Beheer
‘In 2025 gebruiken hackers killware om mensen te vermoorden’
Bestuurders gaan persoonlijk aansprakelijk worden gesteld.
Bestuurders gaan persoonlijk aansprakelijk worden gesteld.
Het is een kwestie van tijd voordat hackers malware gaan inzetten met als doel om mensen te vermoorden. In 2025 zal ‘killware’ al gebruikelijk zijn. Die macabere voorspelling doet Wam Voster, senior director bij Gartner Research tijdens het kennisevenement Cyber Security voor industriële controlesystemen.
Operational Technology (OT)-systemen worden een steeds interessanter doelwit voor hackers. En de gevolgen daarvan worden steeds groter. Malware is lange tijd - op uitzonderingen na - redelijk onschuldig gebleven, zo betoogt Voster aan tafel bij het kennisevenement. Maar daar komt dus verandering in. Een voorbeeld: eerder dit jaar werd een waterzuiveringsinstallatie in de Amerikaanse staat Florida aangevallen. “Een beveiliger zag zijn muis bewegen en de hoeveelheid chloor worden opgehoogd. De aanvaller wilde niet zomaar een beetje rondspelen in het systeem, die wilde mensen doden”, zo vertelt Voster.
De hacker kon inbreken op teamviewer en wist vervolgens het wachtwoord en ook hoe hij de hoeveelheid van het stofje kon verhogen. “Het was geen ingewikkelde hack. Dat maakt het nog zorgelijker. Maar dit wordt wel de standaard. Het is mogelijk om dit soort aanvallen remote uit te voeren vanuit je slaapkamer en dat is best griezelig.” Volgens Voster zal ‘die lijn zich extrapoleren’. “Een OT-systeem is niet een doel. Het is een middel. Het doel is om mensen te doden.”
Voster schetst ook het scenario waarin hackers een winkelcentrum aanvallen, de deuren op slot zetten, de airco uitzetten en de verwarming en sprinklers aan doen. “In 2025 kunnen hackers mensen vermoorden met behulp van industriële controlesystemen. Het klinkt nog ver weg. Maar dat komt eraan. En bestuurders zullen hoofdelijk aansprakelijk gesteld worden. Dat kan lange gevangenisstraffen opleveren.” In Frankrijk zou er volgens Voster al een directeur van een bedrijf persoonlijk beboet zijn nadat er fouten werden gemaakt.
Eén keer mazzel is voldoende
Bij een gemiddelde organisatie werken zo’n twintig mensen om de digitale veiligheid te waarborgen, vertelt Voster. “Er zijn landen die legers van 80.000 hackers hebben. Dan ben je dus met 1 tegen duizenden.” Een ander probleem is dat een verdediger 100% succesvol moet zijn, terwijl een aanvaller maar één keer mazzel hoeft te hebben. Voster: “De term ‘killware’ is in het leven geroepen om de wereld wakker te schudden. De volgende malware zal als doel hebben om mensen plat te leggen, in plaats van systemen.”
Ivan Flos, dreigingsanalist bij het Nationaal Cyber Security Centrum (NCSC), ziet dat Operational technology (OT) steeds interessanter wordt voor criminelen. “De focus lag eerst vooral op de IT, maar omdat downtime heel serieuze consequenties kan hebben is de operationele component heel interessant geworden voor criminelen, omdat bedrijven en organisaties dan sneller bereid zijn om losgeld te betalen.”
Flos ziet om zich heen OT steeds vaker worden aangevallen. “Een groot voorbeeld is de Colonial Pipeline in mei afgelopen jaar. Daar werd in eerste instantie de IT-systemen binnengedrongen. Een uur nadat de ransomware binnenkwam is de hele pijplijn stilgelegd. Dat duurde vijf dagen en het leverde enigszins paniek op. De Colonial Pipeline is verantwoordelijk voor de helft van de toevoer van olie naar de VS. Er werd 4,4 miljoen euro betaald aan losgeld.”
"Bij een gemiddelde organisatie werken zo’n twintig mensen om de digitale veiligheid te waarborgen, vertelt Voster. “Er zijn landen die legers van 80.000 hackers hebben. Dan ben je dus met 1 tegen 8.000.” "
80.000 / 20 = ....
Ooit, nog in PTT-tijd maakten we ons terecht zorgen over de mogelijkheid dat kwaadwillenden toegang tot de telefoonsystemen van die tijd konden krijgen en was er (toen nog geheim) project waar slimme hackers toen probeerden zwakke plekken in onze systemen te vinden. Inmiddels worden die dedicated, leagacy telecomsystemen vervangen door cloudbased applicaties in een generiek IP-based netwerk. Omdat IP en allerlei Webbased diensten in een -ten onrechte weten we nu- sfeer van vertrouwen zijn opgebouwd is extra waakzaamheid geboden. Eén van de basisregels die zowel in mijn PTT als KPN tijd werd gevolgd was om toegang voor beheerstaken ten principale niet uit initiatief van de beheerder toe te staan en het netwerk daarvoor was ook verbijzonderd. In de huidige IP-omgeving wordt alles qua communicatie over één en hetzelfde netwerk gevoerd en is het verleidelijk om alleen te vertrouwen op bescherming binnen de in het beheer software. Softwarebevat per definitie altijd fouten en lekken die voor kwaadwilligen toegang bieden, dat waterzuiverings voorbeeld mag dus geen verbazing wekken. We moeten overigens nooit vergeten dat er ook altijd mensen in je organisatie zitten die zich tegen betaling of uit frustratie lenen voor kwaadwillige acties van anderen. Ook daarvoor heb ik ooit in mijn PTT/KPN tijd meegewerkt aan studies hoe die menselijke factor zoveel mogelijk in te perken. Aan de recente cases bij de landelijke politie kan je zien waarop je qua beveiliging zoal door informanten kan worden uitgespeeld.