Cyber Security Raad: overheid moet industriële controlesystemen beter beveiligen

De Nederlandse Cyber Security Raad waarschuwt dat veel vitale infrastructuren kwetsbaar zijn voor digitale dreigingen door de opkomst van industriële controlesystemen. De overheid en het bedrijfsleven zouden stappen moeten zetten om die beter te beveiligen, schrijft de CSR.

De Raad keek naar de 'cyberweerbaarheid' van industrial automation & control systems of iacs. Die worden onder andere gebruikt om vitale infrastructuur zoals bruggen en sluizen, waterzuiveringsinstallaties en logistieke processen aan te sturen. Veel van die systemen zijn van een afstand te bedienen. De CSR ziet niet direct risico's in de beveiliging van de systemen, maar waarschuwt wel voor de grote gevolgen als die aangevallen worden.

De Cyber Security Raad schrijft dat in een adviesrapport aan de ministers en staatssecretarissen van Justitie, Economische Zaken en Binnenlandse Zaken. De Raad baseert zich op een rapport van Gartner, dat keek naar het gebruik van iacs in Nederland.

De Raad doet geen specifieke uitspraken over de veiligheid van de systemen zelf, maar wel over de processen eromheen en de risico's die de systemen opleveren. Ook schrijft de Raad dat de vitale infrastructuur steeds kwetsbaarder wordt voor 'onopzettelijke uitval en kwaadwillende actoren'. Dat komt doordat er steeds meer van dergelijke systemen komen, die ook snel verouderen. Als de systemen uitgebuit worden, kan dat tot 'grote economische schade en maatschappelijke ontwrichting' leiden, waarschuwt de Raad.

Om de risico's te beperken, doet de Raad verschillende voorstellen. Zo zou de overheid er binnen belangrijke sectoren op moeten toezien dat er een uniform 'sectoraal controleraamwerk' komt. Nu wordt dat nog per vitale sector geregeld. In zo'n raamwerk staat wat de sector moet doen om iacs te beveiligen. De Raad wil dat dus gestandaardiseerd zien. De CSR wil ook dat er een steunpunt komt waar iacs-gebruikers kwetsbaarheden kunnen melden, en waar ze advies kunnen krijgen bij het aanschaffen en repareren van systemen. Dat steunpunt moet los komen te staan van het Nationaal Cyber Security Centrum. De Raad adviseert daar meer kennis te brengen over controlesystemen. Ook stelt de Raad voor om meer samen te werken tussen overheid en industrie, en dat er minstens eens in de twee jaar een grote oefening wordt gehouden waarin uitval van controlesystemen wordt gesimuleerd.

De Cyber Security Raad is niet de eerste partij die waarschuwt voor de grote gevolgen van digitalisering van de industrie. De Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde daar eerder al voor. Later adviseerde de Wetenschappelijke Raad voor het Regeringsbeleid dat de overheid moet kunnen ingrijpen bij zulke incidenten.

Door Tijs Hofmans

Nieuwscoördinator

29-04-2020 • 15:05

18

Lees meer

Reacties (18)

Sorteer op:

Weergave:

De CSR wil ook dat er een steunpunt komt waar iacs-gebruikers kwetsbaarheden kunnen melden,
Melden is leuk, maar als er door de fabrikant niets aan wordt gedaan dan schiet het nog weinig op. Fabrikanten zouden een update verplichting moeten krijgen om de software voor een bepaalde tijd van updates te voorzien, net als men, de EU, wil bij consumentenelektronica. Bij dit soort systemen is het eigenlijk noodzakelijker voor de veiligheid en stabiliteit van de samenleving.
Op zich worden updates wel verstrekt door de meeste leveranciers, maar het installeren er van wordt veelal niet gedaan. Dit door de grote impact die het op productie kan hebben.Als je de updates wel wil installeren dan zul je deze voorafgaan goed moeten testen. Windows updates zijn bevoorbeeld niet altijd compatble met de gebruikte applicaties. Niet als antivirus/malware software.

Bij veel bedrijven is het motto nog steeds "If it aint broken, don't fix is". Het is overigens wel een trend die (zeer) langzaam aan het veranderen is.

Ter aanvulling.
Een SCADA omgeving (komt zeer vaak voor binnen de IACS) draait met regelmaat nog op Windows XP (of ouder). Windows upgraden kan wel, maar dan moet men ook de SCADA software upgraden. Indien de leverancier nog leeft en het geen custom/maatwerk oplossing betrefd, dan is een upgrade vaak nog steeds zeer kostbaar (met name de engineerings uren). Denk aan 100k en hoger. Dan is het de vraag: wat levert het op?
Blijft lastige materie.

[Reactie gewijzigd door drQuentules op 22 juli 2024 17:11]

Het gaat in het artikel over vitale infrastructuren. Dus hoeveel is die 100k en hoger dan waar jij het over hebt ten opzichte van sabotage of het lamleggen van een vitale infrastructuur? Of nog sterker, hoeveel risico wil of mag je nemen bij vitale infrastructuren?

Ik begrijp de mogelijke problemen met updaten, maar dat mag eigenlijk geen reden meer zijn bij vitale infrastructuren, veiligheid zou toch voorop moeten staan, vind ik wel in ieder geval.
"If it aint broken, don't fix is"
Uh.. bij gemeldde kwetsbaarheden gaat dit natuurlijk niet meer op, want het is stuk, dat is juist gemeld. :)
verder helpt het ook niet dat de meeste protocollen die worden gebruikt in deze industriële omgeving insecure by design zijn. ook al zijn al je systemen en firmware van plc's up-to-date, je kan moeilijk de protocollen zelf veilig maken
Helemaal correct, maar dan komt je bijvoorbeeld uit op netwerksegmentatie, zodat de protocollen niet op de verkeerde lagen beschikbaar komen. De ISA-62443 bied hier een aantal goede richtlijnen voor (zones & conduits).
Klopt, je moet dan ook meer aan oplossingen denken waarbij dit dataverkeer helemaal van de buitenwereld afgeschermd wordt zoals VPN netwerken en dergelijke. Is niet echt een vakgebied waar veel industriële automatiseerders in thuis zijn.
En daarom zoveel mogelijk over naar IEC61850 voor dit soort dingen. Naar 60870-5 / 104 kan eventueel ook, maar met 61850 kan je apparatuur er weer een tijdje tegen. Dat zijn protocollen waar wel een klein beetje is nagedacht met beveiliging in het achterhoofd. Dan daarboven op nog 62351 naar smaak toevoegen (62351-3 en 62351-5) en er is een prima veilig systeem op te tuigen. Alleen je moet wel al je oude zooi vervangen. :P
Klopt wij hebben onlangs een systeem laten upgraden en dat kwam boven de 200k vooral aan uren.
Komt gigantisch veel bij kijken.
Bij ons doen we die upgrades wel maar onze schaal is van die orde dat we het makkelijk kunnen neerleggen. Voor kleinere bedrijven is het een hele grote kost.

[Reactie gewijzigd door Yarisken op 22 juli 2024 17:11]

dit is dus bij ons gebeurt, op kantoor werd een computer geinfecteerd jaar of 3-4 geleden tijdens die grote malware verspreiding. Alles geïnfecteerd van de productie t/m hoofdkantoor zelfs de back-ups. Heeft wel geteld 3 maanden geduurd voordat we weer operationeel waren (en bijna 2 jaar naweeën) en er is uiteindelijk vrij weinig veranderd in de organisatie op het gebied van beveiliging of bewust wording, zal nog wel een keer gebeuren vermoed ik.
IT kost geld waar management niet direct resultaten van zit of eigenlijk zelden resultaten ziet tenzij je er een beetje interesse in toont, dat heeft bij ons geresulteerd dat IT volledig is uitgegeven via een call system in India en geen fysieke ITC meer aanwezig is naast het incidentele inhuur op project basis. Hierdoor zijn alle IT gerelateerde zaken ontzettend langzaam geworden tot het up punt dat het toewijzen van netwerk rechten aan een gebruikersaccount 2 maanden duurt en het nog wel eens mis gaat in de tussen tijd waardoor ik nu 5 gebruikers account hebben liggen sinds november waarvan er pas 1 de juiste netwerk toegang heeft en de juiste rechten.
Ik werk bij een leverancier welke dergelijke automatiseringssystemen levert aan overheden en waar wij vooral tegen aanlopen is niet zozeer dat wij leveranciers hier geen aandacht voor hebben, maar juist dat de overheden zelf een gebrek aan kennis en motivatie op dit vlak hebben. Elke verbetering op dit vlak kost geld (onderhoudscontracten om software up to date te houden bijvoorbeeld) en dan is het uiteindelijk de gene die betaald bepalend is...

Daarnaast heb je de uitdaging dat veel van dit soort industriële systemen een levensduur van soms wel 30 jaar heeft en dan kan je je wel voorstellen wat er in z'n periode aan techniek veranderd.

[Reactie gewijzigd door Invisible_man op 22 juli 2024 17:11]

Overheden kennende begrijp ik je punt zeker wel, overheden zijn laks, hebben er geen verstand van of kunnen het niet eens overdenken dat software fouten bevat en kwetsbaar is en bijgehouden zou moeten worden, en inderdaad, de kosten ook nog. Daarom ook de titel van dit artikel "Cyber Security Raad: overheid moet industriële controlesystemen beter beveiligen", de overheid wordt aangespoord dit serieuzer te nemen. Hopelijk nemen ze dit advies serieus en gaan richtlijnen maken, liefst in wetgeving, niet vrijwillig, want dan blijft onkunde en geld de overhand houden. :)
Ik ben geen IT'er maar als techneut ben ik al in heel veel bedrijven geweest.

En ik heb al veel situaties gezien waarbij je je afvraagt: 'maar waarom toch?'

Stokoude dingen waarbij de klant dan nog boos wordt als we het niet in 15min kunnen repareren want het heeft toch altijd gewerkt?, pc van de receptioniste die voor vanalles en nog wat gebruikt worden; badgesysteem, registratie dieseltank, weegsysteem,...

Er zijn nog heel veel apparaten in de industrie die gekoppeld zijn met een stokoude rs232 seriële verbinding op 9600baud of zo. En die hangen dan via een convertortje dat ergens achter een server geschopt wordt zodat zijn gegevens kunnen ingelezen worden in een SAP-systeem.

Er is nog heel veel werk..
Een seriële verbinding zoals RS232 is nog niet eens zo raar in de industrie hoor. Hoewel het altijd mijn voorkeur zou zijn om iets met ethernet toe te passen waar mogelijk (vooral voor het gemak en flexibiliteit), voldoet een seriële verbinding vaak genoeg prima voor lokale communicatie (tussen een sensor en een plc bijvoorbeeld). Maar inderdaad wanneer je deze met een converter aan een netwerk hangt moet je toch even verder denken.
Ik werk als system engineer voor implementatie industriële systemen. Ik zie verbeteringen maar meestal is het huilen met de pet op.
Enige mogelijkheid is om deze systemen helemaal te isoleren. Extern bereikbaar maken gaat vroeg of laat problemen geven.
Het grootste probleem van industrial automation & control systems is dat er op gerekend wordt dat ze 10 jaar en meer meegaan. In de tijd van grote elektromechanische installaties met relaiskasten etc. werd dat gemakkelijk gehaald. Nu met alle miniatuur elektronica mag je blij zijn als je na 5 jaar nog reservedelen kunt krijgen. En dan hebben we nog niet over oude softwareversie die op een nieuwe plc niet meer wil draaien etc. Of over de verbindingen die niet meer leverbaar zijn zoals ISDN en het daarvan afgeleide digistream.
Het enige wat enigszins gaat werken is een uptodate te houden beveiligingsunit als poortwachter voor elke met iacs beveiligde installatie. Maar ja dat is extra apparatuur en extra handelingen voor bediening dus minder gebruiksgemak en meer kosten. Drie maal raden wat er gebeurd ...
Daar waar vroeger dit soort systemen een los, op zichzelf staand netwerk was, werden deze de afgelopen 10 jaar zonder veel gedoe mee op de gewone bureauticanetwerken aangesloten.
Indien IT nog een beetje mee in de pap had te brokken stond er een firewall tussen, in veel gevallen gewoon zo en zonder extra serieuze beveiligingen.
Het zou minstens via een aparte DMZ moeten zijn, zoals bedrijven die het serieus nemen nu doen, met 2FA en de nodige securityprotocollen en procedures.
De verschillende process netwerken gesegmenteerd en onderling ook weer gescheiden met firewalls en alles deftig gedocumenteerd, incl patch, backup en AV management, en zelfs afhankelijk het systeem met aparte netwerkmonitoring.
Vervelend genoeg behoord dit soort IT management tot Process IT, en laat daar nu net het probleem liggen, veel bedrijven hebben enkel bureautica IT, en daar begrijpt men dikwijls niet volledig de problemen die een productieomgeving heeft, waardoor patchmanagement, backups en systeemmanagement iets omslachtigers is dan op het gewone bureautica netwerk.

Als je dan geen proces IT departement hebt in je bedrijf, en als je het hebt en het wordt niet mee betrokken bij de aankoop en integratie van nieuwe systmeen, dan kom je van die dingen tegen dat er gewoon een dialup verbinding die een permanente internetverbinding heeft voor een leverancier midden in een SCADA systeem hebt steken, voor leverancierssuport.
En dat is maar 1 van de vele "te gek voor woorden" zaken die ik al ben tegen gekomen.

Gelukkig is er wel een evolutie bezig in de goede richting, maar om bv een illustratie te geven : Ivm een project bij een klant dat over 2 jaar zal geintegreerd worden ( upgrade van een bestaand systeem twv bijna 500K euro ), kan Siemens zelf vandaag reeds zeggen, dat over 2 jaar hun software voor dat systeem nog niet kan draaien onder Server 2019. Maw, op het moment dat 2016 end of life wordt, en nog 5 jaar extended support heeft, wordt een systeem geupgrade. Waardoor je maw bij de indienststelling van het systeem eigenlijk al aan het achterop hinken bent.
En dat heeft niets te maken met dat Siemens niet sneller kan werken om hun systeem al op Server 2019 te hebben draaien, maar die dingen moeten gewoon 100% error free zijn omdat het over kritische systemen. En die wil je liefst eerst even deftig testen, wat moeilijk gaat doordat de enige beste test een live omgeving is.
Vandaar dat een perfect gedocumenteerd, en secure opgestelde en onderhouden beveiligingsinfrastructuur van dit soort systemen zo belangrijk is.
En dat kost spijtig genoeg ook een boel geld, waar veel (kleine) bedrijven niet het geld kunnen/willen insteken.
Een soort wettelijk kader hiervoor met bijhorende jaarlijkse evaluaties of audits door de overheid zou hier zeker een stuk bij helpen om dit door te voeren.
Dat wordt nu bv in Vlaanderen al gedaan voor alles mbt milieuwetgeving ( VLAREM (Vlaams Reglement betreffende de Milieuvergunning) 1, 2 en 3 etc ).
Nu zijn er wel ISO normen mbt tot cybersecurity etc, maar een ISO norm is geen verplichting, en eerder een mooi papiertje om ergens tegen de muur te hangen of onder een handtekening te zetten, maar iedereen die al dat soort audits heeft mogen meemaken, weet : het is eigenlijk een flutding, want je weet dat er bepaalde zaken niet in orde zijn, omdat ze tijdens de audit niet naar boven zijn gekomen, terwijl volgens dat mooie papiertje tegen de muur alles toppie is.

Just my 2 cents
Geheel toevallig, of niet, maar nog een reden tot actie en regelgeving:
nieuws: AIVD: staatshackers zitten in vitale infrastructuur als voorbereiding...
Daarom dus
Vacatures? Sign me up.

Op dit item kan niet meer gereageerd worden.