Kritische infrastructuur zeer kwetsbaar

24 september 2010
Iedereen met een boven-gemiddeld verstand van computers kan een kritische infrastructuur lamleggen. Belangrijke industriële processen worden niet meer beveiligd door gespecialiseerde hardware en software, maar bewaakt door huis-tuin-en-keuken-computers. Het zal echter nog jaren duren, concludeert Maarten Oosterink, voordat internationale standaarden volledig beschikbaar zijn voor een kritische infrastructuur.

Specifieke standaarden Gebruikers in de voorhoede De ‘kritische infrastructuur’ staat de laatste tijd volop in de belangstelling. Je zou haast van een hype kunnen spreken. Een mogelijke oorzaak is dat aanbieders van oplossingen voor informatiebeveiliging tijdens de recessie op zoek zijn gegaan naar nieuwe markten. Maar er is zeker ook sprake van een toegenomen dreigingsniveau. Bovendien is de impact van een incident vaak groter. De toegenomen aandacht is dus tenminste deels terecht.

Met een kritische infrastructuur wordt in dit artikel automatisering bedoeld die gebruikt wordt voor de besturing van belangrijke (industriële) processen. Dit kan variëren van de besturing van bruggen en sluizen tot de veiligheidssystemen die waken over een veilig en beheersbaar proces in een kerncentrale. Waar degelijke systemen in het verleden vooral gesloten en specifiek waren, zijn het nu veelal computers die ook op kantoren worden gebruikt en die meestal Windows als besturingssysteem hebben. Hoewel individuele systemen niet per se als kritisch bestempeld hoeven te zijn, kan het uitvallen van deze systemen tot keteneffecten leiden en grote gevolgen hebben. Denk bijvoorbeeld aan de uitval van een ADSL-server in een wijkcentrale. Nu veel pinautomaten via ADSL werken, kan de uitval ervan een winkelcentrum lamleggen.

Een goed voorbeeld van de toegenomen dreiging is de Stuxnet-worm van juli. Deze aanval richt zich specifiek op applicaties van Siemens die gebruikt worden voor de besturing van industriële processen. Siemens is een van de weinige fabrikanten die systemen leveren aan landen als Iran en Syrië. Volgens Symantec bevindt zich dan ook 60 procent van de besmette computers in Iran. Opmerkelijk is dat de maker van de Stuxnet-worm de beschikking had over een tot dan toe onbekend en zeer ernstige kwetsbaarheid in Windows-systemen en in staat is geweest om de worm te vermommen als driver van twee gerenommeerde IT-fabrikanten.

Dit betekent dat deze aanval het werk is van zeer goed ingevoerde criminelen of mogelijk zelfs overheden. Dat blijkt tevens uit het feit dat de programmering van PLC’s werd aangepast door het virus. Nog nooit drong een virus zo ver door in de kritische infrastructuur.

Opvallend is ook dat de aanval is uitgevoerd door USB-sticks of andere draagbare mediadragers te verspreiden in de buurt van het doelwit; besmetting met Stuxnet kan alleen plaatsvinden via mediadragers. Zou hier sprake kunnen zijn van een cyberoorlog, uitgevoerd in opdracht van een land of bondgenootschap? Vooralsnog is dit pure speculatie.

Het verleden leert ons dat zoiets niet ondenkbaar is. Een van de bekendste incidenten rond (contra)spionage en kritische infrastructuur is die waarbij de Amerikaanse CIA toestond dat Rusland SCADA-oplossingen stal van een Canadese leverancier. De oplossing was echter voorzien van een logische bom, die in 1982 de oorzaak van een enorme explosie in een pijpleiding in Siberia zou zijn geweest. Details zijn schaars, maar de CIA heeft toegegeven dat ‘beschadigde’ apparatuur aan Rusland is geleverd, waaronder turbines voor een pijplijn voor de distributie van gas.

Bestond eind jaren zeventig een kritische infrastructuur uit gespecialiseerde hardware en software, tegenwoordig zijn het huis-tuin-en-keukencomputers, voorzien van Windows, die de besturing verzorgen van het bagagesysteem op een luchthaven, het koelsysteem op een kantoor of de lopende band in een autofabriek. Daardoor zijn niet alleen professionele criminelen of overheden in staat om aanvallen uit te voeren op een kritische infrastructuur, eigenlijk kan iedereen met een bovengemiddeld verstand van computers en enig doorzettingsvermogen dit. Waar puberende computerhobbyisten het tien jaar geleden nog op nieuwsgierige thuisgebruikers hadden voorzien (denk aan het Anna Kournikova-virus van 2001), is het niet ondenkbaar dat zij hun pijlen nu richten op een kritische infrastructuur. Voor pubers is naam en faam immers nog vaak het doel en dat is niet eenvoudig meer te behalen door de computer van opa en oma te besmetten met een virus. Hetzelfde geldt voor cybercriminelen die het voor het geld doen.

Ook aanvallen die niet specifiek zijn gericht op de kritische infrastructuur veroorzaken vaak schade. Virussen en trojans maken geen onderscheid tussen een thuiscomputer of een server op een olieraffinaderij, mede omdat tegenwoordig dezelfde besturingssystemen worden gebruikt. Dit resulteert in een toegenomen aantal incidenten, hoewel bedrijven meer en meer beveiligingsmaatregelen nemen. Het feit is nu eenmaal dat het gebruik van generieke IT-componenten zoals Windows en de toegenomen hoeveelheid data die wordt uitgewisseld, de kans vergroten op aanraking met virussen en andere malware.

Zoals het in grote kantooromgevingen inmiddels een geaccepteerd gegeven is dat er altijd computers besmet zijn, begint ook de industrie zich op te maken voor een soort ‘constante staat van besmetting’.

Dat maakt de noodzaak van bruikbare standaarden toegespitst op de beveiliging van de kritische infrastructuur des te groter. Want wat belangrijk en minder belangrijk is in kantooromgevingen ligt bij een kritische infrastructuur net even anders. Het begint al bij de drie-eenheid: beschikbaarheid, integriteit en vertrouwelijkheid. In een kantooromgeving is de vertrouwelijkheid het belangrijkst. Voor een kritische infrastructuur is beschikbaarheid het belangrijkst. Het zijn dit soort nuances die het lastig maken om een generieke standaard zoals de ISO 27002 toe te passen op kritische infrastructuren.

Een voorbeeld is dat het gebruikelijk is om het account van gebruikers na drie mislukte inlogpogingen te vergrendelen. Voor een operator in een fabriek kan dit onwenselijke gevolgen hebben. Stel je voor dat een operator in een stresssituatie niet meer in staat is om de besturing van machines bij te regelen omdat zijn account vergrendeld is.

Aangezien het beoogde doel is om ongewenst gebruik door derden tegen te gaan, zal in zo’n situatie de voorkeur worden gegeven aan fysieke toegangsbeveiliging van de werkplek van de operator.

De universele standaard voor informatiebeveiliging van een kritische infrastructuur, die rekening houdt met nuances zoals hierboven beschreven, is er nog niet. Wel zijn er standaarden voor specifieke doelgroepen en door kleinschalige initiatieven, vaak uit de hoek van eindgebruikers. Hoewel je daarmee nog geen gerenommeerde internationale standaard hebt, die objectief meetbaar en toetsbaar is, is het wel een goed begin. Zoals het in de IT lang heeft geduurd voor er een ISO 27000-serie was, zal het naar verluidt nog jaren duren voordat internationale standaarden voor een kritische infrastructuur volledig beschikbaar zijn. Tot die tijd hebben gebruikers de keuze: alles zelf te ontdekken of samen te werken en met vele handen licht werk te maken.

Maarten Oosterink is als managing consultant werkzaam bij Capgemini Technology Services. Binnen de divisie Governance/Infostructure Transformation Services houdt hij zich bezig met de beveiliging van IT-infrastructuren.

ISA 99

De ISA-99-serie van standaarden is voor een kritische infrastructuur wat de ISO 27000-serie is voor de beveiliging van generieke IT. Of moet dit worden, want van de veertien geplande delen zijn op dit moment pas drie delen beschikbaar. Het kan dus een misvatting genoemd worden dat de ISA-99-standaard af is. Vaak wordt hierbij op het eerste deel gedoeld, dat terminologie, concepten en modellen beschrijft. Hoewel zinvol, biedt dit onvoldoende houvast voor organisaties om tot een volwassen en concrete invulling van informatiebeveiliging te komen voor een kritische infrastructuur. Volgens ingewijden zal het nog jaren duren voordat alle delen van ISA-99 beschikbaar zijn. Een van de oorzaken is dat de standaard door vrijwilligers uit het vakgebied, afkomstig uit onder meer gebruikersorganisaties, wordt geschreven.

Specifieke standaarden
Internationale en marktoverstijgende standaarden laten op zich wachten, maar voor sommige industrieën zijn wel standaarden beschikbaar. Vaak zijn zij specifiek voor een bepaald land. Voorbeelden zijn de NERC-CIP (ontwikkeld door de North American Electricity Council), de OLF 104 (OLF is een Noorse alliantie van olie producerende bedrijven) en de AGA-12 (American Gas Association).

Gebruikers in de voorhoede
Hoewel soms gestimuleerd of gefaciliteerd door overheden, zijn het veelal eindgebruikers die een leidende rol vervullen in het opstellen van standaarden. Een recent voorbeeld is de ‘process control domain security requirements for vendors’-standaard van het WIB, een Europese gebruikersorganisatie. Deze standaard is tot stand gekomen voor en door eindgebruikers. Hoewel het misschien nog niet de kwaliteit en compleetheid van een ISA-standaard heeft, is het wel een goede aanzet en de standaard is publiek beschikbaar.
Het zijn dus vooral eindgebruikers die het voortouw nemen in het opstellen van standaarden en minimumeisen. Over het algemeen nemen leveranciers een afwachtende houding aan. Wellicht vrezen ze duurder te worden dan de concurrentie als ze zich als eerste conformeren aan securitystandaarden. Een vaak gehoord argument is dat er te veel standaarden zijn en elke klant een andere standaard gebruikt. Het besef dat vele handen licht werk maken lijkt eerder door te dringen bij gebruikers dan bij fabrikanten.

 

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.