Innovatie & Strategie

Security
vitale infra

Digitalisering in de industrie ‘kost’ cyberweerbaarheid

Groeiende afhankelijkheid van industriële IT vereist nu echt meer security-inzet.

© CCO Creative Commons 127071
4 mei 2020

Groeiende afhankelijkheid van industriële IT vereist nu echt meer security-inzet.

De digitale veiligheid van industriële IT-middelen is “onvoldoende op orde”, constateert de Cyber Security Raad (CSR) die de Nederlandse overheid nu adviseert om maatregelen te nemen. Het gaat niet om een brandbrief, legt de raad uit aan AG Connect. Maar er is wel sprake van risico’s: voor misbruik en daarlangs maatschappelijke ontwrichting.

IT-security geniet de laatste jaren meer en meer aandacht, mede door de toegenomen afhankelijkheid van ICT-middelen. En door een groeiend besef van die afhankelijkheid. De Nederlandse maatschappij en economie draaien volop op ICT, wat in de coronacrisis nog eens extra benadrukt wordt. Security van industriële IT krijgt echter minder aandacht, wat een risico vormt. Deze op zich niet nieuwe situatie vereist aanpak, aldus de Cyber Security Raad in een nieuw advies aan de overheid.

Nederland kwetsbaar

Nederland is namelijk kwetsbaar doordat de cyberweerbaarheid van industriële systemen ondermaats is. De CSR komt tot de conclusie dat de beveiliging van meet- en regelsystemen (Industrial Automation & Control Systems, IACS) in de vitale infrastructuur niet op orde is. Het adviesorgaan stelt dan ook dat er werk aan de winkel is en reikt de overheid concrete maatregelen aan.

De Cyber Security Raad haalt bij het beveiligingsadvies voor IACS naast sluizen ook bruggen, energie- en waterdistributie, drinkwaterreiniging, openbaar vervoer, en andere essentiële voorzieningen aan. Deze hebben allen betere beveiliging nodig, stelt de raad. En die taak is volgens het advies aan de overheid niet iets wat direct betrokken organisaties alleen kunnen of moeten aanpakken. Organisaties moeten daar dus ondersteuning bij krijgen, aldus één van de aangereikte maatregelen.

Met het adviesdocument luidt de CSR niet direct de noodklok, vertelt Claudia de Andrade-de Wit aan AG Connect. Zij is lid van de raad namens het CIO Platform, en daarnaast CIO en director Digital & IT bij de Port of Rotterdam. “De Cyber Security Raad geeft advies aan het kabinet en zet zich op strategisch niveau in om de cyberweerbaarheid in Nederland te verhogen."

Daarbij volgt de raad ook trends en nieuwe technologische ontwikkelingen om die - indien van toepassing - om te zetten in strategische adviezen. Die adviezen bevatten dan mogelijke maatregelen om risico’s voor cybersecurity te verkleinen én om economische kansen te vergroten.

Cyberrisico’s (en economische impact daarvan) spelen al geruime tijd voor industriële IT. Zo was het in december 2017 groot nieuws dat de waterschappen in Nederland worstelen met beveiligingsupdates voor sluizen en gemalen. De programmable logic controllers (plc’s) die onder meer de besturing van de sluisdeuren regelen gaan 25 tot 30 jaar mee, maar ze worden doorgaans hooguit vijf jaar ondersteund met beveiligingsupdates, zo wist AG Connects zustertitel Binnenlands Bestuur toen te onthullen.

Woorden en daden

Enkele dagen daarna wist de toenmalige minister van Infrastructuur en Waterstaat dit te ontkennen. Tenminste, wat betreft cruciale sluizen en gemalen, waar Rijkswaterstaat voor bescherming zorgt die volgens de bewindsvrouw goed genoeg is om hackaanvallen te weerstaan. Voor andere, niet-cruciale sluizen zijn de waterschappen verantwoordelijk en met hen zou het kabinet gaan praten over de beveiliging. De crux leek te zitten in het wel of niet aangesloten zijn op internet.

Wat echter ook meespeelt, is of systemen indirect benaderbaar zijn via internet. De trend zat daarbij tegen, al enkele jaren. Besturingssystemen van waterstaatswerken worden steeds vaker geïntegreerd met ‘gewone’ IT-voorzieningen en gekoppeld aan internet, wist AG Connect begin 2014 al te melden. Daardoor ontstaan nieuwe veiligheidsvraagstukken voor industriële IT-systemen, waaronder ICS en ook SCADA (supervisory control and data acquisition).

Patchkosten

Eind 2018 waarschuwde Binnenlands Bestuur dat de kans op het hacken van sluizen en gemalen stijgt. De mogelijkheden en kansen voor hackers om Industrial Control Systems (ICS) die via internet toegankelijk zijn daadwerkelijk te misbruiken, is groot. Dit kwam naar voren uit het rapport ‘Digitale Hygiëne in Nederland’ van de non-profit security-organisatie GDI.Foundation.

Patchen bij ICS is lastig, duur en mogelijk verstorend, wat dus weer maatschappij-ontwrichtend kan zijn. En soms kan patchen niet eens. Het gevaar dreigt vooral voor oude systemen die niet regelmatig vervangen worden, zo was toen de conclusie. Het patchen van industriële IT loopt uit de pas met de huidige mogelijkheden en bekende kwetsbaarheden, was de boodschap eind 2018.

Generieke ICT + problemen

Nu, in 2020, is de situatie niet bepaald verbeterd. Het uit de pas lopen lijkt niet op grote schaal of over de volle breedte te zijn verbeterd. De Cyber Security Raad schrijft in het advies nu dat IACS steeds meer gebruikmaken van generieke ICT-middelen, en dat daarmee ook standaard ICT-problemen in de industriële automatisering worden geïntroduceerd. Gebrek aan aandacht voor de beveiliging is een punt van zorg, wat aangepakt moet worden.

“In het kader van de bescherming van onze vitale infrastructuur spelen IACS een essentiële rol en verdienen daarom structureel onze aandacht”, luidt het advies aan het kabinet. “Het uitbuiten van de kwetsbaarheden in IACS, kan tot grote economische schade en maatschappelijke ontwrichting leiden. Desondanks gaat in Nederland de meeste aandacht naar cybersecurity van ICT”, schrijft de CSR in het advies.

Nog niet mis gegaan

Deze relatieve verwaarlozing valt te verklaren uit het feit dat tot op heden Nederland en veel andere landen zijn gevrijwaard van IACS-gerelateerde cyberincidenten in de vitale infrastructuur met grote impact. “We kunnen echter niet achterover leunen en denken dat het niet zo’n vaart zal lopen.”

De Cyber Security Raad verwijst naar grote incidenten met flinke ontwrichtingen die buiten de vitale infrastructuur en buiten West-Europa hebben plaatsgevonden. Dit zijn NotPetya, wat onder meer in Nederland en het Verenigd Koninkrijk huis heeft gehouden, en BlackEnergy in Oekraïne, naast nog het beruchte Stuxnet in Iran. Laatstgenoemde is in 2010 ontdekt en heeft toen veel ogen geopend voor de risico’s, maar in de tien jaar sindsdien is er geen fundamentele verandering gerealiseerd.

Tien jaar lang/kort

In de IT-wereld is tien jaar een flinke tijd, waarin veel verandert. In de industriële wereld is tien jaar echter een veel minder grote tijdsspanne. De Andrade-de Wit spreekt van contracten voor apparatuur met looptijden van tien, vijftien of wel vijfentwintig jaar. Daarbij is IACS een klein onderdeel van het algehele contract voor de bouw van bijvoorbeeld een sluis, brug, energiecentrale of ander industrieel project.

Zij legt uit dat de industrie een hele andere dynamiek kent, en dat er in de IT-wereld veel kortere cycli zijn. Verder zijn IT-trends als security-by-design nog nieuw voor industriële IT-systemen. Één van de adviezen die de CSR nu geeft, is om hier meer rekening mee te houden bij het opstellen en afsluiten van contracten. “Bij IACS moet je ook eisen stellen”, om de beveiliging te adresseren en te borgen. Dat omvat dan ook langdurige ondersteuning voor de IT-component in industriële installaties.

Storingen en verstoringen

Op zich is cybersecurity van alle tijden, zegt De Andrade-de Wit, maar digitalisering ontwikkelt zich steeds sneller. Daarmee kan de kloof en ook de kwetsbaarheid toenemen. Daarbij is beveiliging geen concreet einddoel, mede door de aanhoudende ontwikkelingen. Er is voortdurend aandacht nodig om de IACS van de vitale processen op orde te houden of te brengen, stelt het raadslid van de Cyber Security Raad.

Een belangrijke constatering daarbij is het feit dat niet-vitale processen verweven zijn met vitale infrastructuur en dat IACS vaak indirect gekoppeld zijn aan het internet. Hierdoor kan een bedoelde of onbedoelde verstoring op de gehele keten een flinke impact hebben. Overigens gaat het hier om de klassieke definitie van ‘vitale infrastructuur’. Recente geluiden om ook datacenters te scharen onder vitale infrastructuur zouden voor verdere verweving en complicatie zorgen.

Voorbij grenzen gaan

Vanwege de inschatting van ketenverstoring in het huidige beeld is het volgens de Cyber Security Raad dan ook “raadzaam om ons te focussen op de vitale processen en niet alleen de vitale sectoren”. De achterliggende gedachte is dat daardoor alle organisaties en leveranciers in de keten zichtbaar worden. Hierbij haalt de raad eerdere onderzoeken aan van de WRR (Wetenschappelijke Raad voor het Regeringsbeleid) en van TNO waarin al de risico’s zijn benoemd van (nieuwe) ketenafhankelijkheden voor IACS. En dat ook op sectoraal én cross-sectoraal niveau.

Bovendien doorkruist beveiliging nog andere grenzen, zo merkt de Cyber Security Raad op. De internationale component mag niet uit het oog worden verloren. “De afhankelijkheid van veel vitale processen, zoals bij energie, stopt niet bij de landsgrens. Cascade-effecten kunnen zowel in een land als over en weer tussen landen plaatsvinden. Ook daar moeten we in ons land op ingesteld zijn”, aldus het advies.

In het advies dat is aangeboden aan het kabinet schetst de raad de implicaties voor de Nederlandse maatschappij en economie. “De toenemende connectiviteit van IACS in combinatie met verouderde systemen (legacy) maken de vitale infrastructuur kwetsbaar voor onopzettelijke uitval en voor kwaadwillende actoren.”

Gecoördineerde aanvallen

“Het is dan ook voorstelbaar dat er in de toekomst gecoördineerde, gelijktijdige aanvallen zullen plaatsvinden op de vitale infrastructuur.” Volgens de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) is het niet alleen voorstelbaar, maar nu al aan de orde. De Nederlandse inlichtingendienst waarschuwt in zijn jaarverslag 2018 dat statelijke actoren proberen om zich toegang te verschaffen tot vitale processen.

In het AIVD-jaarverslag over 2019, dat enkele uren na het CSR-advies is uitgebracht, blijkt dat die pogingen ook enig succes hebben opgeleverd. De AIVD constateert dat bepaalde landen zich al hebben ingenesteld in ICT-systemen van onder meer de vitale infrastructuur. Acute dreiging voor digitale aanvallen is er daarbij nu niet, oordeelt de dienst. “Momenteel ontbreekt het staten aan de intentie om digitale sabotage tegen Nederland in te zetten. Deze intentie is echter veranderlijk en afhankelijk van geopolitieke ontwikkelingen.”

De Cyber Security Raad schrijft in zijn advies dan ook: “We moeten ons realiseren dat het dreigingslandschap voortdurend in beweging is. Door nieuwe dreigingen en ketenafhankelijkheden kan blijken dat bepaalde objecten kwetsbaarder worden, waardoor andere of extra maatregelen nodig zijn.” Dat leidt er op zijn beurt weer toe dat er andere of extra middelen en mensen ingezet moeten worden.

In de praktijk blijkt het nog te ontbreken aan voldoende aandacht van de boardroom, terwijl cyberweerbaarheid volgens de raad wel een zaak is voor die hoogste bestuurslaag. Ook de overheid schiet tekort in zijn regie- en voorbeeldrol. Een voorbeeld is het achterlopen van de waterkeringen op de planning voor de digitale weerbaarheid.

Afweer en uitval

Naast het beter beveiligen van industriële IT tegen aanvallen, moet er ook werk worden verzet om beter bestand te zijn tegen uitval van diezelfde industriële IT-systemen. Nederland is onvoldoende voorbereid op de gevolgen van IACS-uitval, stelt de Cyber Security Raad. Hij echoot daarmee eerdere ‘oordelen’ van de WRR (in het adviesrapport ‘Voorbereiden op digitale ontwrichting’) en het Nationaal Cyber Security Centrum (in het Cybersecuritybeeld Nederland 2019).

Het kabinet krijgt in dit nieuwste advies over cybersecurity echter niet alleen waarschuwende woorden. Het document sluit af met een reeks concrete maatregelen die zijn verdeeld naar de portefeuilles van de betrokken bewindspersonen. Zo geeft de Cyber Security Raad een haast ‘hapklare’ set maatregelen, waarmee het beveiligingsgebrek door digitalisering van industriële systemen valt aan te pakken. “Dat geeft wel handelingsperspectief”, zegt raadslid De Andrade-de Wit positief over het opvolgen van de aangereikte adviezen.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.