Door: Redactie - 23 februari 2021 |
Al jaren wordt er gewaarschuwd voor cyberaanvallen op controlesystemen die deel uitmaken van de operationele technologie omgeving (OT-omgeving) zoals bij waterkeringen, drinkwater of elektriciteitsnetwerken. Deze industriële controlesystemen hebben vaak een uniek karakter dat verschilt van IT-omgevingen. Het grootste verschil is dat een IT-omgeving dynamisch is en een OT-omgeving heel statisch. Daardoor kunnen de securitymaatregelen die ingezet worden bij IT-omgevingen niet zonder meer worden overgenomen in OT-omgevingen. Nu cybercriminelen steeds vaker hun weg weten te vinden naar de OT-omgeving, zouden bedrijven zich meer zorgen moeten maken en zichzelf de vraag stellen: hoe kwetsbaar is mijn OT-omgeving eigenlijk voor cybercriminelen?
Mede door gebrek aan informatievoorziening en kennis rondom kwetsbaarheden in de OT-omgeving blijkt het in de praktijk erg lastig om bovenstaande vraag goed te beantwoorden. Zeker voor kleinere bedrijven. Vaak zien we dat zij niet de juiste resources, budgetten en kennis in huis hebben, waardoor er onvoldoende zicht is op de risico’s van een cyberaanval. Dit kan in sommige situaties zelfs leiden tot levensbedreigende situaties gezien het feit dat deze systemen onder meer goed zijn voor productie en levering van voeding, drinkwater, gas en elektriciteit.
Een goed voorbeeld om de ernst van misbruik of uitval van industriële controlesystemen aan te geven is de recente hack bij de waterzuiveringsinstallatie van Oldsmar (Tampa Bay, Amerika). Deze hacker was in staat – om op afstand – in te breken om vervolgens een gevaarlijke hoeveelheid natriumhydroxide, ook wel bijtende soda genoemd, aan het drinkwater toe te voegen. Hij verhoogde de chemicaliën van 100 deeltjes per miljoen tot 11.100 deeltjes per miljoen. Het inslikken hiervan kan zeer heftige gevolgen hebben zoals misselijkheid, irritatie aan huid en ogen tot zelfs in het ergste geval de dood. Door een oplettende medewerker is er achteraf snel ingegrepen en viel de schade uiteindelijk mee, maar dit had zomaar erg mis kunnen gaan.
In tegenstelling tot wat er gebeurt in IT-omgevingen besteden beheerders van OT-omgevingen, onder wie technici, machinebouwers en onderhoudspersoneel, vaak minder aandacht aan security. Daar komt nog eens bovenop dat in de praktijk de IT- en OT-omgeving in beperkte mate is gekoppeld om zo het werk van bijvoorbeeld de operator makkelijker te maken. Deze problemen worden versterkt door zeer beperkte kennis over en affiniteit met security, beperkt risicobeheer en gebrek aan praktijkrichtlijnen. Verder ontbreekt er vaak een duidelijke netwerkscheiding tussen IT- en OT-netwerken en zijn er zwakke procedures voor externe toegang. Het wordt echt tijd dat hier meer aandacht voor komt. Om je op weg te helpen, volgen hieronder drie tips voor het veilig maken en houden van de kritieke OT-omgeving.
Zorg dat je grip hebt op het OT-landschap. In het verleden werd er vaak gebruik gemaakt van Excel-sheets. Tegenwoordig zijn er diverse slimme sensoren beschikbaar waarmee je een actueel overzicht van alle aanwezige middelen (model, type, locatie, softwareversie) krijgt en behoudt. Op deze manier zorg je ervoor dat je snel kan reageren wanneer er een kwetsbaarheid in jouw apparatuur wordt geconstateerd.
Bescherming tegen kwetsbaarheden door goede beveiliging is van cruciaal belang en dat wil je op de beste manier doen. Door toegang te beperken van buitenaf zorg je ervoor dat je niet in een situatie zoals bij de waterzuiveringsinstallatie van Oldsmar terechtkomt. Het Purdue Enterprise Reference Architecture (PERA) model is de internationale standaard voor een effectieve defense in depth beveiliging. Dit model verkleint de kans op een succesvolle cyberaanval en beperkt de impact door het hanteren van strikte netwerksegmentatie met meerdere veiligheidslagen. Middels het gelaagde model “koop” je als ware meer tijd om afwijkend gedrag te signaleren en de aanval te stoppen voordat er schade is aangericht.
Hoewel je security goed hebt ingeregeld, bestaat er altijd nog de mogelijkheid dat een hacker een ingang weet te vinden. Voordat een hacker actie onderneemt, gaat hij eerst op zoek naar wat hij kan doen om zijn slag te slaan. Aangezien een hacker zich daarbij anders gedraagt (onvoorspelbaar, onderzoekend gedrag) dan een operator (voorspelbaar, vast gedrag), valt dit al snel op. Door dit soort gedragingen te monitoren en hier een anomaly detection (een methode die gebruikt maakt van sensoren die afwijkend gedrag herkennen) aan toe te voegen, beschik je over een uiterst slim alarmsysteem voor de bescherming van de OT-omgeving.
Blog: Bastiaan Bakker, directeur business development bij Motiv ICT Security
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.