VS waarschuwt staten voor cyberaanvallen op waterbedrijven

Het Witte Huis waarschuwt Amerikaanse staten voor recente aanwijzingen dat staatshackers waterbedrijven willen aanvallen. De federale overheid roept staten op om waakzaam te zijn en de beveiliging op te schroeven. Iraanse en Chinese staatshackers zouden de bedrijven hacken.

Hackers zouden het gemunt hebben op water- en rioolbedrijven, schrijft de Amerikaans federale overheid. Zo zouden hackers die verbonden zijn aan de Iraanse overheid waterbedrijven hacken met het doel 'operationele technologie' uit te schakelen. Hiervoor misbruiken ze onder meer systemen waarvan het standaardwachtwoord van 1111 niet is aangepast.

Daarnaast zouden hackers van Volt Typhoon de IT-systemen van kritieke diensten, waaronder waterbedrijven, hacken. Deze groep wordt volgens het Witte Huis gefinancierd door de Chinese overheid. Volt Typhoons gedrag zou 'niet in lijn zijn met traditionele cyberspionage'. De federale overheid denkt 'met hoge zekerheid' dat Volt Typhoon aan het voorsorteren is op het verstoren van kritieke diensten in het geval van 'geopolitieke spanningen en/of militaire conflicten'.

Drinkwater- en rioolbedrijven zijn volgens het Witte Huis aantrekkelijke doelwitten, omdat ze kritieke diensten zijn maar vaak niet genoeg middelen hebben om zichzelf goed te kunnen beveiligen. Het Witte Huis wil daarom dat staten maatregelen nemen om risico's te verminderen, zoals het onderzoeken van de huidige cybersecuritystaat van waterbedrijven en noodresponsplannen op te stellen. "In veel gevallen zijn simpele cybersecurityvoorzorgsmaatregelen, zoals het aanpassen van standaardwachtwoorden of het installeren van updates om kwetsbaarheden te verhelpen, niet in gebruik. Dit kan het verschil beteken tussen business as usual en een verstorende cyberaanval."

Het Witte Huis wijst erop dat overheidsdiensten zoals het Environmental Protection Agency en het Cybersecurity and Infrastructure Security Agency hulp bieden aan waterbedrijven om die kritieke taken te kunnen blijven uitvoeren. EPA zegt daarnaast een Water Sector Cybersecurity Task Force te willen oprichten die waterbedrijven moet helpen met het beveiligen van hun systemen.

Door Hayte Hugo

Redacteur

20-03-2024 • 15:34

59

Submitter: wildhagen

Reacties (59)

Sorteer op:

Weergave:

Ik vrees het ergste door dat afgelopen regeringen niet of weinig hebben ingezet op ICT.

Belangrijk vind ik ook dat je kunt achterhalen en bewijzen wie er achter een cyberaanval zitten om de bron te kunnen pakken.

[Reactie gewijzigd door BlueBird022 op 24 juli 2024 18:17]

De VS is juist één van de landen die voorop loopt qua cybersecurity - daar gaat het immers om, het raakt ICT slechts gedeeltelijk. Sinds Obama zijn er veel initiatieven gestart en is veel informatie ook buiten de federale overheid beschikbaar. In Europa denken we goed bezig te zijn met NIS2, maar dat gaat resulteren in een veel te high level wet in Nederland.
De V.S. doet het dan weer minder goed qua drinkwaterkwaliteit. Diverse misstanden zoals Flint Michigan en Jackson Mississippi. Ook qua drinkwaterkwantiteit zijn er problemen, bijvoorbeeld drinkwatertekorten in het stroomgebied van de Colorado: Nevada, Arizona, Californië. Een goed getimede drinkwatercrisis waarbij hele staten geen water uit de kraan meer krijgen in verkiezingstijd kan het de zittende president heel moeilijk maken.
Klopt, alhoewel een heel ander onderwerp. Wat de VS doet, inderdaad met Flint als schrijnend voorbeeld, is verre van ethisch.
NIS2 is met de tien punten dan nog redelijk stuk duidelijker dan NIS1. Kan altijd nog beter, maar standaardwachtwoord zonder MFA kom je niet meer mee weg onder NIS2, dat staat er expliciet in: MFA, MFA, MFA :Y)
wat bedoel je met ingezet op ICT? Dit kan je toepassen door de bestaande medewerkers al eigenlijk. Hoef je echt geen consultant voor in te huren die het dubbele salaris daarvoor krijgt. Meeste medewerkers heb je vaak in departments, Networking, systeem, secuirty etc. En als je alles al doet, is het nog leuker.

In mijn bedrijf is het ook :security:
1. wekelijks 2 meetings voor patching en het evalueren van Rapid7 machines op score en dit dus naar beneden te brengen.
2. patchday tuesday elke maand streng gecontroleerd en toegepast bij ons.
3a. Patching windows 10 en office2019 producten.
3b. Windows servers worden in etapes ge-patched.
3c. Patchen van switches, firewalls etc (op basis van onze infra Fortinet)
4. Shadow IT hebben we elke week, kijken naar software wat we gaan toestaan of blokkeren.
5. Alle filesharing websites gesloten.
6. FTP wordt niet gebruikt, alleen SFTP.
7. MFA verplicht op alle diensten die we gebruiken.
8. Social media, google, apple etc gesloten.
9. Geinstalleerde software op tijd patchen.
10. alle poorten sowieso gesloten, alleen op aanvraag via ticket en approval van twee SEC personen worden poorten geopend. (hiervoor benodigen we source, en target IP, en ook welke ports, services toegepast moet worden.) - Dit doen we omdat we veel met externe bedrijven werken.
- Hebben daarom ook bitssh server voor het genereren van keys, en ssh toegang etc.)
11. Elke maand compliance, security trainigs via Skillcast, LinkedIn learning.
12. Phising test emails elke maand random test etc.
13. Meeste servers en diensten staan niet online, vele ook in DMZ.

Patchen doen we via EPC, geautomatiseerd, en Linux doen we handmatig voorlopig.
EPC werkt niet goed met Linux, ondanks dat ze een AGENT habben. En virtuale hosts doen we ook af en toe handmatig, omdat de Agent dan soms het even niet doet.


We zijn vrij streng denk ik met security, maar als iemand via een phising email intrapt, kunnen we ook niet veel doen.

[Reactie gewijzigd door theduke1989 op 24 juli 2024 18:17]

We zijn vrij streng denk ik met security, maar als iemand via een phising email intrapt, kunnen we ook niet veel doen.
Jullie policies zien er (vanaf hier) goed uit, kudos!

Maar dan phishing: Als leek op het gebied van email protocollen, sta ik er anno 2024 van te kijken dat er nog steeds emails in de mailbox terecht kunnen komen die overduidelijk phishing zijn. Gewoon het feit dat er een url in staat die je nog niet eerder hebt gezien, zou voldoende moeten zijn om deze url automatisch te blokkeren. En de email te markeren als high risk.

Of denk ik nou echt te simpel?
Meeste wordt geblokeerd, onze clearswift is een extra regel die het controleerd.
Echter komen soms binnen, al zie je wel direct dat het phising is.

Management hebben we aangeleerd, om dit direct aan ons te melden met de email attached. en we dit in de filter toevoegen voor de hele tld. Maar het lukt nog niet 100% om het tegen te gaan.
Management hebben we aangeleerd, om dit direct aan ons te melden met de email attached. en we dit in de filter toevoegen voor de hele tld.
Kun je dat niet automatiseren? Want nu ligt de verantwoordelijkheid voor het detecteren van phishing emails gedeeltelijk bij mensen. En die maken fouten en dat hoeft er maar één te zijn.

onbekende url = automatisch blokkeren.

En die regel kun je toepassen op al je verkeer, in elk geval op tld niveau.
Management hebben we aangeleerd om als er toch een phising doorheen komt, en hij ziet dit direct te melden. Hij is niet verantwoordelijk, uiteindelijk moeten wij dit tegengaan ja, klopt.

Ik zal kijken met wat je bedoeld, we hebben zelf nog alles on-prem van meeste spullen, nog weinig in de Cloud, al staat het op de planning dat we migreren dit jaar naar de cloud.
Ik zal kijken met wat je bedoeld, we hebben zelf nog alles on-prem van meeste spullen, nog weinig in de Cloud, al staat het op de planning dat we migreren dit jaar naar de cloud.
Maar waarom? De cloud is niet zaligmakend, óók niet vanaf een security perspectief.
Omdat de overkoepelende groep dit wilt. Dat alles 1 is helaas.

Dus we zijn onze domains langzaam aan de trust aan het verbreken om bij groep te joinen.
- MS intune staat ik de planning voor de komende paar maanden. Dan kijken we verder. Helaas is dit ook niet wat wij willen. Maar ja.

Dan gaat alles via windows Defender omdat het toch in de licentie zit qua device security etc.
Filters lopen per definitie achter. En marker als high risk werkt alleen als het incidenteel voorkomt. Bij ons zijn alle externe emails tegenwoordig gelabeld. Maar dus ook emails van klanten en leveranciers. Als 99% van de externe mails van bekenden zijn heeft een markering van een onbekende niet zo veel effect meer.
Dat is precies waarom ik alle onbekende urls automatisch zou blokkeren.

Mensen maken vroeg of laat fouten, dus iemand gaat er in trappen en op zo'n url klikken. Het enige wat je nog niet weet, is wie er in trapt en wanneer dat zal zijn. Maar je weet 100% zeker dat het gaat gebeuren.
Je kan alles toe schroeven zodat er niks meer binnenkomt.
Maar kan je bedrijf dan nog werken?

Zeker in MKB/KMO is het soms een balancerende oefening.
Je kan alles toe schroeven zodat er niks meer binnenkomt.
Je kunt alle email binnen laten komen, het enige wat je imho moet doen, is het automatisch blokkeren van onbekende urls. Persoonlijk denk ik dat dit er niet zo heel veel zijn.
Maar kan je bedrijf dan nog werken?
Uiteraard! Alle email blijft gewoon binnenkomen, het enige wat niet meer mogelijk is, is zonder nadenken op een url klikken én direct naar die onbekende website surfen. Hoe vaak doe je dat nou in de maand?
Zeker in MKB/KMO is het soms een balancerende oefening.
Juist een reden om dit te automatiseren!
Dit is software, en hardware dan? Switches, firewalls, firmwares, wifi, patch punten etc…
klopt, morgen patchen we onze fortigate, omdat er een lek is.
pa in de avond.
Kan je even aangeven hoeveel werkposten/servers jullie zo beheren, en hoeveel personen de IT afdeling telt?
Ik denk dat het probleem juist bij die waterbedrijven is dat ze water leveren en de automatisering een noodzakelijk kwaad is. Als er al een sucuritypersoon is, dan zal dit een roepende in de woestijn zijn. Door de oproep van het Witte Huis kan de directie er niet meer onderuit maatregelen te nemen, maar ik denk dat dit nog steeds niet meer zal zijn dan het strikt noodzakelijke. En als er wachtwoorden als 1111 voorkomen, denk ik dat ze zelfs helemaal geen security hebben, tenminste niet op automatiseringsgebied.
Het maakt allemaal niet zoveel uit. Wat veel belangrijker is dat er besloten wordt door overheden om volwassen te reageren en een cyberaanval niet bestempeld als vervelend, maar als een "act of war" met bijbehorende maatregelen tot gevolg. Wanneer je altijd maar de slachtofferrol blijft spelen door meer beveiliging aan te schaffen en niet op staatsniveau te reageren wordt het alleen maar erger.
Verschrikkelijk om te lezen dat er gewoon gebruik gemaakt wordt van standaard wachtwoorden. Vrees dat ook in ons land dit soort wachtwoorden gebruikt worden voor belangrijke diensten
Ik durf er best wel wat op te verwedden dat veel mensen op tweakers ook een vrij makkelijk wachtwoord hebben ingesteld. En dat er ook veel mensen op tweakers hun wachtwoord op veel verschillende plaatsen gebruiken. Zelfs voor hun werk.
Dan verdienen ze het ook om gehacked te worden. Als je als "tweaker" niet eens de moeite neemt om je wachtwoord goed in te stellen, dan is het volledig karma.
Bizar dat je zo kan denken... een aanval op gezondheid van een bevolking karma noemen... Wanneer jij je fiets niet op slot zet. ben jij dan schuldig wanneer je fiets gestolen wordt? ... nogmaals bizar.
Met betrekking to de fiets: Ja. Als je weet dat de fiets gestolen kan wordenen en je neemt niet de moeite om het op slot te zetten; als de fiets dan gestolen wordt; is het naar mijn mening volledig een resultaat van je eigen je eigen handelen.
Er zijn allerlei gradaties van onveilig werken, maar het standaard wachtwoord laten staan is toch wel het dieptepunt van knulligheid.
Standaardwachtwoorden kun je in principe gewoon laten staan, als je minimale beveiligingsniveau phishing resistant is.
Hiervoor misbruiken ze onder meer systemen waarvan het standaardwachtwoord van 1111 niet is aangepast.
We weten toch ondertussen al 14 jaar lang dat dat niet al te slim is? :+

Iets serieuzer:
Drinkwater- en rioolbedrijven zijn volgens het Witte Huis aantrekkelijke doelwitten, omdat ze kritieke diensten zijn maar vaak niet genoeg middelen hebben om zichzelf goed te kunnen beveiligen.
Daarom zouden dergelijke (overheids)bedrijven federaal samen moeten werken. Voor de zaken die ze allemaal hetzelfde doen (meer dan 80% van het werk, schat ik zo) kunnen ze dan de middelen bij elkaar steken. Op informatiebeveiliging hoeven ze sowieso niet te concurreren.
Hoeveel systemen/accounts hebben we het over? Als de directeur van ieder bedrijf nu de IT afdeling bijeen roept en zegt: "alles behalve het meest noodzakelijke laten vallen en als de sodemieter alle wachtwoorden aanpassen", dan moet je binnen een week toch een heel eind komen?

'Gewoon' een carte-blanche die alle procedures overstijgt voor de duur van het project, ik bedoel nood breekt wet (waarschijnlijk letterlijk in dit geval).
Veelal zijn de gebruikte systemen dermate oud dat de beveiliging voor een beetje hacker geen probleem vormt. Ongeacht het wachtwoord. Dergelijke systemen zijn nooit gemaakt om super veilig te zijn. Windows 3.1, dos, 25 jaar oude plc's enz.
Ik vind DOS hacken nog best moeilijk zonder fysieke toegang. Maar er schijnt een Israelisch bedrijf te zijn die een van het netwerk losgekoppeld systeem heeft gehackt in Iran.
Dat was in Natanz, Iran. Het was geen Israelisch bedrijf, maar een samenwerking tussen de overheden van Israel en de VS.

Het stuk malware heet Stuxnet - de AIVD heeft ook nog een rol gespeeld om het binnen te krijgen en de 'airgap' te overbruggen.

Er is hier echt veel super interessante achtergrond. Ik raad het boek van Kim Zetter aan, de documentaireserie "Niemand die het ziet" van de NPO en meer als je jezelf wat verder wilt verdiepen.

[Reactie gewijzigd door jurroen op 24 juli 2024 18:17]

Als je het default wachtwoord van 1111 niet hebt aangepast voor zo'n belangrijk systeem dan verdien je het bijna om "gehacked" te worden.
Dat zal wel, maar dat helpt de klanten niet en die zijn het echte slachtoffer.
Het standaard wachtwoord aanhouden is inderdaad niet verstandig.

Echter blijkt er hier nog wat aan de hand te zijn: er is geen scheiding tussen IT en OT.
En dat is misschien nog wel belangrijker, want OT loopt qua firmware doorgaans erg achter.
Dat achterlopen is een keuze, want PLCs moeten plat om de firmware te updaten, en dat is zeer ongewenst.
Zou het niet mooi zijn als het default wachtwoord niet bestond, maar je een wachtwoord in moet stellen om een belangrijk systeem in gebruik te nemen.
Dan zouden er denk ik zat mensen die dat in moesten stellen alsnog voor 1111, 1234 of iets dergelijks gaan 'want dat kost geen moeite'

[Reactie gewijzigd door mexicanburribo op 24 juli 2024 18:17]

in een beetje fatsoenlijk systeem zijn dat soort sequences niet mogelijk. Volgens mij zijn daar zelfs richtlijnen voor (ik kan het niet zo snel vinden).
Daar zijn in principe zeker richtlijnen voor, althans in NL. Maar 2 dingen.

1) De kans is aanzienlijk dat deze systemen vrij oud zijn, denk aan jaren 80 of 90 (zou mij niks verbazen, zie het genoeg in NL). Ze zijn immers kritiek en als het werkt werkt het, IT vernieuwen is zelden de prioriteit bij de overheid. Als het werkt kijkt niemand er naar om tenzij er een keer een audit wordt gedaan (bijv door zo een bericht).

2) Het is de overheid, zoals je in NL kan zien zijn er allemaal richtlijnen waar de overheid aan moet voldoen maar dat keer op keer niet redt. Overheden, zeker op IT gebied, zijn ten minste log te noemen.

Alle twee absoluut geen goed excuus en het zou echt niet mogen. Maar de realiteit is anders jammer genoeg.
ik vind je comment nog al plat en bagatelliserend uitgedrukt, ik werk zelf voor en waterbedrijf waar de security meer dan op orde is.

dat dergelijke overheidsinstanties hun veiligheid of security niet op orde hebben is natuurlijk een feit of gewoonweg de middelen (budget) niet voor hebben of krijgen of niet genoeg kennis in huis hebben.

onze organisatie als waterbedrijf is security een prioriteit want er gaan genoeg privé gegevens in om in onze systemen en dat dient ten alle tijden op orde te zijn. en zover ik dat kan beoordelen is dat ook op orde.
Ik hoop dat ,dat waterbedrijf Dunea heet :)
Daar weet ik niks vanaf, maar als het niet mogelijk is, is dat goed. Als het slechts een richtlijn is zal dat in de praktijk denk ik alsnog weinig uithalen
Zou het niet mooi zijn als er helemaal geen wachtwoorden meer bestonden. Wachtwoorden zijn de bron van alle kwaad. Bovendien wordt niemand blij van wachtwoorden, behalve hackers.
Ieder normaal denkend bedrijf scheidt OT van IT, liefst 'galvanisch'.
Wordt IT gecompromitteerd, is er geen impact op OT.

Dit bericht voelt mij aan als bangmakerij en/of vraag om extra budget.
OT kun je ook succesvol aanvallen, zie Stuxnet.
Komen ze nu allemaal achter, echt, China loopt 10 jaar voor qua voorbreiding op deze koude oorlog.
Heb je een bron die noemt dat China de verdediging een stuk beter op orde heeft? De VS is namelijk best wel goed in offensief, dus op dat gebied zitten ze wel goed qua voorbereiding.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 18:17]

je zou het bijna niet zeggen, maar the great firewall zorgt er natuurlijk wel voor dat mensen die in fishing trappen dat alleen doen bij fishing sites die goed gekeurd zijn door de chinese overheid.
Ik weet hoe The Great Firewall werkt. Vaak genoeg ben ik er doorheen geglipt, en ik ken voldoende mensen aan de andere kant. Gebaseerd op blacklisting houdt het spam en scams niet tegen, en scams zijn er ook zeker binnen China.

The Great Firewall is er om met name de overheid te beschermen, niet de burgers.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 18:17]

Toevallig CrowdStrike ingevoerd ?
Dat is zoals indertijd op de ICBM's - om die sneller te kunnen lanceren had men het standaardwachtwoord van 3x 0 laten staan in de Vreselijke Straten (god behelpe ons voor een 2e dwaasheid - zoals een 2e keer Tyranosaurus Ramp). Zijn wij zeker dat het in de EU beter is?
Hoe sterk is de menselijke faktor onder controle?
Wie gebruikt er biometrische beveiliging voor bankieren (en evt. een koppeling met de smartphone) - wel 80% der vlamingen. Bon - niks is zo kwetsbaar als een smartphone - en biometrische data vind je toch wel op veel locaties (remember Schauble vs de CCC - 2 keer)? Wat toen kon - kan nu nog altijd al naargelang het platform vertrouwen we te veel op wat men ons wijs maakt en te weinig op ons gezond verstand.
Prima die smartphone, prima die versleuteling, prima die 2e extra faktor (de pin) - maar is een 3e element in hardware met een NFC'tje (sleuteltje met Fido2 of een passkey) misschien toch niet net dat tikje veiliger?
Zolang men blijft werken met SMS, Biometrie als één van de verificatie-mechanismen zal ik blijven weigeren om itsme te gebruiken (zelf gebruik ik altijd de boutade - als De Croo voor iets is, is het voor mij verplicht om tegen te zijn - maar dat is onderbouwd door die biometrie en/of te zwakke beveiligingen). Die android is niet zo onderhouden zoals het hoort - en zelfs het niveau van Apple is onvoldoende qua security voor bankieren.

Op dit item kan niet meer gereageerd worden.