VV08 cover 600
Oktober 2023

‘Beschouw alles wat aan het internet hangt continu als ‘onder vuur’’

Interview met Dr.ir. Gerard Hoekstra, lector cyber security Haagse Hogeschool en hoofd Sovereign Security Solutions bij Thales

10 01

Cybercrime is niet meer weg te denken uit onze digitale wereld. Ook gebouwbeheersystemen en installaties van vitale infrastructuur ontkomen er niet aan. ‘Dat ze met het internet verbonden zijn, is op zichzelf geen probleem. Mits je ze ontwerpt met secure-by-design producten, de systemen constant monitort en informeel geknutsel – ofwel shadow IT – voorkomt,’ zegt dr.ir. Gerard Hoekstra, lector Network and Systems Engineering Cyber Security bij De Haagse Hogeschool en hoofd van het onderdeel Sovereign Security Solutions bij Thales.

De dreiging van cybercrime is en blijft groot. Dat blijkt uit de Cybersecurity Monitor van het CBS en uit meldingen bij de politie. Juist omdat we vergaand gedigitaliseerd zijn, is Nederland een aantrekkelijk doelwit voor cybercriminelen. Want de impact van hun inbraken is groot en we laten de deur net wat wijder open staan dan in veel andere landen, zo blijkt. Dus persen cybercriminelen bedrijven af met ransomware, stelen ze gegevens die geld waard zijn of leggen voorzieningen plat uit politieke of sociale onvrede.
Achter namen als KillNet, BlackBasta en LockBit schuilen complete bedrijven met ploegendiensten, specialismen en dikke winst. Natuurlijk moeten we ons er tegen wapenen, vindt Gerard Hoekstra. ‘Maar we kunnen ons niet in betonnen bunkers verschuilen; ons niet laten leiden door angst. Vroeg of laat krijgt iedereen met cybercriminaliteit te maken, maar de digitalisering zal en moet doorgaan.’

OT en IT

Gerard Hoekstra studeerde elektrotechniek aan de universiteit van Twente en ‘bekeerde’ zich op latere leeftijd tot de (toegepaste) wiskunde, zoals hij zelf gekscherend zegt. De combinatie van die twee werelden leidde hem naar het domein van cybersecurity. Daar specialiseerde hij zich in beveiliging van onder andere OT (operational technology). Bij de Hogeschool past hij zijn kennis toe om het praktijkgerichte onderwijs vorm te geven, bij Thales om overheden, energiebedrijven en industrieën te helpen zich weerbaar te maken.
OT is verantwoordelijk voor de aansturing van gebouwbeheersystemen, maar ook van industriële processen. Onder IT verstaan we informatiesystemen in kantooromgevingen. De twee werelden waren tot voor kort gescheiden, evenals de beveiliging ervan. Maar nu ook productielijnen en klimaatsystemen aan het internet hangen en gegevens uitwisselen met de IT-wereld, groeien ze steeds meer naar elkaar toe. Het maakt OT gevoeliger voor aanvallers die via het internet een voet tussen de deur krijgen. Zodra ze binnen zijn, kunnen ze grotere schade aanbrengen nu er geen scheiding meer is tussen de twee werelden.

Beveiliging loopt achter

De beveiliging van IT is doorgaans beter geregeld dan van OT. Dat heeft meerdere redenen. Hoekstra: ‘OT-installaties hebben vaak een lange levensduur en vervullen cruciale functies. Wekelijks updaten of patchen is hier niet mogelijk of krijgt onvoldoende aandacht. IT-hardware gaat hooguit vijf jaar mee; de software is in de regel dus ook moderner en veiliger. De systemen werken vaak niet continu, daarom is het eenvoudiger om updates door te voeren of een patch-dag in te plannen. Een klimaatsysteem of de installatie van een waterzuiveringsbedrijf zet je daar niet even voor stil.’
Maar dit zijn juist ook interessante doelwitten voor kwaadwillende hackers. Zo zal een ziekenhuis mogelijk snel zwichten als cybercriminelen dreigen de verwarming op afstand uit te zetten. De risico’s zijn nog groter als de airco die het regelsysteem van een energiecentrale koelt wordt overgenomen. En met een gehackt systeem voor toegangscontrole kunnen inbrekers ook door de fysieke deur naar binnen.
Volgens Hoekstra is de energie-infrastructuur het gevoeligst voor cyberaanvallen. ‘Aan de ene kant omdat het veel installaties betreft en de systemen zwaar genetwerkt zijn. Aan de andere kant omdat de sector in een transitie zit naar een duurzamer model. Veel gevestigde bedrijven zijn nog zoekende, terwijl ze bouwen aan nieuwe systemen; dat maakt hen kwetsbaar.’

‘Geautomatiseerde systemen zijn op het internet voortdurend op zoek naar apparaten met kwetsbaarheden’

Continu onder vuur

Gebouwbeheer en industriële processen hebben enorme sprongen gemaakt in digitalisering. En dat heeft veel opgeleverd: voorspellend onderhoud, beter inzicht in de veiligheid en een efficiëntere bedrijfsvoering. Maar de bijbehorende beveiliging bleef achter. Zonder maatregelen te nemen, zijn ze kwetsbaar en onvoldoende weerbaar.
Hoekstra: ‘De digitalisering van OT-systemen biedt absoluut voordelen en moeten we vooral niet willen stoppen. Maar apparaten die direct aan het internet verbonden zijn moet je wel continu als ‘onder vuur’ beschouwen. Vandaar dat maatregelen nodig zijn om het op afstand bedienen en digitaal sturen veiliger te maken.’
‘Het draait daarbij om de combinatie van mensen, techniek en processen. Zorgen dat betrokkenen de juiste kwalificaties hebben, zich bewust zijn van de risico’s en de vastgelegde processen ook daadwerkelijk volgen. De techniek moet ontworpen zijn op veiligheid en daar telkens op getest worden. De procedures helpen om aanvallen te voorkomen, in te beperken en ervan te herstellen.’

Beveilig op functie

Een luchtbehandelingsinstallatie plaatsen is wellicht dagelijkse kost voor een gebouwtechnicus. ‘Maar’, zegt Hoekstra, ‘bedenk bij elke installatie wat het belang is van de functie die de installatie heeft. Is dat het bieden van verkoeling voor kantoormedewerkers of het koelen van een controller van een energiecentrale? De mate van beveiliging zal in die twee gevallen wezenlijk anders moeten zijn. En denk nooit: hier kan niemand bij komen. Ga er altijd van uit dat dit wél kan en neem daar voorzorgsmaatregelen op.’
‘Alle apparaten die zijn verbonden aan het internet,’ vervolgt hij, ‘moeten goed zijn ingesteld en voldoen aan hoge eisen met betrekking tot toegangsverlening, authenticatie, encryptie, updates en monitoring. Geautomatiseerde systemen zijn op het internet voortdurend op zoek naar apparaten met kwetsbaarheden. Omdat je kan aannemen dat alle systemen zwakheden hebben, is juist monitoring naar afwijkend gedrag heel belangrijk. Daardoor is een hack sneller te detecteren, beter te bestrijden en kun je de schade beperken.’

10 02

NIS2 onderweg

Hoekstra hoopt dat de nieuwe Network and Information Security wetgeving (NIS2) zal bijdragen aan verbetering op het gebied van cybersecurity. ‘NIS2 gaat meer sectoren verplichten om cyber-risico’s te beheersen dan nu het geval is. In 2024 moeten ook energie, transport, banken, drinkwater, post, levensmiddelen en afvalbeheer hun cybersecurity aantoonbaar op orde hebben. Ze krijgen te maken met zorgplicht, meldplicht en toezicht vanuit de overheid.’
De nieuwe meldplicht zal veel opleveren, denkt Hoekstra. Hij noemt Hoppenbrouwers in dat opzicht als het goede voorbeeld. Het bedrijf kwam snel naar buiten met de digitale overval en schreef er later zelfs een boek over. ‘Transparantie bij hacks is heel belangrijk. Zo kunnen gelinkte organisaties, klanten die nog niet getroffen zijn en collega-bedrijven, sneller en beter optreden. Helaas worden veel gevallen niet gemeld. Er heerst een taboe op. Dat is een hindernis om cybercrime goed te kunnen bestrijden. Hoe meer we weten van zwakheden en de signaturen van aanvallen, hoe meer lessen we delen, hoe beter we ons kunnen wapenen.’
De NIS2 vraagt ook meer aandacht voor keten-security. Terecht, volgens Hoekstra: ‘De installatiesector vervult een belangrijke rol in de keten en dus ook in het reduceren van risico’s. De keten is zo sterk als de zwakste schakel. Dat zagen we ook bij Hoppenbrouwers. Het bedrijf werd slachtoffer van de eigen toeleveringsketen; door een fout in geleverde software konden cybercriminelen bij de bedrijfsgegevens komen. Vanuit dezelfde gedachte, kunnen installatietechnici die onveilige software installeren of slordig omgaan met beheer op afstand, hun klanten schaden.’ Vooral als dat gebeurt bij bijvoorbeeld een energiecentrale of een sluizencomplex, zijn de gevolgen groot.

Security-by-design

Elke schakel in de keten heeft een eigen verantwoordelijkheid, legt de lector uit. Fabrikanten moeten producten maken die secure-by-design zijn en deze blijvend updaten. Engineers zullen hetzelfde principe moeten omarmen: veiligheid vanuit het ontwerp. Door van tevoren na te denken over het verlenen van veilige toegang en het beveiligen van informatie vanuit de systemen. Installatietechnici en system integrators zijn aan zet om hun toeleveringsketen goed te analyseren, betrouwbare componenten – zonder achterdeurtjes – te kiezen en alle noodzakelijke maatregelen te nemen om netwerken, gateways, software en randapparatuur veilig aan te sluiten en optimaal te beveiligen. Ze moeten er tevens voor zorgen dat installaties bedreigingen kunnen detecteren, ook op tussenliggende punten. In de gebruiksfase kunnen ze de aanvalsdreiging helpen te verminderen door het onderhouden en uitfaseren van verouderde producten.
Systeemeigenaren dienen op hun beurt via accountbeheer de toegang van gebruikers tot systemen te beperken, mensen bewust te maken van de risico’s van wachtwoorden op laptops met gevoelige data die worden afgedankt en weggegeven. Daarnaast moeten ze risico’s in kaart brengen en systemen monitoren op afwijkingen. Cruciaal is ook dat ze een draaiboek hebben voor het managen van noodsituaties.

‘Elke onderhoudsmonteur met een laptop is een risico, elke interventie door gebruikers is dat ook’

Aanvallen en verdedigen

Studenten Cybersecurity aan De Haagse Hogeschool lopen regelmatig stage bij bedrijven waar ze, verdeeld in ‘red’ en ‘blue’ teams, de veiligheid helpen vergroten,. De red teams bestaan uit aanvallers, opzettelijke hackers die zwakheden helpen blootleggen. De blue teams zijn de verdedigers. Die bouwen aan digitale ‘muren en bunkers’. De red teams komen vaak tot verbluffende constateringen. Het gemak waarmee je bij veel kritieke gegevens kan komen, is angstwekkend.’
Het opzettelijk hacken van OT-systemen kent ook risico’s. Dat wordt anders als er een digital twin is. In de virtuele tweeling van een fysieke installatie kun je er op los hacken zonder dat de installatie zelf daar schade van ondervindt. De bevindingen in de virtuele tweeling leiden tot oplossingen die vervolgens in de fysieke installatie door te voeren zijn.
Ook AI biedt handvatten. Door slimme algoritmes in te zetten die zoeken naar onregelmatigheden en afwijkingen, krijg je meer relevante gegevens dan wanneer mensen daar constant handmatig naar zoeken. Security Operations Centers (SOC) maken daar bijvoorbeeld dankbaar gebruik van. Deze externe dienstverleners beveiligen organisaties en bedrijven tegen cyberdreigingen door hun netwerken 24/7 te scannen op eigenaardigheden.

De zwakste schakel

Mensen zijn altijd de zwakste schakel als het gaat om cybersecurity. Elke onderhoudsmonteur met een laptop is een risico, elke interventie door gebruikers is dat ook. Hoekstra: ‘Bij installaties zie je dat men soms een Raspberry Pi bij een productieproces zet om iets te meten, zonder dat de IT-afdeling daar van af weet. Dat noemen we shadow-IT, hobbyistisch toegevoegde hard- of software die niet door de IT-afdeling wordt ondersteund. Misschien maken die verbinding met het internet of zijn ze niet geüpdatet. Voor je het weet is het een broeinest van cyberdreigingen. Partijen nestelen zich erin, vallen aan en je hebt geen idee waar het vandaan komt. Die informele systemen vormen een groot probleem.’
‘Een ander probleem is dat mensen vaak de officiële beveiligingssystemen proberen te omzeilen. Als we het vanuit de techniek te moeilijk gaan maken – 13 keer authentiseren, 18 wachtwoorden invoeren – dan gaan mensen geitenpaadjes opzoeken. Pas ook daar voor op.’
Steeds meer bedrijven voeren beheer op afstand uit voor hun klanten. Dat is geen extra risicofactor volgens Hoekstra. ‘De risico’s kunnen wellicht juist kleiner worden door niet ter plekke met een usb aanpassingen door te voeren of instellingen te wijzigen, maar dat te doen via een beveiligde verbinding die wordt gemonitord door een Security Operations Center. Op die manier gaat het efficiënter én veiliger.’
Het CBS laat zien dat 2.000 bedrijven met minimaal twee werknemers en nog eens 4.000 zzp’ers in 2021 te maken kregen met een cyberaanval. 11 procent van hen betaalde losgeld om bevrijd te worden van de gijzeling. De schade bij mkb-bedrijven was gemiddeld een kwart miljoen euro bij een cyberincident. Uit het internationale Data Threat Report van Thales blijkt dat bijna de helft van de bedrijven vorig jaar een toename van 22 procent in ransomware waarnam. 51 procent van de bedrijven gaf toe geen formeel ransomware plan te hebben.
Hoekstra: ‘Het is niet de vraag óf het je overkomt, maar wannéér het je overkomt. Preventieve maatregelen zijn belangrijk, maar even belangrijk is het om processen in te richten voor detectie en respons. Helaas maken veel bedrijven daar pas serieus werk van als het ze een keer is overkomen.’

Tekst: Astrid Zoumpoulis – Verbreaken
Fotografie: Eric de Vries