Helft nutsbedrijven had cyberaanval

19 februari 2010

McAfee ondervroeg zeshonderd leidinggevenden van bedrijven met vitale infrastructuren in veertien landen.
“Dit soort bedrijven streeft naar een situatie waarin niemand meer op de productielocaties aanwezig hoeft te zijn. Het beheer vindt plaats vanaf het hoofdkantoor of zelfs bij de verantwoordelijke thuis”, zegt Damiano Bolzoni, projectleider aan de Universiteit Twente en oprichter van IT-beveiliger SecurityMatters. Hij start in maart met het Midas-project, dat in vier jaar tijd de Nederlandse nutsbedrijven moet voorzien van een raamwerk voor afdoende beveiliging tegen cyberaanvallen. Zonder in details te willen treden, beaamt Erwin van der Zwan, woordvoerder van het Nationaal Adviescentrum Vitale Infrastructuur (NAVI), dat de situatie in Nederland niet veel afwijkt van de door McAfee geschetste situatie.


Controlesystemen op industriële processen worden gevat onder de noemer ‘supervisory control and data acquisition’ (SCADA). Deze netwerken hadden jarenlang profijt van fysieke beveiliging, omdat ze niet gekoppeld waren aan andere netwerken, legt Bolzoni uit. Bovendien maken ze gebruik van veel bedrijfseigen protocollen waardoor het lastig is de processen te begrijpen. Met de koppeling aan internet komt daar snel verandering in. Bolzoni: “Wanneer de pc thuis wordt gekoppeld aan SCADA, introduceer je alle kwetsbaarheden van de pc thuis ook op het vitale netwerk.” Volgens de onderzoeker heeft dat in Nederland tot nog toe een keer geleid tot de ontregeling van een controlepaneel gedurende enkele uren. Via een beveiligde verbinding met een thuis-pc was een Slammer-worm een energie-installatie binnengedrongen.


Ook de introductie van slimme meters is een punt van zorg voor het NAVI, zegt Van der Zwan. “Je introduceert een geografisch sterk gespreid toegangsnetwerk tot de systemen die vraag en aanbod van energie op elkaar moeten afstemmen. De beveiliging moet dus goed op orde zijn.”
Volgens Bolzoni is de dreiging aanzienlijk. De SCADA-systemen zijn veelal gebaseerd op dezelfde technologie. “Dus als er een misser in zit, is het niet moeilijk te bedenken wat er gaat gebeuren.”

De beloning voor de hacker is aantrekkelijk. Een storing is een SCADA-systeem levert al snel uitval van energie- of watervoorziening van een flinke hoeveelheid huishoudens of kan een ernstige vervuiling teweegbrengen wanneer processen in een chemische fabriek ontsporen. Bolzoni: “In zeker zin is het makkelijker een energie-installatie te kraken dan een vliegtuig neer te laten storten. Er is nu veel aandacht voor de bescherming van de luchtvaart maar voor de vitale infrastructuren is veel minder aandacht. Toch is de impact groter.” De McAfee-onderzoekers wijzen bovendien op het herstel van de systemen. De downtime van de vitale systemen kostte in de in Amerika gerapporteerde gevallen meer dan 6 miljoen dollar per dag.

De SCADA-netwerken werken doorgaans met reguliere TCP/IP-verbindingen gebaseerd op ethernet. Toch bieden de reguliere ‘intrusion detection’-systemen geen bescherming omdat er geen ervaring is met de specifieke aanvallen op SCADA-systemen. De SCADA-protocollen zijn bedrijfseigen, dus ook al is het mogelijk te zien wat er op het netwerk gebeurt, de betekenis van het netwerkverkeer is niet duidelijk. Dat is een heel verschil met het beveiligen van een webserver waar je precies kunt nagaan welke acties worden uitgevoerd.

Het ministerie van Binnenlands Zaken en Koninkrijksrelaties schreef in mei vorig jaar een aanbesteding uit voor een onderzoek naar de beveiliging van SCADA-systemen. Ofschoon nog niet alle contracten zijn getekend, gaat Bolzoni ervan uit in maart te kunnen beginnen aan het Midas-project. Aan het project nemen verschillende bedrijven deel, waaronder de nutsbedrijven Gasunie, Alliander, Brabantwater, Waternet maar ook ABB Nederland, producent van SCADA-controllers en Fox IT als specialist in reguliere IT-beveiliging.

In de looptijd van het Midas-project wordt een SCADA-beveiliging gecreëerd op basis van ‘anomaly-based intrusion detection’. Bolzoni heeft zich gespecialiseerd in deze vorm van beveiliging. In plaats van bescherming te bieden met behulp van ‘signature’-bestanden, die steeds moeten worden ververst, leert het systeem wat het reguliere gedrag is van applicaties op het netwerk zonder te begrijpen wat ze precies doen. Bij een afwijking van dit gedragspatroon slaat het systeem alarm. Vervolgens moet een IT-beveiliger wel controleren wat de oorzaak van het abnormale gedrag is. In Midas is dan ook een belangrijk deel van de onderzoekstijd gereserveerd voor het inrichten van een goede gebruikersinterface.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!