'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen'

Bij diverse Nederlandse gemeenten en waterschappen is het mogelijk om via internet de bediening van gemalen, pompen en bruggen over te nemen, zo stelt EenVandaag. De beveiliging van deze scada-systemen zou onvoldoende zijn.

In een reportage van EenVandaag was dinsdagavond te zien hoe de gemalen van de gemeente Veere via een scada-systeem met een eenvoudig te raden wachtwoord via internet zijn te bedienen. Hierdoor zou de waterhuishouding in de poldergemeente ernstig in gevaar kunnen komen. Volgens EenVandaag kunnen ook pompen in rioleringsbuizen, verwarmingsinstallaties en zelfs bruggen en sluizen op afstand bediend worden omdat de beveiliging niet op orde is.

De scada-systemen, die onder andere voor het uitvoeren van onderhoudswerkzaamheden op afstand aan internet worden gekoppeld, zijn in veel gevallen 'beveiligd' met standaardwachtwoorden of hebben zelfs geheel geen wachtwoord. Via een op scada gerichte zoekmachine kunnen de adressen van scada-systemen snel worden gevonden, terwijl ook standaard wachtwoorden die bedrijven hanteren eenvoudig zijn op te sporen. In Nederland zouden honderden van deze slecht afgeschermde scada-systemen op deze manier aangevallen kunnen worden, zo stellen deskundigen.

Hoewel de Nationaal Coördinator Terrorismebestrijding en het Nationaal Cyber Security Centrum al diverse malen hebben gewaarschuwd voor de risico's van scada-systemen, is er volgens experts in de politiek zowel op lokaal als nationaal niveau als bij beheerders nog weinig aandacht voor de kwestie. Politici van D'66 en VVD eisen inmiddels opheldering van de minister van Binnenlandse Zaken en de minister van Justitie over de beveiliging van de scada-systemen die in handen zijn van de overheid.

Eind januari diende D'66 al Kamervragen in over de beveiligingsrisico's van scada-systemen naar aanleiding van een achtergrondartikel op Tweakers.net. De partij wil onder andere van de ministers Spies van Binnenlandse Zaken en Opstelten van Veiligheid en Justitie weten of er daadwerkelijk zeer geavanceerde software nodig is om scada-systemen aan te vallen. Dit is onder andere gesuggereerd in het door Govcert.nl opgestelde Cyber Security Beeld Nederland 2011.

IT-banen

Reacties (53)

Biersteker 14 februari 2012 19:11

Dit is de search engine btw:
http://www.shodanhq.com/

edit: Ik heb deze zoekmachine neergezet om wat verduidelijking bij het artikel te geven, nu niet allemaal ipcams/scada systemem/etc etc. gaan overnemen, hoe slecht beveiligt dan ook.

trouwens ook een API voor Phyton/Ruby/Perl

[Reactie gewijzigd door Biersteker op 22 juli 2024 19:41]

martin149 @Biersteker • 14 februari 2012 20:38

Zelfs ze Tu/e is lekker bezig, ze hebben de printer ook gewoon aan het internet hangen

robinverl @martin149 • 14 februari 2012 21:30

So what? Een printer kan prima aan het internet hangen. Als er maar een fatsoenlijk authenticatie systeem achter zit.

martin149 @robinverl • 14 februari 2012 21:33

dat is het em nu juist, ik kan alles doen met de labelprinter bij BMT in eindhoven, ik hoefte alleen het zeer speciale wachtwoord "1234" in te typen.

robinverl @martin149 • 14 februari 2012 21:36

Het probleem is dus de authenticatie, niet het internet

Want anders kun je als nog kloten als je in de buurt van het apparaat bent, of op het netwerk van de Tu/e.

Niemand_Anders

Beveiliging

@robinverl • 14 februari 2012 22:56

@robinvert: behalve dan dat deze printer niet alleen hangt aan het internet, maar natuurlijk ook aan het interne netwerk. Wil je thuis kunnen printen op kantoor, zorg dan voor een VPN verbinding.

KPN is gehackt via een speedtest server van WideXS. Domein isolatie is erg belangrijk. De meeste bedrijven hebben webservers direct aan het internet hangen (met een firewall er tussen) en via het interne netwerk is dan de database te benaderen. Je isoleert daarmee de database server van het internet.

Maar waarom is het speedtest netwerk niet geisoleerd van het rest van het KPN netwerk. De gemakkelijkste methodes zijn via een aparte subnet of een vlan..

Printers en scanners hebben vaak een beperkte netwerk beveiliging. Dergelijke apparaten direct aan het internet hangen is gewoon dom. Niet slordig, maar dom.

Interne netwerken zijn vaak slecht of helemaal niet beveiligd. En beheer op afstand? Wat is er mis met VPN toegang? Uiteraard is ook een VPN server te hacken alleen is dat wel een extra hobbel op de weg. Ook zal een VPN zich niet bekend maken als een SCADA machine.

Misschien wordt het tijd dat managers en/of commissarissen persoonlijk verantwoordelijk kunnen gehouden voor de beveiliging van hun stukje (publieke) infrastructuur. Want op de een of andere manier weten de bestuurders wel altijd hun eigen hachje te redden. Waarom is de burgemeester wel verantwoordelijk voor het politie korps, maar waarom is er dan geen enkele wethouder verantwoordelijk voor de beveiliging van de infrastructuur?

foxofinfinety @Niemand_Anders • 15 februari 2012 00:05

waarom niet weet ik het antwoord wel op.
zodra de directie enkel het het woord "blokkeren" hoort, ongeacht de context, gaat het niet door.

ik werk bij een sociale werkplaat en ik mag het netwerk niet een controleren v.w.b. de beveiliging.

waarom? omdat bij voorbaat de directie al vind dat dit ongemakken zou opleveren en voor onwerkbare situaties zou zorgen.
en ja, als je het goed doet is dat niet zo, maar daar word dus gewoon niet naar geluisterd.
pas nadat alle gegevens van de directeur zelfs door gast accounts benaderbaar bleken mocht er verder gekeken worden.
tot dan, werd letterlijk gemeld dat er niet naar gezocht mocht worden, en we het moeten negeren en vergeten.

donny007 @Biersteker • 14 februari 2012 19:40

Zoek maar is op het woordje 'SCADA', 'Siemens' etc. in die zoekmachine, al zo drie apparaten gevonden waar de procesgegevens van uitleesbaar zijn.

Of probeer de zoekterm 'Linksys' maar is, dan vind je zo een paar onbeveiligde routertjes.

Met de zoekterm 'camera' kun je zo meekijken met iemand op kantoor/thuis

[Reactie gewijzigd door donny007 op 22 juli 2024 19:41]

ieperlingetje @Biersteker • 14 februari 2012 20:09

'k heb even een account aangemaakt, en het enige waar ik momenteel onbeveiligd op kan zijn netwerkprinters, dus lijkt mij dat de meeste bedrijven wel meteen het default password aanpassen.

EdVe @Biersteker • 14 februari 2012 21:50

OMG. Wat een search engine zeg. Heb al een hoop ip-telefoon gezien waar je gewoon kan inloggen met default ww. Zelfs cisco-routers zonder ww. Zit nu te kijken op een Home Control system van iemand.

SuBBaSS 14 februari 2012 23:14

Aan alle daredevils en andere l33t-haxorz hier: besef je wel even dat je je, ook met een "standaard"-wachtwoord oneigenlijk toegang verschaft tot het netwerk.
Beter blijf je er gewoon uit natuurlijk, maar ga er in ieder geval niet volop over lopen bloaten hier.
Nu is er nog veel toegankelijk maar stel nou dat hier de pleuris echt over uitbreekt, dan gaan die Teeven en Donner zich er misschien weer mee bemoeien en we weten onderhand dat dat weinig goeds oplevert, vooral als het om IT-topics gaat.

w4rguy 14 februari 2012 19:10

Het blijkt maar weer. security is een andere tak van sport dan applicatie-ontwikkeling en/of systeembeheer. Beveiliging is weer eens een ondergeschoven kindje. Immers, je hebt pas wat aan beveiliging op het moment dat het al fout gaat. Als je beveiliging goed inricht zie je er niks van want komen er geen problemen.

Vraag me af wanneer alle bedrijven dit soort dingen eens standaard in de agenda gaan opnemen...

Kees BOFH

Netwerk en systeembeheer

@w4rguy • 14 februari 2012 19:18

Beveiliging goed inrichten zorgt juist vaak voor meer gebruikersongemak, en dat wordt door sommige mensen als probleem ervaren. Daarom is security vaak een ondergeschoven kindje.

w4rguy @Kees • 14 februari 2012 20:01

dan moet je ook beveiliging GOED inrichten. Alles dicht timmeren is alles behalve goed inrichten. Als je beveiliging inricht moet je gebruikersvriendelijkheid en de "menselijke factor"ook mee laten wegen. Als je iets keihard dicht timmert gaan mensen er omheen werken (zo creatief zijn ze dan weer wel). Belangrijkste voor informatiebeveiligers is dat je business-alignment aanhoudt. Oftewel, laat je IT aansluiten bij de eisen van de organisatie, en alles behalve andersom.

Zo is ook vaak gebleken dat "security through obscurity" niet goed werkt. Het is niet erg om te laten zien wat je doet om te beveiligen, zolang ze de details maar niet weten. Mooi voorbeeld is Tweakers.net die bijhoudt hoe zij hun bedrijfscontinuïteitsbeheer uitvoeren door middel van Project Phoenix, om maar even iets te noemen...

robinverl @w4rguy • 14 februari 2012 21:27

"Kei hard dichttimmeren" en "omheen werken" passen mijn inziens niet in één zin.

Verder is het inderdaad in 99/100 gevallen zo dat volledige beveiliging gebruikers- of beheergemak doet verminderen.

Anoniem: 44174 @w4rguy • 14 februari 2012 22:23

Eén antwoordt, men moet gewoon ISA99 norm volgen en alles is ok.

Anoniem: 400003 14 februari 2012 19:08

Was dit niet al eerder op tweakers?
reviews: Scada-beveiliging: een structureel probleem

[Reactie gewijzigd door Anoniem: 400003 op 22 juli 2024 19:41]

Eagle Creek

@Anoniem: 400003 • 14 februari 2012 19:13

Die link wordt dan ook aangehaald in bovenstaand artikel onder de link "gewezen"!

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 19:41]

Anoniem: 400003 @Eagle Creek • 14 februari 2012 19:14

Wat is dan de nieuwswaarde van dit bericht, als het al bekend was?

Cloud @Anoniem: 400003 • 14 februari 2012 19:19

Ik denk het voorbeeld uit de praktijk, zoals je in het artikel kunt lezen:

In een reportage van EenVandaag was dinsdagavond te zien hoe de gemalen van de gemeente Veere via een scada-systeem met een eenvoudig te raden wachtwoord via internet zijn te bedienen.

Verder is het natuurlijk wel meer van hetzelfde, al is extra media-aandacht voor een probleem als dit natuurlijk nooit verkeerd.

Anoniem: 400003 @Cloud • 14 februari 2012 19:32

Ook een praktijkvoorbeeld stond al in het oude artikel:
"Dat beveiligingsproblemen in scada-systemen geen theoretisch probleem zijn, blijkt ook uit een onderzoek van Red Tiger Security, dat anderhalf jaar geleden op Black Hat werd gepresenteerd. Bij een analyse van circa 120 industriële systemen werden maar liefst 38.753 kwetsbaarheden aangetroffen." zie tabje 5, "geen theoretisch probleem"

[Reactie gewijzigd door Anoniem: 400003 op 22 juli 2024 19:41]

Anoniem: 411619 @Anoniem: 400003 • 14 februari 2012 20:44

Dat 'oude' artikel gaat over scada-systemen in het algemeen. Dit nieuwe artikel, en de reportage van EenVandaag, gaat over Nederland.

Er was dus wel bekend dat een percentage van de scada-systemen kwetsbaar zijn, maar nu is dus ook bekend hoe het er voor staat hier in Nederland.

Je zou het dus eerder moeten zien als een toevoeging op het oude artikel, dus wel degelijk nieuwswaardig (of wist jij al dat je de gemalen in Veere kon bedienen?).

[Reactie gewijzigd door Anoniem: 411619 op 22 juli 2024 19:41]

gevoelig @Anoniem: 400003 • 15 februari 2012 08:17

Wat is dat nou voor rare reactie?

Gisteren werd dit aangehaald op één vandaag.

Voor Tweakers.net is dat nieuws. Waarom?
Eén vandaag is een iets ander medium dan tweakers en de stappen die worden genomen na zo'n uitzending zijn vaak direct.

Bovendien zie je vaak herhaling in artikelen vanwege het feit dat een gemiddelde lezer niet alle voorgaande artikelen nog kent.

Anoniem: 330656 @Anoniem: 400003 • 14 februari 2012 19:09

Inderdaad. Ik kan me gelijke berichten herinneren.

Anoniem: 445231 14 februari 2012 21:10

Technisch is het allemaal niet zo moeilijk om de boel deugdelijk te beveiligen. Natuurlijk is het een probleem dat besturingen veel langer mee gaan dan in de ICT wereld gebruikelijk is. Er zijn echter oplossingen genoeg.
Het grootste probleem uit mijn persoonlijke ervaring is dat de ICT wereld en de besturingswereld totaal andere persoonlijkheden zijn die een eigen vaktaal gebruiken en elkaar niet kunnen of willen begrijpen.
Daar komt nog bij dat veel organisaties wel een traditionele onderhouds organisatie hebben voor de besturingen en een ICT afdeling maar geen afdeling die die twee werelden koppelt.
Een goede beveiliging ontwerpen vereist kennis van bijde werelden. Anders is het al snel niet meer te beheren.
De hardware leveranciers als Siemens, Pilz, Allen Bradley enz. zijn heel beschermend ten opzichte van hun hard en software en proberen alles in eigen hand te houden. Zolang je daar in meegaat, is ook beveiliging wel te doen maar zodra je systemen combineert roep je grote massa's problemen over je af.

Anoniem: 44174 @Anoniem: 445231 • 14 februari 2012 22:29

Nee, dat is niet zo, gebruik ISA99 en je hebt massa's argumenten om je management te overtuigen. Al kost het dan nog steeds tijd en energie, je hebt wel echte argumenten. Niet van die standaard kantoor IT argumenten, maar echt argumenten toegespitst op de industriële automatisering.

Deze week ervaren dat het uiteindelijk werkt.

Anoniem: 445231 @Anoniem: 44174 • 14 februari 2012 22:52

Doe mij ook zo'n baas.

Als het je inderdaad lukt om de brug te slaan en je vind de juiste mensen, dan kun je een grote slag slaan. De spraakverwarring en het onbegrip tussen de twee werelden bestaat wel degelijk.
Er is ook veel meer te winnen dan alleen beveiligings risico's. Zaken als zelf diagnose en centraal beheer van sourcefiles leveren ook beheerstechnisch grote winst op. Bovendien wordt de weg geopend voor nieuwe toepassingen. Als je de PLC/Scada wereld kunt koppelen aan Web 2.0 CMS systemen openenen zich weer totaal nieuwe mogelijkheden (mits veilig en betrouwbaar)

Luukje01 14 februari 2012 21:42

Het beveiligen dat loop allemaal wel z'n gangentje. maar dat de installateurs geen andere wachtwoorden als default hebben gezet, daar is het op het moment de grootste ramp.

Dat een digibeet met 'admin/password' inlogt en dan volledig toegang krijg, over bijv legerdesheils hun verwarming. dat is zorg wekkend. Elk weldenkend mens weet toch wel dat er ander wachtwoord op moet dan 'admin of password'. ALhoewel 'veere' te makkelijk was, kon Gemeente Veere zich uit de problemen houden als je '\/33r3' hadden gepakt. maar dit ter zeide.

Anoniem: 44174 @Luukje01 • 14 februari 2012 22:32

Heeft veel te maken met het feit dat veel bedrijven volledig afhankelijk zijn van system integrators (installateurs zie je in de woningbouw).

Ze weten dus helemaal niet wat die allemaal uitspoken, simpelweg omdat men vaak de kennis wegbezuinigt heeft. Dit is een direct gevolg van dat soort beslissingen.

Wat men eigenlijk heeft gedaan is te vergelijken met de kantoor IT wereld, alleen daar heeft men de beveiliging ook ge-outsourced, in de industriele wereld heeft men dat weggeleaten bij het outsourcen.
Pure incompetentie van veel managers.

Niekleair 14 februari 2012 19:39

Zo moeilijk kan het toch niet zijn om dit soort systemen een stuk beter te beveilingen dan ze nu zijn? Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo), dan moet het voor experts toch geen enkel probleem zijn om dit soort systemen te beveiligen op een dusdanige manier dat het voor de beheerder niet ondoenlijk lastig is bij zijn gemalen etc. te komen?

Iemand die echt binnen wil komen, komt het altijd wel, maar het is relatief eenvoudig om je netwerkverbinding dusdanig af te schermen dat in iedergeval zulke simpele aanvallen als vandaag in eenVandaag aangetoond werden, afgewend kunnen worden.

Is trouwens de stormvloedkering in de nieuwe waterweg te hacken? Dat lijkt me wel een aardig signaal afgeven, de haven even afgrendelen, kost maar een paar miljoen per uur

Zunflappie @Niekleair • 14 februari 2012 19:47

Was ook mijn gedachte.
Krijgen we straks 20 scriptkiddies die die deuren steeds dicht laten klepperen (en weer open smijten) en zo voort.

Soort van kattenluikje

benji83 @Zunflappie • 14 februari 2012 20:15

Nou, zo makkelijk gaat dat niet, die dingen hebben enkele uren nodig om dicht te gaan.
Daarbij zijn de stormvloedkeringen volledig automatisch, geen manual override voor zover ik weet, dus zal niet lukken.

Jurren @benji83 • 14 februari 2012 23:16

Alleen de Maeslantkering gaat volledig automatisch, de stormvloedkering heeft alleen een automatisch sluitsysteem bij menselijk falen. Bij de Maeslantkering kijken er ook gewoon mensen mee die in kunnen grijpen. Anders zou een systeembugje wel hele vervelende consequenties kunnen hebben. Ik ga er overigens van uit dat deze kritieke systemen wel goed beveiligd zijn. Polderpompen, -gemalen en -sluizen zijn wel van een andere orde dan de deltawerken. Dat hoop ik althans, zou een sterk staaltje onkunde zijn als de Maeslantkering met een default wachtwoord te sluiten zou zijn...

Herko_ter_Horst

@Niekleair • 14 februari 2012 19:57

Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo)

Zolang een willekeurige amateur nog denkt dat er meer dan 1 goede beveiligingstip in jouw post staat, kunnen we beveiliging van echte systemen beter aan professionals overlaten

Meer on-topic: beveiliging moet op alle niveaus meegenomen worden. 'Achteraf nog ff de beveiling regelen' werkt niet. Projectmanagers, applicatieontwikkelaars en systeembeheerders moeten hier aandacht aan besteden vanaf dag 1.

Dit soort systemen hoort overigens gewoon simpelweg niet rechtstreeks aan internet te hangen. Er zijn prima faciliteiten om e.e.a. via bijv. een VPN te regelen zodat je niet voor elk wissewasje een mannetje naar de sluis hoeft te sturen.

[Reactie gewijzigd door Herko_ter_Horst op 22 juli 2024 19:41]

Golodh 14 februari 2012 20:09

Ik ben niet snel geschokt, maar nu dus wel. Mijn tante heeft nog een betere beveiliging op haar laptop dan dit.

Is het nou echt teveel gevraagd om een routertje tussen zo'n pomp en het Internet te zetten die:
(1) niet thuis geeft bij pings, en niet met z'n complete adres in openbare tabellen staat
(2) alleen communicatie met bepaalde vantevoren ingestelde IP adressen (en liefst ook MAC adressen) toelaat
(3) netjes om een wachtwoord vraagt voordat íe je binnenlaat
(4) wachtwoorden gebruikt die net iets subtieler zijn dan 'admin' of 'veere' (d.w.z. de gemeentenaam waar de SCADA machine staat)

Volgnes mij ben je met een simpel consumentenroutertje van 63 Euro o.i.d. al een stuk beter uit dan nu.

Werkelijk. Wat ís dit hierzo???

borft @Golodh • 15 februari 2012 08:41

je weet dat mac adres filters op internet geen nut hebben (je kunt alleen mac adressen binnen een LAN, dus niet gerouteerd verkeer zien)? volgens mij moet je dergelijke systemen met fatsoenlijke authenticatie uitrusten. Dus niet een simpel wachtwoordje, maar bv ook met certificaten.

PBX_g33k @borft • 15 februari 2012 10:39

Snap niet waarom ze die systemen aan een VPN hangen, veel providers bieden Layer 2/3 VPN diensten. Hierbij hoeven de systemen niet te reageren op pakketten dat via het open netwerk (internet) komt.

donny007 @PBX_g33k • 16 februari 2012 11:23

Met een <insert netwerktoko> point-to-point vpn-setje heb je vrijwel plug-en-play een beveiligde verbinding over het internet, zelfs een routertje met DD-WRT-firmware kan het.

Het is niet duur (zeker niet als je het kostenplaatje van een mogelijke breach erbij pakt) en makkelijk op te zetten.

Anoniem: 442878 14 februari 2012 20:14

Ik ben wel geschokt als je de gevolgen beseft!
Kortom. Cyberterrorisme.Bommen leggen hoeft niet meer. Het hebben van een PC en een internet aansluiting is voldoende om de boel onder water te zetten. En als ze dat doen bij de Deltawerken is het echt gebeurd met 60% van Nederland.Aan het werk. Want de vijand luisterd mee.Dit betreft nationale veiligheid.

[Reactie gewijzigd door Anoniem: 442878 op 22 juli 2024 19:41]

Shuriken 14 februari 2012 20:19

Ik vind het als IT-er te bizar voor woorden dit. Je gaat toch geen kritieke systemen rechtstreeks toegankelijk maken vanaf het internet.

Dit geeft wederom aan dat lokale overheden niet genoeg know-how in huis hebben om dit soort systemen in beheer te hebben. Een ander voorbeeld zijn natuurlijk de gemeente websites met digid.

Zorg ervoor dat je er een VPN infrastructuur nodig is om dit soort zaken te bedienen. Of iets van een twee-traps raket, waarbij je eerst op andere systeem moet inloggen.

Luukje01 @Shuriken • 14 februari 2012 21:37

het is niet erg als je je zooi gelijk aan het inernet leg. maar doe opz'n minst andere wachtwooden dan default, wat nu het probleem is.

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.

[Reactie gewijzigd door Luukje01 op 22 juli 2024 19:41]

LooneyTunes @Luukje01 • 14 februari 2012 23:05

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.

Lijkt me dat je dit soort verbindingen vanuit meldkamers (24/7 bezet) laat regelen.
Niet bij die ene ambtenaar op zijn werkplek

En een VPN kan je natuurlijk via verschillende PC's opzetten.

Jurren @LooneyTunes • 14 februari 2012 23:33

Goede beveiliging heeft geen 24/7 menselijke bewaking nodig, en een security expert kan heel goed een ambtenaar op zijn werkplek zijn, dus ik vat je punt niet helemaal.
Maar een VPN met two-factor authentication is echt niet moeilijk op te zetten en inderdaad gewoon overal vandaan prima en snel bruikbaar. En bij een standaard stand-by regeling moet je ook gewoon ter plaatse kunnen gaan. Bij echte calamiteiten is dat vaak sowieso slim.

Op dit item kan niet meer gereageerd worden.

'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen'

Lees meer

Scada-beveiliging: een structureel probleem

IT-banen

Reacties (53)

Sorteer op:

Weergave: