Door: redactie - 30 oktober 2024 |
Regelmatig horen we verhalen over hackers die bedrijven aanvallen. Maar hoe werkt zo’n aanval eigenlijk in de praktijk, vooral als we het hebben over Operational Technology (OT)? De realiteit is vaak verrassender – en banaler – dan we denken. Ongeluk zit soms in een klein hoekje, en vaak komt een ‘aanval’ niet voort uit kwade opzet, maar uit een reeks ongelukkige toevalligheden. Dit verhaal, gedeeld door Stef Liethoff van SBL Cyber Monitoring, illustreert hoe zoiets in zijn werk kan gaan.
Stel je een Europees chemiebedrijf voor met meerdere fabrieken. Elke fabriek heeft een lokale controlekamer, en er is ook een centrale controlekamer op afstand. Het hart van de operatie? Programmable Logic Controllers (PLC’s) die alle chemische processen aansturen. De meeste alarmen gaan af vanwege alledaagse problemen, zoals bijvoorbeeld een te hoge of lage druk in pijpleidingen. Het systeem lost deze vaak zelf op.
Zo nu en dan moet er handmatig worden ingegrepen. Een defecte pomp hier, een vastgelopen regelklep daar. In zulke gevallen belt een lokale operator met de centrale controlekamer. Een werktuigbouwkundige schat in waar de fout zit en bedenkt een tijdelijke oplossing.
Op een dag gebeurt er iets vreemds. Een operator belt in paniek: hij heeft geen toegang meer tot de monitoringsystemen. De fabriek draait nog wel, maar hij ziet op de schermen geen data meer over de druk in de pijpleidingen. In de centrale controlekamer zien ze alles nog wel, dus zij nemen de monitoring over terwijl ze op zoek gaan naar de oorzaak. Wat de operator beschrijft, lijkt verdacht veel op een ransomware-aanval. Maar hoe kan dat? De computers met de monitoringsoftware zijn niet verbonden met het internet en hebben niet eens USB-poorten.
Het team probeert het oude trucje: alles uitzetten en opnieuw opstarten in een herstelmodus. Dit zou een ‘schone’ versie van de software moeten installeren vanaf het interne netwerk. Omdat geen van de geïnfecteerde computers verbonden is met dat netwerk, zouden ze niet opnieuw besmet moeten raken.
Aanvankelijk lijkt alles in orde, maar dan vallen de systemen één voor één opnieuw uit. Dit zou onmogelijk moeten zijn. De PLC’s kunnen niet geïnfecteerd raken door deze malware, en alle monitoringcomputers zijn net opnieuw geïnstalleerd.
De oplossing komt uit onverwachte hoek. De operator, die inmiddels wel toe is aan een kop koffie, ontdekt dat het koffiezetapparaat dezelfde foutmelding toont als zijn computers. Daar begint de puzzel in elkaar te vallen: een koffiezetapparaat dat verbonden is met het netwerk.
Het koffiezetapparaat heeft zijn eigen wifi-netwerk. Via die verbinding stuurt het informatie naar het onderhoudsbedrijf over wanneer het bijgevuld of schoongemaakt moet worden. Toen de installateur langskwam voor een update, zou hij dat via de wifi moeten doen. Maar waarschijnlijk zag hij de RJ45-poort, de welbekende aansluiting voor netwerkkabels, en leek het hem een goed idee om de machine ‘even snel’ daarop aan te sluiten.
Wat de installateur niet wist, was dat deze poort verbonden was met het beveiligde netwerk van de fabriek – hetzelfde netwerk waar de controlekamer op draaide. Toen hij geen internetverbinding kreeg (logisch, want het was een geïsoleerd netwerk), herinnerde hij zich de instructies over het speciale wifi-netwerk en maakte hij verbinding.
En de malware? Die zat waarschijnlijk al op de laptop van de installateur, die zich van geen kwaad bewust was. Via het koffiezetapparaat en de netwerkkabel vond het zijn weg naar het fabrieksnetwerk en zo besmette het de computers op welke de monitoringssoftware draaide.
Dit scenario is verre van uniek. Zo zag het team van SBL hoe in een ziekenhuis, een hartanalyse-apparaat was geüpdate door een onderhoudsmonteur met een besmette USB-stick. Het apparaat was niet geïsoleerd van de rest van het netwerk, wat wel had gemoeten. Daarmee werd de situatie letterlijk levensbedreigend. Gelukkig monitorde het IT-team het netwerk en hadden ze snel door wat er gebeurde.
In de maakindustrie kan het net zo goed een leverancier van een machine zijn met een besmette laptop. Of denk aan een situatie waarbij de IT-dienstverlener gehackt is. Die heeft remote toegang tot de IT- en OT-omgevingen, en plotseling kan een aanvaller bij alle systemen. Natuurlijk zijn er ook de alomtegenwoordige phishing-aanvallen, waarbij iemand per ongeluk op een link klikt of een bijlage opent. En laten we de klassieke USB-stick met updates voor machines die niet direct vanaf het internet bereikbaar zijn, niet vergeten.
Maar er is nog een scenario om rekening mee te houden: stel dat jouw bedrijf samenwerkt met een groter bedrijf dat een interessanter doelwit is. Een aanvaller zou dan kunnen proberen via jouw bedrijf binnen te komen, op basis van de aanname dat jij minder hebt geïnvesteerd in cyberveiligheid. Ze kunnen jouw bedrijf als springplank gebruiken. Berichten vanuit jouw organisatie worden immers eerder vertrouwd omdat jullie een betrouwbare partner zijn. Supply chain-aanvallen zijn tegenwoordig aan de orde van de dag. In het kader van NIS2 zullen grote bedrijven dan ook eisen gaan stellen aan hun partners om te investeren in cybermaatregelen.
In het geval van ons chemiebedrijf was het IT-netwerk prima opgezet: de chemische processen liepen geen risico en er was geen sprake van kwade opzet. Het allerbelangrijkste is dat de controlekamer de situatie snel weer onder controle had. En dat brengt ons bij de kern van de zaak: dit soort situaties kunnen iedereen overkomen. Wie had gedacht dat een koffiezetapparaat zo’n veiligheidsrisico zou kunnen vormen? Je kan je onmogelijk tegen alles beschermen. De vraag is hoe snel je het door hebt, en hoe snel je kan ingrijpen.
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws van vandaag over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
