De gevaren voor OT in de grote boze buitenwereld

By 19 augustus 2020 september 24th, 2020 Blog
Gevaren voor OT
Sharing is caring

Geen water meer dat uit de kraan komt, operatiezalen die onbruikbaar zijn, sluizen die niet meer open of dicht gaan of problemen met de energietoevoer. Problemen die kunnen ontstaan als operationele technologie (OT) wordt geraakt door cybercriminelen. Problemen, die soms voor nog grotere maatschappelijke ontwrichting kunnen zorgen dan wanneer de IT-kant geraakt wordt. Voor onder andere het produceren van medicijnen, het transport van water, de productie van olie, het beveiligen van panden en in de voedingsmiddelenindustrie wordt gebruik gemaakt van Industrial Control Systems (ICS). Het gaat daarbij om meet- en regelsystemen die binnen de vitale en industriële sectoren gebruikt worden voor het monitoren, uitvoeren en besturen van fysieke processen.

Deze systemen en gebouwbeheersystemen blijken steeds vaker vanaf het internet bereikbaar te zijn. Wat zijn de mogelijke gevolgen hiervan? Welke maatregelen kun je als organisatie nemen om meer grip hierop te krijgen? In dit artikel wordt er antwoord gegeven op deze vragen.

ICS/SCADA en gebouwbeheersystemen

ICS of industriële controlesystemen zijn belangrijk voor de maakindustrie. ICS-systemen zijn meet- en regelsystemen die binnen de vitale en industriële sectoren worden gebruikt voor het monitoren, uitvoeren en besturen van fysieke processen. Tot ICS-systemen worden veelal ook gebouwbeheersystemen gerekend. Daarbij kan je denken aan camerasystemen (CCTV) en klimaatregelsystemen (HVAC).

ICS wordt vaak in combinatie met SCADA gebruikt. Supervisory Control And Data Acquisition (SCADA) -systemen zijn computers met daarop SCADA-software. Deze worden gebruikt voor het bedienen en visualiseren van industriële processen.

De verzamelnaam voor zaken als ICS, SCADA en gebouwbeheersystemen is operationele techniek (OT). Steeds meer van deze systemen worden (in)direct aangesloten op het internet, zodat de aansturing van deze systemen vanuit een centraal punt kan plaatsvinden en processen worden geoptimaliseerd. Dat betekent een grote winst als het gaat om de inzet van beschikbare capaciteit, maar zorgt tegelijkertijd ook voor een groot risico. Veel van deze systemen zijn hier namelijk onvoldoende op voorbereid of ingericht.

Waarom is het belangrijk om OT te beschermen?

Systemen die worden gebruikt voor operationele processen hebben gemiddeld een levensduur van circa 20 jaar. In vergelijking met reguliere IT-systemen, die hebben een gemiddelde levensduur van circa 3 tot 5 jaar, is de levensduur van een OT-systeem dus veel langer. Het updaten en vervangen van deze systemen blijkt in de praktijk erg kostbaar, ook  omdat hierbij veelal gaat om maatwerksystemen die 24/7 draaien. Een productieproces even stilleggen voor een update is in de meeste gevallen geen optie. Daardoor kom je in een situatie waarbij er na een aantal jaren soms zelfs geen updates of patches meer beschikbaar zijn voor het desbetreffende systeem. Hierdoor ontstaat een hoge mate van kwetsbaarheid.

In het verleden werd ervoor gekozen om deze systemen te isoleren van het internet. Dit blijkt in de hedendaagse 24*7 economie geen optie meer. Het risico dat hiermee gepaard gaat is dat deze systemen kunnen worden gemanipuleerd of overgenomen. Een aanzienlijk risico als je bedenkt dat het hierbij gaat om systemen die onder andere de vitale infrastructuur in Nederland regelen! Als bruggen of sluizen open blijven staat, ontwricht dit het transport en daarmee de economie. Ook voor brandweer, politie en ambulance levert dit grote problemen op. Of wat te denken van een raffinaderij die ineens het productieproces moet stilleggen? Een tekort aan drinkwater? Allemaal gevolgen die kunnen voortvloeien als kwaadwillenden OT-systemen overnemen of manipuleren.

Welke maatregelen kun je nemen?

Kwetsbaarheden voor ICS/SCADA en gebouwbeheersystemen vormen een realistisch gevaar met een mogelijk grote impact. Om de veiligheid te vergroten, wordt aangeraden om de onderstaande set aan maatregelen te implementeren. Op deze manier wordt de kans op een succesvolle aanval kleiner.

Minimaliseer de toegang tot het internet
Beperk de toegang van ICS/SCADA-apparaten vanaf het internet. Dit kan bijvoorbeeld door het gebruik van firewalls, Virtual Private Networks (VPN’s) of Virtual Local Area Networks (VLAN’s). Alleen apparaten die externe communicatie moeten hebben om te kunnen functioneren, mogen een directe verbinding met het internet hebben.

Zeer regelmatig updaten
Inventariseer dagelijks of er nieuwe updates zijn en installeer deze tijdig. Wanneer het niet (meer) mogelijk is om de software te updaten, zorg er dan voor dat het apparaat niet toegankelijk is via het internet.

TCP/UDP poortnummers wijzigen
Om te voorkomen dat ICS/SCADA-apparaten gemakkelijk te vinden zijn, dienen de standaard TCP/UDP-poortnummers van ICS te worden gewijzigd. Hoewel deze aanbeveling de vindbaarheid van een apparaat niet onmogelijk maakt, wordt het hierdoor wel lastiger voor de aanvaller om informatie over het product te achterhalen.

Minimaliseer het internetverkeer
Gebruik technieken om het netwerkverkeer in relatie tot ICS/SCADA-diensten te beperken. Een voorbeeld van een dergelijke techniek is het white listen van legitieme gebruikers. Het beperken van het verkeer biedt niet alleen bescherming tegen mogelijke hackpogingen, maar ook tegen Denial-of-Service (DoS) en/of brute force aanvallen.

Hardening van systemen
Hardening van de apparaatconfiguratie gebeurt door het uitschakelen van overbodige functionaliteiten en diensten. Dit proces omvat ook het verwijderen van ongeautoriseerde gebruikers, het (laten) wijzigen van standaard wachtwoorden en het verwijderen van onnodige software- en hardwaremodules. Het doel hiervan is om het potentiële aanvalsoppervlak te verkleinen.

Configuration Management Database onderhouden
Het onderhouden van een volledige en juiste Configuration Management Database (CMBD) is essentieel. Dit is een database van alle software, hardware en licenties die een organisatie in het bezit heeft. Op deze manier is het gemakkelijker om vast te stellen of nieuw ontdekte kwetsbaarheden een bedreiging kunnen vormen.

Periodiek onderzoeken kwetsbaarheden
Bewaak en beoordeel de online vindbaarheid en kwetsbaarheid van de ICS/SCADA-apparaten. Organisaties die zich zorgen maken over hun beveiliging zouden moeten overwegen om regelmatig gebruik te maken van professionele “security red-teams” die de kwetsbaarheden van apparaten binnen een ICS/SCADA-infrastructuur proberen te onderzoeken.

Logging en monitoring
Het bijhouden van een logboek, het opsporen van mogelijke scans en het detecteren van aanvallen in een zo vroeg mogelijk stadium. Intrusion Detection Systems (IDS) en flow-measurement systemen zijn voorbeelden van systemen die hierbij kunnen helpen. Dit kan tevens een belangrijke maatregel zijn wanneer systemen verplicht moeten draaien om bedrijfkritische processen te continueren, deze systemen toegankelijk moeten zijn via het internet en er geen updates meer worden aangeboden door de leverancier.

Tot slot

Zelfs wanneer al deze maatregelen zijn getroffen, bestaat de kans dat een OT-systeem doelwit is van een succesvolle aanval. Dit kan bijvoorbeeld komen doordat er sprake is van een nog niet eerder ontdekte kwetsbaarheid, een zogenaamde zero-day. De bovenstaande maatregelen kunnen de kans op een succesvolle aanval dus niet volledig uitbannen, maar wel tot een acceptabel minimum verkleinen.

Het is erg kostbaar en waarschijnlijk niet mogelijk om al deze maatregelen tegelijkertijd te implementeren. Daarom is het verstandig om eerst een risico assessment uit te voeren en daarmee inzicht te krijgen in de grootste pijnpunten. Vervolgens kan worden vastgesteld wat de zogenaamde ‘quick-wins’ zijn. Al deze gegevens samen bieden handvatten om een risico gebaseerde aanpak te hanteren om zo de impact op kritische bedrijfsprocessen te minimaliseren.