook computers van fabrieken, energiecentrales en andere industriële installaties aantasten. Zo moest in 2003, 2006 en 2008 telkens een Amerikaanse kerncentrale worden stilgelegd nadat een computervirus een netwerkverstoring veroorzaakte die het onmogelijk maakte de reactoren te monitoren. Hoeveel dreigingen er precies zijn, is moeilijk in te schatten. Overheden die de meest uitgebreide databases hebben van dergelijke veiligheidsincidenten communiceren niet of heel weinig.
De onafhankelijke database Repository for Industrial Security Incidents heeft 175 gevallen opgelijst waarbij industriële systemen zijn aangetast. Een van de bekendste virussen was SQL Slammer, dat netwerken kan overbelasten. Dat virus zou in de periode 2003-2004 zeker veertig veiligheidsincidenten hebben veroorzaakt in de petroleumindustrie, de chemische nijverheid, energievoorziening en andere industriële sectoren. Vaak blijft de schade beperkt, er zouden slechts enkele gevallen zijn waarbij het verlies op meer dan 1 miljoen dollar is geraamd.
Die oudere generatie van computervirussen heeft het niet speciaal gemunt op industriële installaties, maar meer op kwetsbare computers in het algemeen. Omdat de software van industriële systemen sinds een tiental jaar soms op standaardplatformen zoals Windows of Unix draait, zijn die vatbaar voor virussen die het gemunt hebben op klassieke computers. Het gaat niet altijd om externe dreigingen. In 2000 heeft een ontevreden werknemer van een waterzuiveringsinstallatie in Australië bijna 800.000 liter ongezuiverd rioolwater in waterlopen geloosd. De milieuschade was enorm.
Doos van Pandora
Die vervuiling in Australië was het gevolg van een doelbewuste en interne aanval. Sinds een aantal jaar duiken echter gesofisticeerdere computervirussen op die beheers- en controlesystemen van industriële infrastructuur onder vuur nemen. Het bekendste voorbeeld is Stuxnet. Algemeen wordt aangenomen dat het virus in 2010 ontwikkeld is om het Iraanse kernwapenprogramma te destabiliseren. Stuxnet verwierf de controle over centrifuges (gemaakt door het Duitse Siemens) waarmee uranium werd verrijkt. Die toestellen moeten heel precies zijn afgesteld. Het virus liet de apparatuur kapot draaien. Bovendien misleidde het de werknemers van het nucleaire lab. Zij zagen op hun schermen fictieve gegevens, zodat het virus lang ongemerkt bleef. Uiteindelijk zou Stuxnet ervoor zorgen dat een duizendtal centrifuges moest worden vervangen en dat het Iraanse atoomprogramma vertraging opliep. Een complete blokkering werd het niet, de productie van verrijkt uranium bleef zelfs stijgen.
Het is nog altijd onduidelijk wie achter het virus zit. De expert Ralp Langner vermoedde eerst dat Israël achter Stuxnet zat. Later zei hij dat de code zo complex is dat het virus enkel van de enige cybergrootmacht ter wereld kon komen: de Verenigde Staten. Langner was de eerste die ontdekte dat Stuxnet geen gewoon computervirus was en ook doelbewust de systemen van Siemens aantastte.
Ondertussen is Stuxnet al teruggevonden op computers in de VS, India, Indonesië, volgens malwarespecialist Symantec. Het virus is erg hardnekkig en kan zich goed verstoppen in andere software. Volgens Eric Bryes, een expert in computerbeveiliging van industriële systemen, kan Stuxnet zich op acht manieren verspreiden. Als het ene lek wordt geblokkeerd, is het virus zo slim een ander achterpoortje te zoeken. Die complexiteit maakt experts bang. Met Stuxnet is een doos van Pandora geopend, waardoor tal van nieuwe cyberwapens kunnen worden gemaakt als de code wordt aangepast. Duqu – dat informeel wordt omschreven als een zoon van Stuxnet – is gebaseerd op dezelfde code, maar heeft geen sabotage als doel. Duqu is er volgens Symantec op gericht informatie te verzamelen en te stelen van industriële systemen. Die gegevens kunnen op hun beurt wel voor sabotage worden gebruikt.
Evolutie in beveiliging
Experts zien dan ook een evolutie in de beveiliging. Bedrijven kunnen al lang niet meer teren op een soort virtuele Chinese muur die het bedrijfsnetwerk afschermt. Als malware die omzeilt, heeft het daarna zo goed als vrij spel. Ze moeten evolueren naar een beveiliging en bewaking in de diepte, met verschillende hindernissen; daarnaast is constante waakzaamheid noodzakelijk.
“Er is een dreiging, maar die moet ook niet overroepen worden”, zegt Geert Deconinck, professor aan de KU Leuven en expert in industriële beveiliging. “Door het koppelen van systemen kunnen bedrijven efficiënter werken. Dat heeft veel voordelen, maar dat betekent ook dat mensen met slechte bedoelingen toegang krijgen. Belangrijk is dat niet op één vorm van beveiliging wordt vertrouwd. Men kan de bescherming opdrijven door de bedreigingen in kaart te brengen, voor complexere communicatieprotocols te kiezen. Maar vaak gaat het ook om eenvoudige maatregelen zoals het dichtlassen van usb-poorten zodat geen externe opslagmedia aangesloten kunnen worden.”
In België waken verschillende overheidsinstellingen over cyberbeveiliging. Zoals in andere landen bestaat hier ook een ‘computer emergency response team‘ (CERT) dat snel in actie moet schieten bij pannes of aanvallen, en dat de maatregelen coördineert. Onlangs is er overigens een Europees-Amerikaanse oefening geweest waarbij onder meer een cyberaanval op een windmolenpark werd gesimuleerd.
Dat hackers controle krijgen over het elektriciteitsnetwerk en energiecentrales, is een van de nachtmerriescenario’s. In de recente stresstests van de Belgische kerncentrales hebben experts van uitbater Electrabel en het Federaal Agentschap voor Nucleaire Controle (FANC) de verdediging tegen een cyberaanval geëvalueerd. Volgens het voorlopige rapport van de FANC zijn de kerncentrales voldoende beveiligd waardoor een succesvolle cyberaanval zo goed als onmogelijk is. De besturings- en beschermingssystemen van de reactoren zijn nergens aan gekoppeld, de communicatie verloopt via kabels en ook ondersteunende computersystemen zijn voldoende beveiligd.
Het zijn niet alleen de centrales die we moeten bewaken, ook ons elektriciteitsnetwerk wordt kwetsbaarder. Het netwerk evolueert naar een smart grid om elektriciteitsverkeer van bijvoorbeeld zonnepanelen in goede banen te leiden. “De beveiliging ervan is geen onmogelijke opdracht”, verklaart Deconinck. “Sowieso zijn maatregelen nodig om de privacy van de gebruiker te beschermen of om te vermijden dat met de meters gefoefeld wordt. Voor een groot stuk kunnen de data al worden vergrendeld met bestaande oplossingen die nu al bij banken worden gebruikt.”
STIJN FOCKEDEY
“Belangrijk is dat bedrijven niet op één vorm van beveiliging vertrouwen”
Geert Deconinck (KUL)
Fout opgemerkt of meer nieuws? Meld het hier