D66 stelt Kamervragen over risico's scada-systemen

D66-Kamerlid Wassila Hachchi heeft aan de minister van Binnenlandse Zaken en de minister van Veiligheid en Justitie Kamervragen gesteld over de beveiligingsrisico's van scada-systemen. Aanleiding vormt een achtergrondartikel op Tweakers.net.

Hachchi werpt in de Kamervragen aan ministers Spies en Opstelten onder andere de vraag op of de suggestie in het door Govcert.nl opgestelde Cyber Security Beeld Nederland 2011 dat aanvallers over uitzonderlijk geavanceerde software moeten beschikken om scada-systemen succesvol aan te vallen, wel klopt. Deze conclusie staat volgens Hachchi in contrast met het achtergrondartikel 'Scada-beveiliging: een structureel probleem' dat onlangs op Tweakers.net verscheen.

In dit artikel wordt gesteld dat geavanceerde kennis en software niet strikt noodzakelijk zijn voor een geslaagde aanval. Zo kan er door een aanvaller die zijn pijlen richt op industriële systemen gebruik worden gemaakt van het vrij verkrijgbare pakket Metasploit. Deze software kan diverse beveiligingsproblemen blootleggen. Ook zouden veel via het web toegankelijke scada-systemen zichzelf openlijk identificeren via de http-headers, waardoor duidelijk is om welk systeem het gaat.

Hachchi wil van de ministers ook weten welke veiligheidseisen er worden gesteld aan scada-systemen, zowel bij de overheid als in de commerciële sector, en hoe hier toezicht op wordt gehouden. Zo vraagt de D66-politica zich af of het potentiële gevaar van het 'binnensmokkelen' van datadragers zoals usb-sticks in bijvoorbeeld een kerncentrale wel wordt onderschreven, en of hier beveiligingsprotocollen voor zijn opgesteld.

De D66-parlementariër wil verder weten of er op Europees niveau wel voldoende aandacht is voor de veiligheidsrisico’s van scada-systemen. Indien dit niet het geval zou zijn, dan spreekt Hachchi de wens uit dat de regering aandacht binnen de EU wil vragen voor de kwestie. De ministers hebben maximaal zes weken de tijd om antwoord te geven op de gestelde vragen.

IT-banen

Reacties (30)

Verwijderd 1 februari 2012 10:55

Ik geloof wel degelijk dat dit kamerlid, reden van bezorgdheid terecht is, voor een geavanceerd werkend systeem heb je helemaal geen pincode hardwarelezer en wachtwoord nodig om een systeem te beinvloeden en te ontregelen.
Waar het hier om gaat is dat je maar een enkel onderdeel hoeft te ontregelen van het gehele systeem, hoe dit werkt,.. Het gaat om beinvloeding van een scada systeem, niet zozeer om be-invloeding van een compleet pc-systeem, dus wat vorige keer op het nieuws was dat alle sluizen open gezet konden worden door een slechte beveiliging, heeft te maken met windows gekoppeld systeem wat gewoon open staat en niet beveiligd was.
Waar we hier over spreken is dat bijvoorbeeld de specieke rs-interface van bijvoorbeeld een sensor van een sluis meet hoeveel de waterstand of waterhoogte is,
geeft dit systeem teveel of een te hoge waterstand aan dan gaan automatisch of word op afstand de sluisdeuren opengezet.
Om dit te beinvloeden zit die sensor gekoppeld aan een printplaat met nog meerdere aangesloten sensors, die printplaat word door een specifieke fabrikant geleverd, door nu de firm-software te upgraden door overschrijving van de huidige kun je dus bij een lage waterstand in de software zelf die specifieke sensor laten geloven dat de lage waterstand te laag is en de sluisdeuren open moeten gaan. Er word dus door die sensor een te hoge waterstand gemeten, door beinvloeding van de software of eerder de hardware, middels een cd of usb-stick of aangekoppelde computer van buitenaf.
Dat is wat er gebeurt bij scada-systeem.
m.a.w.
Je kan bijvoorbeeld beademingsapparatuur en andere ic-apparatuur in een ziekenhuis geheel en volledig met firewalls beveiligen voor aanvallen van buitenaf en dit ook met succes dit ook goed en volledig lukt, zodra een dokter onbewust zijn foto's aan collega's wil laten zien die op een usb-stick staan, kan er een stuk scada software binnendringen in het systeem, op zoek gaan naar een specifieke onderdeel of printplaat in een beademingsapparaat, een firm-upgrade uitvoeren en er voor zorgen dat het apparaat niet goed meer werkt.
Dat is eigenlijk het probleem wat hier omschreven word.
Veelal werkt zulke software in een windows omgeving maar dat hoeft dus niet. Het kan dus ook in een bron-computertaal geschreven zijn.
Echter de kans is veel en veel kleiner en minimaal als een dergelijk ziekenhuis linux-besturings-systemen gebruikt die gekoppeld zijn aan hun gevoelige apparatuur.

Mijn computer is een open boek, daar ik werk met windows.
Microsoft gemaakte programma's zijn vaak ook aangepast aan de openboek strategie.
CIA AIVD en andere beveiligingsdiensten maken veelvuldig gebruik van deze software geapliceerde sytemen, zij weten hoe makkelijk het is om een systeem te omzeilen en zeker ook hoe Scada systemen kunnen be-invloeden.

Klaassie @Verwijderd • 1 februari 2012 14:30

Ik weet niet waar jij over praat hoor, maar volgens mij verwar je scada-systeem met een worm/virus. Een stuk scada software die binnendringt en een firmware upgrade uitvoert...??

Fordox 31 januari 2012 19:42

toch fijn dat de mensen hier ook een beetje invloed hebben op het politieke systeem.
nu maar hopen dat ze ook naar ons luisteren qua sopa en pipa... maargoed dat valt natuurlijk niet te vergelijken.

maar in ieder geval, het is fijn dat de overheid ook dit soort nieuws in de gaten houdt en elk lek proberen te dichten ookal lukt dat niet altijd.

humbug @Fordox • 1 februari 2012 04:35

Welk "nieuws"? Dit is weer een voorbeeld van een politicus die niets zinnigers weet te doen dan belangrijk te doen na aanleiding van een nieuwsbericht wat informatie die al lange tijd bekend is weer eens herkauwd. Je zou verwachten dat politici in staat zijn zelf met mensen te spreken en problemen te zien. Niet enkel copy/paste uit de krant of van het internet te doen. Maar helaas.....

Verwijderd @humbug • 1 februari 2012 12:22

Er zijn maar 150 kamerleden en meer dan 16 miljoen Nederlanders, ieder met z'n eigen problemen. Je kunt niet verwachten dat kamerleden alle problemen zelf kunnen ontdekken. Die gebruiken ook nieuwsbronnen en kaarten dat vervolgens aan. Dat is hun taak.

Gtoniser @Fordox • 31 januari 2012 19:47

Je bedoelt waarschijnlijk ACTA. SOPA en PIPA zijn (waren) amerikaanse problemen die al van de baan zijn.

Ontopic: Er wordt nagedacht over beveiliging bij de overheid, en er worden kritische vragen gesteld. Goede zaak!

u-two @Gtoniser • 31 januari 2012 21:32

ACTA is nog helemaal niet van de baan en is ook niet uitsluitend een Amerikaans probleem. ACTA is internationaal.
Het is achter gesloten deuren bedisselt, de europese toezichthouder heeft uit afgunst zelfs zijn job opgezegd. De inhoud is vergelijkbaar met sopa en pipa met enkel bizarre extras zoals alleenrecht van een farmaceutisch bedrijf op de door hun uitgevonden en gepatenteerde geneesmiddelen. Zelfs als er een wereldwijde epidemie uitbreekt.

Het europees parlement moet er nog op stemmen en is het enige orgaan dat dit handelsverdrag nog tegen kan houden.
Ik zou zeggen zoek je een petitie site (avaaz) en zet er effe je naam bij.

Shamalamadindon @u-two • 31 januari 2012 23:22

En vergeet ACTA's broertje niet, TPP. De details daarvan zullen pas 4 jaar na ondertekening openbaar gemaakt worden.

thedicemaster @u-two • 31 januari 2012 21:52

puntje achter ACTA niet gezien?

wimjongil @u-two • 31 januari 2012 21:56

Dat zegt Gtoniser toch ook niet?

Je bedoelt waarschijnlijk ACTA. SOPA en PIPA zijn (waren) amerikaanse problemen die al van de baan zijn.

OT: dat was dan weer €3750

Wel goed overigens dat t.net blijkbaar ook gelezen wordt door 'de hoge heren in Den Haag'.

D-Day @Fordox • 31 januari 2012 19:51

Go Tweakers! Ik heb een suggestie voor een volgend achtergrondartikel:

Brein. Gebruikt de entertainmentindustrie zijn hersens wel bij het bestrijden van "illegale" downloads?

Ontopic: inderdaad erg goed om te zien dat hier landelijk op wordt gereageerd. Veiligheid moet echt omhoog op de digitale agenda van NL BV...

walletje-w 31 januari 2012 19:51

Hartstikke mooi dat Tweakers door een goed artikel een maatschappelijk (toekomstig) probleem aankaart voordat er grote problemen mee zijn gebeurd. Dit vind ik een goede reactie van een politicus die iets leest en hierdoor wakker wordt.
Ik kan niet anders dan concluderen dat Tweakers een goed artikel heeft geschreven op een goed moment. Met hopelijk positieve gevolgen.

miw @walletje-w • 31 januari 2012 20:09

Ten eerste gaat het hier om een probleem dat bij de SCADA experts allang bekend is. Leuk dat tweakers daar een artikel over schrijft want dat maakt dit probleem in veel bredere kring bekend. De kamervragen lijken me weinig toe te voegen aan de beveiliging van SCADA systemen in Nederland en lijken vooral bedoelt als publiciteits actie van het Kamerlid.

walletje-w @miw • 31 januari 2012 20:55

Waarom zou dit weinig toevoegen aan de beveiliging SCADA systemen? Omdat die ontwikkeld worden door grote bedrijven? Die kunnen toch ook alleen software uitbrengen die voldoet aan de wetgeving in het desbetreffende land. Stel nou dat er wetgeving komt dat alle SCADA systemen losgekoppeld moeten worden van het internet (even los van de onmogelijkheden) Dan zal een bedrijf daar aan moeten voldoen. Zo zullen er vast nog wel meer opties zijn zoals bijvoorbeeld als een simpel iets als SCADA systemen moeten up to date zijn.

Het zou goed kunnen dat het kamerlid zoiets zegt om meer publiciteit te krijgen. Maar wat is daar verkeerd aan als dit wel positieve gevolgen heeft. Ik zou het niet gelijk in zulk negatief daglicht willen plaatsen en het alleen maar willen toejuichen in plaatst van kamervragen willen stellen over een kinderen voor kinderen liedje.

Zer0 @walletje-w • 31 januari 2012 23:56

Waarom zou dit weinig toevoegen aan de beveiliging SCADA systemen? Omdat die ontwikkeld worden door grote bedrijven? Die kunnen toch ook alleen software uitbrengen die voldoet aan de wetgeving in het desbetreffende land.

En je kunt alleen maar software gebruiken die gemaakt wordt. SCADA systemen groeien niet als paddenstoelen uit de grond, en je hebt ze nodig. De keuze is redelijk beperkt,

Stel nou dat er wetgeving komt dat alle SCADA systemen losgekoppeld moeten worden van het internet (even los van de onmogelijkheden) Dan zal een bedrijf daar aan moeten voldoen. Zo zullen er vast nog wel meer opties zijn zoals bijvoorbeeld als een simpel iets als SCADA systemen moeten up to date zijn.

Beide zaken hebben niks met de systemen zelf te maken maar met de implementatie en het beheer.

Mr_gadget @miw • 31 januari 2012 21:18

Misschien krijgt het dan nu eindelijk wat meer aandacht. En het kan bij de experts wel bekend zijn, maar als het hogere management denkt "het zal wel los lopen" dan gebeurd er alsnog niks. Misschien krijgen ze nu wel meer tijd om de beveiliging goed in te richten.

Overigens goed te horen dat er partij is die zich ook meer ict verdiept.

n4m3l355 @Mr_gadget • 1 februari 2012 07:11

Een partij die zich in de ICT verdiept? Mij komt dit verhaal eerder over dat toevallig iemand uit de politieke wereld een artikel heeft gelezen en hier munt uit slaat. Niets mee mis, doen politieke partijen graag ten gunste van een bepaalde groep zelf er beter uitzien maar dit betekend nog niet dat ze daadwerkelijk geinteresseerd zijn in een probleem.
Als ze morgen op de margriet.nl lezen dat boter dioxine mogelijkerwijs bevat hoor je hier wel van de PvdD wat van en overmorgen op www.marokko.nl staat is een blondje weer gepikeerd. Niets mee mis, ze vertegenwoordigen allemaal wat we graag willen horen maar de gedachte dat iemand opeens gegronde intresse heeft is een ander verhaal. Als ze geinteresseerd waren hadden ze veel eerder aan de bel getrokken toen bv aanvallen in Iran werden gepleegd mbv stuxnet op soortgelijke systemen.

blouweKip @miw • 31 januari 2012 20:56

Aangezien het duidelijk een probleem is kan signalering geen kwaad lijkt me, schijnbaar zijn de SCADA experts er dus niet (voldoende) in geslaagd hier bij het parlement voldoende ruchtbaarheid aan te geven en kunnen deze vragen alleen maar een positief effect hebben.
Veel recente aanvallen op minder kritieke systemen hebben al laten zien dat bij het bedrijfsleven en diverse overheden een grote mate van nalatigheid bestaat als het gaat om beveiliging, kan geen kwaad als daar wat meer politiek aandacht op wordt gevestigd ongeacht wat de eventuele motivatie van het kamerlid is geweest.

Dreeke fixed @blouweKip • 1 februari 2012 11:04

Wat een onzin reactie, alle scada experts weten dat een scada pakket een beveiligings risico is, lees het tweakers artikel maar eens(het is redelijk populair geschreven maar een beetje aandacht is nooit weg).
Waar het om gaat is dat de ict experts/managers niets doen om dit beveiligings probleem te minimaliseren samen met de scada experts. De bulk van de systemen zit gewoon achter een firewall/vpn inlog/lokaal inlog/remote desktop inlog(alle 4 hoop ik dan tocht), maar er zijn systemen die gewoon door elke medewerker van een bedrijf te benaderen is via het intranet!
Als dit via het parlement geregeld moet worden is het slecht gesteld met de ict experts/managers bij bedrijven.

Verwijderd @miw • 31 januari 2012 20:56

Ik weet zeker dat de beveiligers bij bedrijven die SCADA gebruiken nu toch nog een keer achter hun oor krabben en de protocollen even na gaan. ook zal er vanuit het ministerie nog wel een bericht rondgaan hierover. Het is niet dat er nu opeens een structurele oplossing gaat komen, maar er zullen wel wat fouten weggewerkt worden door de aandacht ervoor.

Verwijderd @miw • 31 januari 2012 21:00

Ja het probleem is al lang bekend en ja er wordt veel in security geïnvesteerd, maar het zou lekker zijn als de software veiliger zou zijn. Dat zou veel schelen om een systeem veilig te krijgen.

musiman

@Verwijderd • 1 februari 2012 09:05

Voor een groot deel wordt de (on)veiligheid bij SCADA systemen bepaald door de softwareleveranciers. Die dicteren op dit moment waar hun software op moet draaien. Hierdoor ontstaat de situatie dat deze software zeer vaak op verouderde besturingssystemen draait welke ook nog eens niet gepatcht mag worden omdat anders de support vervalt.

Zou het mogelijk zijn dat de Overheid een soort van verplichting introduceert waarin staat dat alle software die geleverd wordt aan Nederlandse bedrijven of bedrijven die in Nederland vestigingen hebben, minimaal voor de duur van 15 jaar bijgehouden moet worden voor wat betreft security patches én aanpassingen die ervoor zorgen dat die software ook op volledig gepatchte c.q. nieuwere besturingssystemen draait en supported wordt?

15 Jaar lijkt erg lang, maar dat is wel "gewoon" bij SCADA systemen. Het heeft een langere levensduur dan we in de IT wereld gewend zijn.

Zo draait er bij een bedrijf dat ik ken (in Nederland) nog heel veel software op Windows 2000SP2, Windows NT 4, etc. En wordt er zelfs nog gebruik gemaakt van bijvoorbeeld COAX netwerken en ARCnet.....

Verwijderd @musiman • 2 februari 2012 16:30

Handig he zoon systeem zonder USB. Ik ken dit soort gevallen ook.

Jermak 31 januari 2012 20:36

Wat een ophef, elk systeem dat van "buiten" te benaderen is kan met het juiste wachtwoord op zwart gezet worden. of het nou de site van de FBI of Cia of een simpel scada systeem is dat de waterhoogten doorgeeft of verkeerslichten in de dorpstraat ons dorp.

En als je het niet weet, kun je gokken en dagen lang proberen of een "tooltje"gebruiken of installeren.

[Reactie gewijzigd door Jermak op 26 juli 2024 00:13]

iChaos @Jermak • 31 januari 2012 20:53

Een geavanceerd scadasysteem of iets anders met een hoog level van beveiliging zit wel iets lastiger in elkaar dan een wachtwoord. Ga er maar van uit dat je daar je wachtwoord, een hardwarematige lezer en een pincode voor nodig hebt, en diverse controlers dat er slechts vanaf enkele locaties toegang verkregen kan worden.

Dat hoop ik althans...

Sibert @iChaos • 31 januari 2012 21:06

Daar gaat het artikel juist over: geen whitelisting, standaardpasswoorden etc.

Klaassie @Sibert • 1 februari 2012 00:13

Bedoel je dat ene voorbeeld waarbij de onderzoeker zelf de whitelisting in kon stellen? Misschien was het wel een testsysteem. Als het hier om een kritisch en 'live' systeem gegaan was had die onderzoeker dat vast wel vermeld. In plaats daarvan zegt'ie dat het systeem "volgens de fabrikant bijvoorbeeld voor het beheer van waterpompen kon worden gebruikt". Ja, daar heb je wat aan. Zo kan ieder Scada-systeem "bijvoorbeeld voor het visualiseren van een kerncentrale worden gebruikt".
Vraag het dan direct aan de betreffende gebruiker in plaats van aan de fabrikant. Zolang niet vaststaat dat er een kritisch systeem open stond voor sabotage, heeft publiceren hierover weinig nut. Behalve dan voor de mensen die hun geld verdienen met het beveiligen van systemen, het onderzoek hiernaar en het publiceren hierover...

Hoeveel Scada-systemen zijn er wel niet?
Hoe vaak is het voorgekomen dat een Scada-systeem gesaboteerd werd?

Mijn conclusie is dat het blijkbaar wel meevalt met de kwetsbaarheid van Scada systemen.
Om daar nu (van onze belastingcenten) kamervragen over te gaan stellen...

Wel een opsteker trouwens voor tweakers.net en voor de auteur van het artikel. Het wordt blijkbaar gelezen. Congrats!

iChaos @Sibert • 31 januari 2012 22:09

Mijn post was dan ook de mogelijke verontwaardiging die iemand die het artikel niet gelezen had kreeg wanneer hij ontdekt dat deze systemen niet zo werken zoals diegene eigenlijk zou moeten verwachten. Maar dat was niet helemaal duidelijk uit mijn post ;p

Verwijderd 2 februari 2012 16:35

SCADA systemen hoeven helemaal niet secure te zijn. Dit zijn van origine afzonderlijke netwerken die niet aan het bedrijfnetwerk gekoppeld zijn. Laat staan internet. De beste security is gewoon geen interconnecties. Maar goed men wil tegenwoordig steeds meer, en vanaf andere locaties en dan komt security ineens om de hoek kijken. En SCADA/PLC leveranciers hebben tot voor kort hier niet mee te maken gehad. De gemiddelde PLC/SCADA programmeur die ik ken, weet niets van security. Dit zijn mensen die een elektrotechnische achtergrond hebben.

Verwijderd 3 februari 2012 13:07

Sommige systemen moeten wel secure zijn, een kerncentrale bestaat in sommige landen als standalone systeem maar is op zich een scada systeem, maar zou je dat scada systeem ook kunnen omschrijven als een bedrijfsssytseem, russiche reactoren werken niet met windows of linux.(Even als voorbeeld). Toch kunnen de processen ontregeld worden, als er bijvoorbeeld een usb aansluiting aan het systeem is gekoppeld of een cd-lezer.
Men spreekt dan over speciaal aangestuurde software, die op zoek gaat naar een specifiek stuk hardware in het systeem. Een usb stick of een cd is namelijk makkelijker een kern centrale in te smokkelen dan bijvoorbeeld een hele printplaat met schakelingen en procesoren.
Daarover uit dit kamerlid de bezorgheid over.
Dat betekend dus dat een systeem waterdicht moet zijn of moet kunnen werken, ook in een kerncentrale. Daaruit volgt dus dat het gehele systeem op de schop moet en speciale protocollen voor moeten komen, en dat alles, het volledige proces inclusief een veiligheidsrisico (de mensen) uitgebreid gemonitord moeten worden.

Sommige scada systemen zijn verlengd met bijvoorbeeld, internet, linux, ms-dos-windows of een combinatie daarvan waarover tweakers bericht heeft,
over software die het nogal makkelijk maken om een compleet proces-systeem te ontregelen.
Zij geven aan hoe makkelijk dat kan gebeuren als diverse Scada systemen gekoppeld zijn o.a. aan het internet, het kamerlid belicht en benadrukt ook dat zo'n systeem ook makkelijk ontregeld kan worden vanuit een bedrijfssysteem wat geheel losgekoppeld werkt van het internet.

Op dit item kan niet meer gereageerd worden.

Lees meer

Scada-beveiliging: een structureel probleem

IT-banen

Reacties (30)

Sorteer op:

Weergave: