Amerikaans elektriciteitsnet slecht beveiligd

Doel van het onderzoek was vaststellen in hoeverre de door de energiebedrijven gebruikte ‘Industrial Control Systems’ kwetsbaar zijn voor aanvallen van buitenaf. Zonder op de bevindingen per bedrijf in te gaan, constateert Idaho National Laboratory dat die regelsystemen aanvallers veel aanknopingspunten bieden. Daarbij gaat het vaak om kwetsbaarheden die eenvoudig zijn te verhelpen.

Het ernstigste probleem is dat gepubliceerde patches niet onmiddellijk worden aangebracht. Ook bij het regelen van de autorisaties voor toegang tot het systeem blijken veel onveilige procedures te worden gehanteerd. Dat maakt het voor een aanvaller bijvoorbeeld relatief eenvoudig om inloggegevens af te luisteren. Het wachtwoordbeheer is bovendien veelal onvoldoende.

Ook wordt te weinig gebruikgemaakt van versleuteling bij communicatie met het regelsysteem via openbare lijnen. En de regelsystemen zelf vertonen te veel van de onveilige constructies waar eerder het Sans Institute op wees. Die laatste zijn overigens een verantwoordelijkheid van de leveranciers van de regelsystemen, constateert Idaho National Labs.

Het rapport voedt de onrust in de Verenigde Staten over de veiligheid van zijn kritieke infrastructuren. De discussie daarover kwam in een stroomversnelling nadat een aantal bedrijven in de commerciële sector – waaronder Google - slachtoffer werd van een kennelijk vanuit China georkestreerde zoektocht naar bedrijfsgeheimen. Eerder al gaf het ministerie van binnenlandse veiligheid te kennen, dat ze onder andere door onderbemanning niet in staat is de Amerikaanse infrastructuur afdoende te beschermen tegen cyberaanvallen.

De National Security Agency werkt inmiddels aan een systeem dat vroegtijdig moet waarschuwen voor cyberaanvallen, maar dat project bevindt zich nog in de onderzoeksfase.