Beheer

Security
SCADA system controlekamer

Beveiliging SCADA loopt jaren achter

Leveranciers van SCADA-systemen doen nog altijd weinig aan beveiliging

controlekamer © Shutterstock nostal6ie
1 december 2011

SCADA-systemen zijn welhaast per definitie niet veilig. Leveranciers van deze systemen doen nog altijd weinig aan beveiliging. Ook een virus als Stuxnet heeft daar maar weinig aan veranderd. Voor hackers zijn de SCADA-systemen daarom een luilekkerland, terwijl de gevolgen van een hack bijzonder verstrekkend kunnen zijn.

Stefan Lüders, hoofd IT-beveiliging bij CERN in Zwitserland, heeft bitter weinig vertrouwen in de veiligheid van SCADA-systemen. Tijdens het GOVCERT-symposium eerder deze maand gaf hij een presentatie met de veelzeggende titel ‘Why control system cyber security sucks’.

CERN, de Europese organisatie voor nucleair onderzoek, heeft een SCADA-systeem in zijn controlecentrum. Uit een test in 2007 bleek dat een derde van de PLC’s, de programmeerbare logische besturingseenheden waar SCADA-systemen die CERN gebruikte, tijdens de test down ging of ‘verdween.’ Veel PLC’s en controleapparatuur bleken totaal niet beschermd. Dat geldt voor veel kleine meetinstrumenten, ethernetpoorten, legacysystemen. Lüders: “Veel leveranciers negeren het probleem van de beveiliging geheel. Certificatie ontbreekt hier ook totaal. Ja, Wurldtech en Achilles testen wel maar die testen worden door de leverancier betaald. En de resultaten zijn niet openbaar. Wat heb je daar aan?”

Dat leveranciers weinig interesse hebben in beveiliging bleek dit voorjaar eens te meer toen veertig Windows-systemen van CERN geïnfecteerd bleken. CERN merkte dat het bij veel systemen zelf het standaardwachtwoord niet kon veranderen. Van een moderne toegangspreventie was in het geheel geen sprake. Ook stonden “zonder dat wij het wisten allerlei vreemde poorten open. En volgens de leveranciers was dat voor hun onderhoudspersoneel, dus die poorten konden niet dicht.”

Jonathan Pollet van het Amerikaanse Red Tiger Security, dat geheel gespecialiseerd is in SCADA-beveiliging, is ook niet te spreken over de leveranciers. “Door Stuxnet liggen de leveranciers nu sterk onder vuur om maar met veiligere systemen te komen. Maar daar zijn ze niet toe in staat. Ze zijn er echt nog niet klaar voor. De meeste systemen zijn opgebouwd uit vele onderdelen die afkomstig zijn van vele leveranciers en die ook niet ontworpen zijn door die ene leverancier. Testen doen ze op functioneren, meer niet. Ze hebben doodgewoon de skillset niet om er beveiliging aan toe te voegen. Je moet maar hopen dat de boodschappen van hun klanten aankomen. Ze doen er al jaren niets aan en lopen enorm achter. Een leverancier als Rockwell doet nu bijvoorbeeld wel zijn best, maar de achterstand is zó groot.”

Uitnodigende structuur

Pollet wijst erop dat de structuur van een SCADA-systeem erg uitnodigend is voor hackers. “De meeste SCADA-systemen draaien op Windows. Er staan routers, firewalls, switches, servers en werkstations onder Windows. Dat is makkelijk voor criminelen, dat kennen ze. Daarbij is er nog de trend dat de servers in het datacentrum geplaatst worden, buiten de afdeling zelf. Het lijkt gewoon steeds meer op een businessnetwerk, met als grootste verschil dat er in het geheel geen beveiliging op is.” Bovendien kan het doorvoeren van Windows-patches op grote problemen stuiten in SCADA-systemen. Sommige patches botsen met de SCADA-systemen en kunnen die platleggen. Gevolg is dat er vaak voor wordt gekozen maar niet te patchen, wat de kwetsbaarheid zo mogelijk nog vergroot.

Wat ook niet helpt is dat een SCADA-systeem uit deelsystemen bestaat – zoals een bedrijfsnetwerk, een distributiemanagementnetwerk en een netwerk met de industriële systemen erop – waartussen de data verstuurd worden. Pollet: “En dat zorgt voor gaten. Die netwerken zijn vaak gescheiden door een firewall – een zone-model. Het is heel makkelijk om zo’n systeem binnen te komen.”

Hoewel er nu enkele virussen bekend zijn die het op de SCADA-systemen hebben gemunt, zijn er nog weinig aanvallen bekend. Pollet: “We zien wel dat ze vooral informatie stelen om te leren hoe de SCADA-systemen werken. Dat zet je wel aan het denken over wat er aan zit te komen. Ik denk dat ze de boel klaar zetten om op een later moment aan te vallen. Dat kunnen ze zó makkelijk.”

Lüders heeft in elk geval zijn maatregelen getroffen om het CERN zo goed mogelijk te beschermen voor aanvallen. “Ik wil preventie, protectie, detectie en respons. Ik wil een diepe defensie; dus op het niveau van de apparaten, van de hardware, van het netwerk, de firmware, het besturingssysteem, applicaties, netwerk protocollen en gebruikersintegratie. Op elke laag van je systeem moet je controlesysteem voor cyber security zorgen.”

Patchen is nodig, maar het kan tot problemen leiden bij de SCADA-systemen en is daardoor moeilijk. “Dat hebben we daarom dus gedelegeerd naar de experts. Bij hen ligt de verantwoording en ze mogen er flexibel in zijn. Er moet gepatcht worden, maar niet onmiddellijk. Zij besluiten wat en wanneer gepatcht wordt. Ik eis wel dat alles wat onder Windows draait, voorzien is van up-to-date antivirussoftware.”

Integratie in een standaard-identiteitsbeheersyteem blijkt ook problematisch, maar mag volgens Lüders niet ontbreken. CERN gebruikt het SCADA-systeem ETM PVSS van Siemens, dat volledig geïntegreerd is met het identiteitssysteem CERN Central IdM. Lüders: “De toegang moet geheel gepersonaliseerd zijn. Te veel nog wordt gebruikgemaakt van gemeenschappelijke wachtwoorden. Dat mag niet meer.”

Volgens Lüders zijn er veel maar geen goede standaarden voor de invoering van een veilig SCADA-systeem. “Kies er toch maar een, maakt niet uit welke. Gebruik het als een checklist, zodat je niets overslaat.” En bij de keuze van een leverancier moet een organisatie eerst goed uitzoeken hoe die leverancier de beveiliging aanpakt. Lüders: “Want heel veel snappen het nog steeds niet.”

Mensen grootste probleem

Maar al zijn inspanningen ten spijt, loopt Lüders toch tegen een heel groot intern struikelblok aan. “Ik kan neerzetten wat ik wil – de helft van de problematiek is een sociaal probleem. Mensen hebben een eigen agenda, zijn tegen veranderingen, snappen het niet, willen het anders.” Bij het CERN moet daarom elke gebruiker elke drie jaar op beveiligingscursus. Af en toe weten die medewerkers van CERN hem echter geheel te verbijsteren. “Dan moet ik dus mensen van veertig uitleggen wat phishing is en dat ze hun wachtwoord niet naar vreemden mogen e-mailen. Ik heb meegemaakt dat er één zijn wachtwoord dus maar stond te faxen, want dat zou veiliger zijn!”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!