Operationele Technologie: kwetsbare bouwsteen voor vitale processen

Operationele Technologie OT

Operationele technologie (OT), binnen industriële netwerken ook wel aangeduid als Industrial Automation and Control Systems (IACS), speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen (vitale) organisaties. Grootschalige uitval en problemen in de beschikbaarheid van deze systemen kunnen grote maatschappelijke gevolgen hebben. Gebleken is dat cyberactoren geïnteresseerd zijn in het compromitteren van Operationele Technologie. Het beheersen van risico’s hieromtrent vereist specifieke kennis, competenties en samenwerking. Ondanks groeiende aandacht voor de weerbaarheid van OT-systemen, is er ruimte voor verbetering. Het is zaak hier verder op in te zetten om de weerbaarheid van vitale processen te waarborgen.

Veiligheid Operationele Technologie van vitaal belang, maar kent belangrijke uitdagingen

In vergelijking met reguliere informatietechnologie (IT) wordt er in het publieke debat relatief weinig aandacht besteed aan de veiligheid van Operationele Technologie en de uitdagingen hieromtrent. Dit komt enerzijds doordat in het nieuws vooral aandacht is voor in het oog springende digitale inbreuk op reguliere IT-systemen zoals websites, servers en werkplekken. Anderzijds hebben er, voor zover bekend, relatief weinig verstorende inbreuken op OT plaatsgevonden. OT-systemen vormen echter het fundament van belangrijke fysieke processen, zoals de productie en verwerking van grondstoffen, het zuiveren van drinkwater, de bediening van sluizen en distributie van elektriciteit. Daarmee is de veiligheid van deze systemen van fundamenteel belang voor de Nederlandse maatschappij en economie.

Impact cyberincidenten potentieel groot

Vanwege de belangrijke rol van Operationele Technologie, kunnen grootschalige uitval en problemen omtrent de beschikbaarheid van OT-systemen grote maatschappelijke gevolgen hebben. Incidenten kunnen leiden tot maatschappelijke onrust, economische schade, en verlies aan vertrouwen in digitalisering. Waar incidenten in een IT-omgeving vaak leiden tot reputatie- of financiële schade, kan er bij incidenten in OT-omgevingen ook schade aan industriële apparatuur en de nabije omgeving ontstaan. In uiterste gevallen is het mogelijk dat er slachtoffers vallen.

De kans dat een incident zich voordoet en de impact hiervan zijn sterk afhankelijk van het type compromittatie, de mate van weerbaarheid van de getroffen organisatie en de sector waarin het incident zich voordoet. Ook kunnen er keteneffecten optreden. Dat OT-systemen ook kwetsbaar zijn voor digitale aanvallen is de afgelopen jaren meerdere keren gebleken, met in sommige gevallen grote impact voor de getroffen organisaties en hun omgeving.

Weerbaarheid OT-systemen is een complex vraagstuk

De digitale beveiliging van Operationele Technologie kent een aantal belangrijke uitdagingen. OT-systemen hebben een langere levensduur en de kosten om deze te vervangen zijn vaak hoog. Informatie rondom kwetsbaarheden is vaak diffuus. In veel gevallen ontbreekt concreet handelingsperspectief vanuit leveranciers om de kwetsbaarheden te verhelpen of misbruik hiervan te voorkomen. Verder is het in de praktijk lastig om OT-systemen bij te werken naar nieuwe software versies, omdat dit de beschikbaarheid en interoperabiliteit van OT-systemen kan verstoren.

Bovendien zijn representatieve testomgevingen, om patches te testen voordat ze worden uitgerold, vaak duur en complex om te ontwikkelen. Dit alles heeft tot gevolg dat veel processen afhankelijk zijn van verouderde en kwetsbare software. Daar komt bij dat veel systemen in OT-netwerken van oudsher insecure-by-design zijn. Het belang van operationele efficiëntie en het snel kunnen inspelen op onveilige situaties weegt hierin zwaarder dan bijvoorbeeld authenticatie van de gebruiker. De ervaring leert echter dat in netwerken zonder adequate interne controles er een grotere kans op incidenten is. Bovendien is de schade vaak groter en moeilijker te herstellen. Dit geldt ook voor OT-netwerken waar aanvallers met de juiste kennis misbruik kunnen maken van standaard functionaliteiten om een aanval uit te voeren, mogelijk zonder dat hier een kwetsbaarheid aan te pas komt.

Dreiging door groter aanvalsoppervlak en interesse cyberactoren

Het feit dat OT-netwerken van oudsher insecure-by-design zijn, is in toenemende mate problematisch omdat de afgelopen jaren Operationele Technologie steeds meer verweven is geraakt met IT. Toenemende integratie, ook wel IT/OT convergentie genoemd, heeft als doel de zichtbaarheid, efficiëntie en snelheid van operationele processen te verbeteren. Dit biedt aanvallers echter ook meer mogelijkheden om via gecompromitteerde IT-systemen toegang te verkrijgen tot een OT-netwerk. Dit wordt versterkt door de opkomst van het Industrial Internet of Things (IIoT). Ook dit vergroot het aanvalsoppervlak en biedt aanvallers meer mogelijkheden om operationele systemen te compromitteren.

Nieuwe malware ook voor Nederland relevant

Hoe actueel de mogelijkheid tot het compromitteren van operationele systemen is, blijkt onder andere uit de ontdekking van twee nieuwe malware-soorten vorig jaar. Deze malware-soorten blijken gebruikt te kunnen worden voor de sabotage van OT-systemen. De eerste, Industroyer2, is ingezet tegen een Oekraïense energieleverancier, maar kon tijdig worden geneutraliseerd. ESET en de Oekraïense CERT attribueren Industroyer2 aan de Russische statelijke actor Sandworm. Industroyer2 is de eerste OT-malware die voortbouwt op een eerdere variant. De tweede malware-soort, bekend als PIPEDREAM/INCONTROLLER, geeft een aanvaller meerdere opties bij een digitale aanval en slaat onder andere een brug tussen IT- en OT-omgevingen. Volgens Mandiant is PIPEDREAM/INCONTROLLER vermoedelijk ontwikkeld door een statelijke actor, maar werd het ontdekt door onderzoekers voordat deze kon worden ingezet. Opvallend is dat beide malware-soorten breder inzetbaar zijn en ook ingezet kunnen worden buiten het initiële doelwit.

Dergelijke ontwikkelingen zijn ook relevant voor Nederland. Bekend is dat statelijke actoren zich onder andere richten op voorbereidingshandelingen voor sabotage tegen vitale en andere cruciale infrastructuur. Naast sabotage kan het verkrijgen van inzicht in industriële processen door spionage ook een belangrijk motief zijn van statelijke actoren. Voor industriële omgevingen kan een verkennende handeling al leiden tot verstoringen en is dit alleen daarom al zeer ongewenst.

Toenemende interesse door ransomware-actoren in Operationele Technologie systemen niet uitgesloten

Ransomware-actoren vormen eveneens een risico voor de continuïteit van operationele systemen en fysieke processen. In juli 2022 is bijvoorbeeld een nieuwe ransomware-variant ontdekt, genaamd Luna. Deze variant bevat een lijst met OT-processen die, indien aanwezig, beëindigd worden alvorens over wordt gegaan tot versleuteling. Een dergelijke lijst wordt ook wel een kill-list genoemd. Het gebruik van een kill-list werd eerder al gesignaleerd bij ransomware-varianten zoals EKANS, MegaCortex en LockerGoga. Kill-lists zijn niet per definitie het resultaat van een gerichte poging om OT-netwerken te verstoren. Ze bestaan vaak uit brede en onsamenhangende lijsten aan te beëindigen programma’s binnen zowel IT- als OT-omgevingen die vermoedelijk willekeurig zijn samengesteld.

Een andere ransomware-variant waarbij gebruik wordt gemaakt van een soortgelijke lijst, Cl0p, haalde in augustus 2022 het nieuws vanwege een aanval op het Britse bedrijf South Staffs Water. De aanvallers claimden hierbij toegang te hebben tot de OT-systemen van het drinkwaterbedrijf. Zelf stelde de organisatie dat de aanval enkel betrekking had op de IT-omgeving en dat de drinkwatervoorziening nooit in gevaar is geweest.

Het is de verwachting dat ransomware-actoren nieuwe tactieken zullen blijven ontwikkelen om hun slachtoffers verder onder druk te zetten. Ook komen industriële omgevingen steeds meer in beeld als verdienmodel van cyberactoren. Hoewel ook aanvallen die niet direct gericht zijn op Operationele Technologie kunnen leiden tot operationele problemen, kan verdere en mogelijk meer gerichte verstoring van OT-systemen in deze context niet worden uitgesloten.VI De toenemende verweving van OT en IT vergemakkelijkt dit.

Hacktivisme vooral opportunistisch en symbolisch van aard

Hacktivisten lijken zich steeds meer te interesseren in het compromitteren van Operationele Technologie, omdat dit gebruikt kan worden als pressiemiddel om ideologische doelstellingen te behalen. Dit blijkt uit een toenemend aantal vermeende aanvallen die hacktivistische groeperingen opeisen. De aangehaalde motieven door hacktivisten zijn gevarieerd van aard. Daarbij wordt onder andere verwezen naar de Russische oorlog tegen Oekraïne. Maar ook naar andere maatschappelijke vraagstukken en geopolitieke ontwikkelingen wereldwijd. Dergelijke aanvallen zijn over het algemeen echter opportunistisch van aard en gericht op systemen waar de aanvallers zelf vaak geen specifieke kennis van hebben. Zo wordt door hacktivisten gebruik gemaakt van publiek beschikbare middelen exploit-modules (‘middelen’). Deze zijn gericht op OT-systemen die met het internet zijn verbonden.

De impact hiervan lijkt voorlopig zeer beperkt en de uitkomsten van aanvallen ongewis. Claims zijn vaak moeilijk te verifiëren en dienen voornamelijk een symbolisch doel. Bovenal is het compromitteren van een enkel OT-systeem niet voldoende om een gerichte uitkomst te bewerkstelligen. Als aanvallers een gericht effect teweeg willen brengen, moeten ze namelijk precies weten hoe ze een heel netwerk met verschillende systemen kunnen manipuleren. Om aanvallen uit te voeren die langdurige fysieke gevolgen hebben is tijd, kennis en capaciteit nodig. Hierdoor is het onwaarschijnlijk dat ze door een minder-geavanceerde actor kunnen worden uitgevoerd. Hierbij moet worden opgemerkt dat de capaciteit van hacktivisten ook afhangt van de mate van verbondenheid met statelijke actoren. Zo kan er worden samengewerkt of kunnen hacktivisten als dekmantel worden gebruikt om attributie van digitale aanvallen te bemoeilijken. De mate van verbondenheid is niet altijd duidelijk.

Uitdagingen omtrent weerbaarheid van Operationele Technologie systemen

Zoals eerder beschreven zijn de meeste Operationele Technologie systemen ontworpen in een tijd dat er geen rekening gehouden werd met mogelijk (digitaal) misbruik. De weerbaarheid tegen digitale dreigingen is lange tijd geen prioriteit geweest vanwege de beperkte koppeling van OT- met IT-systemen. De afgelopen jaren groeit de aandacht hiervoor wel. Er worden echter beperkt maatregelen getroffen op OT-netwerken uit zorg voor onvoorzienbare (ernstige) gevolgen voor het correct functioneren van (vitale) operationele processen. Dit leidt in de praktijk tot het ontbreken van basale maatregelen die in een IT-omgeving gebruikelijk zijn. Denk hierbij aan authenticatie, autorisatie en encryptie.

Tevens worden OT-systemen niet of nauwelijks gescand op kwetsbaarheden en kwetsbare systemen. Ze worden zoals eerder vermeld niet altijd gepatcht (als er al een patch beschikbaar is) om het correct functioneren van deze systemen te garanderen. Daarnaast zijn de detectie en repressie van digitale aanvallen binnen een OT-omgeving bij veel organisaties niet voldoende ingericht. Organisaties zijn hierdoor niet in staat om een aanval tijdig te detecteren (en hierop te reageren) als een aanvaller toegang krijgt tot het OT-netwerk.

Weerbaarheid

De beperkte set aan maatregelen binnen een OT-netwerk betekent niet dat OT-omgevingen niet weerbaar zijn. Zo worden er veel maatregelen getroffen om de veiligheid van het proces te waarborgen in het geval van een (digitale) calamiteit. Daarnaast kenmerkt de digitale weerbaarheid zich door maatregelen die moeten voorkomen dat een aanvaller toegang krijgt tot het OT-netwerk.

Binnen de IT en OT worden verschillende uitgangspunten, standaarden en prioriteiten gehanteerd op het gebied van safety (schade aan personen en/of omgeving) en security (beschikbaarheid, integriteit en vertrouwelijkheid). Bovendien gaan Operationele Technologie systemen doorgaans vele jaren langer mee dan IT-systemen. Deze verschillen moeten worden meegenomen bij het ontwerp van het koppelvlak tussen IT en OT-omgevingen (en de daardoor gerealiseerde maatregelen). Dit gebeurt nog niet altijd voldoende. Deels doordat de teams die zich bezighouden met IT en OT van oudsher los van elkaar opereren.

Groeiende aandacht voor standaarden en publiek- private samenwerking

Ten aanzien van wet- en regelgeving geven enkele organisaties aan te worstelen met het interpreteren van de meldplicht voor incidenten binnen de OT-omgeving. Ook zijn er organisaties die (te) weinig sturing vanuit de overheid ervaren. Bijvoorbeeld omdat verplichte cybersecurity audits in bepaalde sectoren ontbreken.

Vanuit de overheid is er wel steeds meer aandacht om organisaties te helpen met de beveiliging van hun OT-omgevingen. Middels de Nederlandse Cybersecuritystrategie zijn prioriteiten gesteld voor de toekomst. Verder is er het afgelopen jaar ingezet op het aanbieden van gedeelde beveiligingsstandaarden. Een voorbeeld is de Basismaatregelen voor de cybersecurity van Industrial Automation & Control Systems (BIACS). Deze is weer afgeleid van de Cybersecurity Implementatierichtlijn Objecten 3.0 (CSIR). Hierin zijn zowel de BIO (Baseline Informatiebeveiliging Overheid) als het IEC 62443 normenkader in verwerkt. Daarnaast worden er verschillende handvatten en tools ontwikkeld om organisaties op weg te helpen met de beveiliging van hun OT-omgevingen. Een voorbeeld hiervan is de ‘Security Check Procesautomatisering’. In de Cyber Resilience Act (CRA), het voorstel van de Europese Commissie voor beveiligingseisen aan digitale producten, worden daarnaast een aantal aanvullende eisen gesteld voor leveranciers van systemen die veelvuldig in OT-omgevingen gebruikt worden, zoals SCADA-systemen en PLC’s.

Ook weten publieke en private organisaties elkaar steeds beter te vinden. Er zijn meerdere samenwerkingsverbanden opgestart om dreigingen en risico’s breed inzichtelijk te maken en gezamenlijke best practices te ontwikkelen.

Expertise en focus noodzakelijk voor cybersecurity van Operationele Technologie systemen

Tenslotte is de weerbaarheid van OT-omgevingen gekoppeld aan de medewerkers die deze weerbaarheid realiseren. OT-omgevingen zijn anders dan IT-omgevingen en vereisen andere kennis en competenties op het gebied van cybersecurity. Er is binnen organisaties vaak nog onvoldoende aandacht voor nut en noodzaak van OT-cybersecurity. Zo moeten OT-cybersecurityteams vaak werken met beperkte middelen. Daarnaast is kennis tussen Operationele Technologie specialisten niet eenvoudig over te dragen door het verschil in OT-omgevingen in verschillende sectoren. Er is een beperkt aantal specialisten die over de benodigde expertise beschikken. Dat komt deels doordat opleidingen zich meer richten op IT-beveiliging. Deels komt dat ook doordat ervan oudsher minder aandacht is geweest voor de beveiliging van OT-omgevingen. Dit was vanwege de scheiding met andere netwerken.

Hoewel de weerbaarheid tegen digitale dreigingen lange tijd geen prioriteit is geweest, wordt de dreiging van verstoringen en het belang van digitale weerbaarheid de laatste jaren steeds meer noodzakelijk en breder erkend. Gegeven het groeiende aanvalsoppervlak en de potentieel ontwrichtende gevolgen van een digitale aanval op OT-systemen, is het zaak hierop voort te bouwen. Investeringen, kennisopbouw en ondersteunende technologische ontwikkelingen zijn hierbij essentieel.

Bron: Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEF EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.

Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.

Avatar foto

Redactie

Dit nieuws is samengesteld door de redactie van IndustrieVandaag.
Lees meer van: Redactie