Verder heb ik die term in deze context nooit gehoord en ik zit nog maar 30 jaar in het vak.
Bijzonder.
Graag onderbouwing van je stelling dat de rest grotendeels onwaar zou zijn.
Scriptkiddies staan er om bekend dat ze kant en klare tools van derden gebruiken, aangezien STUXNET gewoon openlijk (ook voor hen) te verkrijgen zijn is met wat modificaties het ook voor hun mogelijk.
Ten eerste is het doel van scriptkiddy om met zo weinig mogelijk werk zo veel mogelijk ' schade' aan te richten. Het verbouwen van zoiets complex als Stuxnet hoort daar niet bij.
Ten tweede was Stuxnet zo effectief omdat het specifiek geschreven was om specifieke Siemens software aan te vallen en het gebruikte een kwetsbaarheid waardoor we voor 95% wel kunnen zeggen dat dit is ingefluisterd door Siemens zelf. Als je een Scada zoals brug, watercentrale, etc. wil aanvallen dan moet je weten welke software daar gebruikt wordt, welke zwakheden er in deze specifieke software aanwezig is en dan ook nog Stuxnet omschrijven zodat de brug niet meer open of dicht kan.
Dit kan Scriptkiddy niet.
mmers die paar honderd ICT ingenieurs die in Nederland afstuderen zullen iets minder makkelijk vinden dan die 26.000 ICT ingenieurs die jaarlijks in India afstuderen omdat collectief denkvermogen nu eenmaal veel groter is.
Die paar honderd ICT ingenieurs in Nederland hebben wel toegang gehad tot de modernste middelen en gereedschappen. Ze hebben ook binnen mogen kijken bij bedrijven en hier ook mogen spelen. In India is dit wat lastiger. Daarnaast is het daar zo moeilijk een baan te krijgen dat er weinig wordt gespecialiseerd. Ik denk dat dit collectief denkvermogen op dit gebied wat tegenvalt.
Ook indien iets NIET direct of indirect aan het Internet hangt dienen zaken op zichzelf staand enige mate van veiligheid te kennen, echter is dit geen nationaal probleem aangezien proces-controle-systemen nu eenmaal niet gemaakt zijn met security-as-an-issue.
Ik denk dat je hiermee bedoelt dat het apparaat alleen via intranet/VPN benaderd kan worden?
Een apparaat dat niet direct aan het internet hangt, hoort ook niet indirect aan het internet te hangen. Je kiest voor ofwel online en goed beveiligd, ofwel offline zonder aansluiting what so ever.
Het is schijnveiligheid te denken dat iets dat indirect aan het net hangt veilig is, "want het is ons intranet en we hebben een firewall".....
Het is een illusie te denken dat enig overheid in de westerse wereld SCADA systemen op dit moment kan en/of zal oplossen alleen het onderzoeken en identificeren van ALLE SCADA systemen kost al miljarden, laat staan het verhelpen/vervangen van die systemen. Het is om die reden (kosten/baten/risico) niet een issue waar politici te veel waarde aan (willen) hechten.
Hier was ik het dus wel voor een deel mee eens. Of het identificeren van Scada systemen miljarden zal kosten? Ik weet het niet....
Tot slot, SCADA HACKERS hebben hun mond vol over de onveiligheid, maar ze tonen geen enkele oplossing, dat is ook onmogelijk aangezien je in elke straat kabels kunt opgraven en als je ergens in een straat een metalen doos, of betonnen gebouwtje ziet staan dan weet je dat je daar binnenin toegang kunt verschaffen tot een SCADA systeem. En daar doe je nu eenmaal niets tegen. Onveiligheid/restrisico is inherent aan SCADA.
Er zijn veel zaken die je wel kan doen (jij hebt toch 30 jaar ervaring?)
Begin eens met het indelen van de potentiële aanvaller(s) in groepen. Van script kiddy tot Iran. Tot welk niveau ben je in staat aanvallen af te weren en wanneer houdt het op (kosten-baten). Een echte aanval van een vijandelijke staat hou je niet tegen, maar je wil deze wel zo snel mogelijk herkennen en vertragen/stoppen.
Als een Scada hacker een systeem aanvalt zal hij ervaring hebben met dit systeem of zich er in ieder geval in hebben verdiept. De persoon verantwoordelijk voor de veiligheid moet dit op z'n minst ook doen en zorgen dat de meest logische aanvallen niet mogelijk zijn. Met eenvoudige beveiliging en het up to date houden van software kan je 80-90% van eventuele aanvallen al stoppen.
Mensen die beroepsmatig met het onderwerp bezig zijn, weten veel effectievere manieren om Nederlandse samenleving schade aan te doen, die amper tijd, geld, moeite of kennis nodig heeft. En daartegen doe je als samenleving ook niets.
Hier ben ik het niet echt mee eens. Een hack kan je onopvallend in je zolderkamertje voorbereiden. Als je het een beetje slim aanpakt ben je ook nog eens zo goed als anoniem. Daarnaast is er met veel hacks gewoon geld te verdienen.