Juli, 2018
Operationele systemen delen gemak én lasten informatietechnologie
Steeds meer operationele systemen (OT), zoals camera’s, maar ook klimaat- en verlichtingssystemen, worden gekoppeld aan informatietechnologie-netwerken. De beloftes zijn dan ook groot: met slimme systemen die het niet alleen de gebruikers een stuk comfortabeler maken, maar die ook het gebouwbeheer ondersteunen en de energierekening omlaag brengen. De keerzijde van de samensmelting van OT en IT is echter dat de problemen rondom cybersecurity van de IT-wereld ook onderdeel worden van de OT-wereld. En andersom: de zwaktes in de OT-omgeving hebben hun weerslag op de veiligheid van de IT-omgeving.
De Nederlandse overheid is er veel aan gelegen om de weerbaarheid van de samenleving te vergroten. Ook de EU ziet cybersecurity als een belangrijk thema voor de komende jaren, waarin de digitalisering van de maatschappij alleen maar zal toenemen. Om de veiligheid en het vertrouwen in de ict-infrastructuur te vergroten, ondersteunt de Rijksdienst voor ondernemend Nederland (rvo.nl), deels gefinancierd vanuit het Europese Fonds voor Interne Veiligheid, onderzoek naar cybersecurity via de zogenaamde SBIR-regeling. De regeling is in het leven geroepen om de markt uit te dagen oplossingen te zoeken voor grote maatschappelijke uitdagingen.
De SBIR Cyber Security was aan zijn derde ronde toe en inmiddels zijn de onderzoeksprojecten bekend gemaakt die het komende jaar hun bijdrage zullen leveren aan het vergroten van de veiligheid op de digitale snelweg. Een daarvan is de samenwerking tussen KPN en SecurityMatters.
Bacnet
Suzanne Rijnbergen, portfoliomanager Security bij KPN: ‘Veel gebouwbeheersystemen communiceren momenteel via Bacnet. Die standaard heeft zich in de afgelopen jaren bewezen als waardevol, open en betrouwbaar communicatieprotocol voor operationele systemen. Het enige nadeel is dat dit protocol destijds niet is ontwikkeld met security in het achterhoofd. Gebouwbeheerders zijn vaak verantwoordelijk voor meerdere gebouwen waardoor ze meer behoefte hebben aan beheer en onderhoud op afstand. Als dan ook nog IP-communicatie wordt toegevoegd in slimme verlichting, camera’s en toegangssystemen, sluipen de gevaren van de IT-omgeving de OT-omgeving binnen.’
‘SecurityMatters heeft al langere tijd ervaring met de beveiliging van Scada-systemen uit de industriële omgeving, die dezelfde transitie doormaken. Ook productiebedrijven en de procesindustrie willen hun productiesystemen op afstand kunnen uitlezen of soms zelfs aansturen, en maken gebruik van onderhoud op afstand, maar willen niet dat dit risico’s met zich meebrengt wat betreft security.’
KPN heeft op haar beurt ervaring met intrusiedetectie en biedt daarvoor al diensten aan haar IT-klanten. De partijen werken samen aan een netwerkgebaseerd Building automation intrusion detection systeem (Brain), dat het Bacnet-verkeer in het GBS kan volgen om vervolgens te detecteren als ongeautoriseerde partijen toegang proberen te krijgen. Brain controleert deels autonoom via blacklists en whitelists of het gemonitorde verkeer via het GBS een bedreiging vormt. Ook verkeerde configuraties of al dan niet bewuste manipulatie van het systeem zou het systeem moeten kunnen signaleren.
Rijnbergen: ‘Via asset discovery weet Brain welke Bacnet-apparatuur met het GBS communiceert. Ook wordt duidelijk waar eventuele risico’s en misconfiguraties zitten in de architectuur. De veiligheidsexperts van KPN of van de klant zelf, kunnen meekijken naar het netwerkverkeer en eventueel ingrijpen. Brain is flexibel ontwikkeld en kan ook worden ingezet om eerst een nulmeting te doen en zo de veiligheidsrisico’s en maatregelen in kaart te brengen. Daarna kan een klant altijd nog kiezen voor continue detectie en eventuele blokkering van risico’s.’
‘We werken nu samen aan een werkend prototype waarmee we in elk geval kunnen bewijzen het gewenste veiligheidsniveau te halen. Uiteindelijk willen we Brain ook als product aan de markt gaan leveren en het liefst voegen we daar ook nog een aantal andere communicatieprotocollen aan toe.’
Door een fout van een aircoleverancier konden de nummers van 44 miljoen creditcards van Target-klanten worden ontvreemd.
Malware
Dat de ideeën van de OT- en IT-wereld nog wel eens botsen, vindt Rijnbergen niet vreemd: ‘De OT-wereld is vooral geënt op beschikbaarheid. In de industrie, maar ook in gebouwbeheer is het belangrijker dat een systeem het altijd doet en betrouwbare informatie uitwisselt dan dat hij goed is afgeschermd. Door de protocollen waarmee deze partijen werkten en het ontwerp van de systemen waren ze doorgaans toch niet extern toegankelijk. Met de komst van IP-technologie is dat aan het veranderen.’
‘IP heeft vanaf de ontwikkeling van het internet te maken gehad met risico’s rondom het beschermen van informatie. Hierdoor is cybersecurity al veel eerder een belangrijk element geworden in de verdere ontwikkeling van IT. De kunst is dan ook om de beschikbaarheid van operationele systemen te kunnen blijven garanderen, met eenzelfde veiligheidsniveau als de IT-netwerken.’
Dat het wel eens mis gaat met operationele technologie, laat het voorbeeld zien van de supermarktketen Target in de Verenigde Staten. ‘Een aircoleverancier wilde graag zijn systemen op afstand kunnen monitoren en onderhouden’, zegt Rijnbergen. ‘Het bedrijf kreeg echter te maken met malware en infecteerde ook zijn klant. De cybercriminelen achter de aanval wisten op deze manier de nummers van 44 miljoen creditcards van de klanten van Target te ontvreemden. De materiele schade was groot, maar de reputatieschade misschien nog wel groter.’
Risicomanagement
Rijnbergen: ‘Bedrijven zullen hoe dan ook meer oog moeten hebben voor risicomanagement. Aan de ene kant omdat ze zich nu eenmaal moeten houden aan wettelijke verplichtingen. De Warmtewet stelt bijvoorbeeld bepaalde leveringsverplichtingen aan een installatie. De installatieadviseur zal dan ook de risico’s op het niet nagaan van die verplichtingen in kaart moeten brengen en daar hoort ook cybersecurity bij. Ook de Wet Bescherming Persoonsgegevens stelt eisen aan de IT- en OT-beveiliging. Een detectiepoortje van een groot bedrijf is doorgaans gekoppeld aan gevoelige persoonlijke gegevens die niet aan derden mag worden verstrekt. Als deze informatie op straat komt te liggen, is een bedrijf via de Meldplicht Datalekken verplicht hier melding van te maken en kan hiervoor een forse boete krijgen.’
‘Boven alles zouden bedrijven ook vanuit eigen motivatie de bedrijfsrisico’s moeten willen onderzoeken. Toen de ruiten van de kassen in het Westland braken na een windhoos, mislukte de oogst door de grote temperatuurdaling. Wat als een hacker de ramen ineens openzet of het klimaatsysteem op 10 °C zet? Of wat als dit gebeurt bij een beurshandelaar op de Zuidas? Criminelen worden steeds inventiever en ook hun verdienmodellen evolueren mee met de uitbreiding van het internet. Voor twee tientjes koop je al een DDOS-aanval en voor iets meer geld kan je op het darkweb ook nog wel wat geavanceerder spul krijgen, zoals ransomware.’
‘Een hacker hoeft het dan ook niet eens persoonlijk op je gemunt te hebben: een concurrent kan net zo goed op een strategisch moment de boel willen verstoren. Nu denk ik niet dat installatieadviseurs overdreven bang moeten worden, maar het is wel goed om in elk geval na te denken over de gevolgen van een eventuele cyberaanval. Als je dat weet, weet je ook wat een klant het waard is om zo’n aanval te voorkomen.’
Spionage
Met de vervlechting van het internet met de maatschappij neemt de dreiging van cybercriminelen ook toe. Klaus Kursawe is gespecialiseerd in de beveiliging van kritische infrastructuren. ‘Het Internet of Things is een mooie ontwikkeling, maar maakt het partijen wel gemakkelijker om waardevolle informatie te verzamelen of de IP-nodes in hun voordeel te gebruiken. Zo staan bewakingscamera’s bekend om hun zwakke beveiliging doordat ze vaak zijn voorzien van standaardwachtwoorden en daarmee een gemakkelijke gastheer voor IoT botnets. Die botnets kunnen vervolgens weer worden ingezet voor het minen van bitcoins of het opzetten van een DDOS-aanval.’
Volgens Kursawe is het voor bedrijven nagenoeg onmogelijk om geheel gevrijwaard te blijven van spionage, sabotage of bijvoorbeeld afpersing. ‘De Irak-oorlog kon worden voorspeld aan de hand van het aantal pizza-bezorgingen aan het Pentagon. Ook bedrijfsspionage kan al op een heel basaal niveau door te kijken tot hoe laat de lichten nog aan zijn in een kantoor. Het feit dat steeds meer machines en apparaten aan het internet zijn verbonden maakt spionage, maar ook sabotage wel een stuk eenvoudiger. De oplossing is deels ook eenvoudig: gebruik goede wachtwoorden op netwerkcamera’s. Maar als elke lichtarmatuur zijn eigen IP-adres krijgt, wordt het al een stuk lastiger om alle beveiligingssleutels te wijzigen, die te registreren en ze dan ook nog allemaal regelmatig te verversen.’
‘Key-management is een vak op zich, net als versiemanagement als een leverancier een firmware update doet. Grootste probleem in dit verhaal is in de eerste plaats dat vaak niemand zich verantwoordelijk voelt voor de cyberveiligheid. De leverancier wil vooral zijn spullen verkopen, de inkoper wil een goede prijs en de installateur is klaar zodra het laatste systeem is aangesloten. Wil je de cybersecurity echt goed aanpakken, dan moet je al bij het ontwerp van een systeem nadenken over risicomanagement. Een inkoper zal dan alleen systemen kopen die goed zijn afgeschermd, terwijl de IT-afdeling samen met een installatiedeskundige de koppeling van de OT met de IT-omgeving kan borgen.’
‘Bedrijven die echt grote risico’s lopen, zoals banken, hebben dit vaak goed voor elkaar. Helaas zijn veel andere partijen zich nog niet zo bewust van de gevaren. Cyberveiligheid begint dus bij veiligheid- en risicobewustzijn. Wat is de kans dat een dreiging zich voordoet en welke materiele en immateriële schade kan dit veroorzaken? Door risico te kwantificeren, kan er ook een waarde worden gehangen aan het voorkomen ervan.’
Kursawe is het met Rijnbergen eens dat bedrijven vanuit hun eigen belangen hun cyberveiligheid op orde moeten hebben en niet omdat de wet het voorschrijft. ‘De Europese wetten die de bescherming van persoonsgegevens moeten regelen zijn op zich duidelijk en de boetes hoog. Het succes ervan staat of valt echter met de praktische implementatie en de handhaving. Ik kan me niet voorstellen dat bedrijven echt 4 procent van hun jaaromzet moeten betalen als boete als klantgegevens op straat komen te liggen.’
Ook productiebedrijven willen hun productiesystemen op afstand kunnen uitlezen of zelfs aansturen zonder dat dit risico’s met zich meebrengt wat betreft security.
Nevenschade
Marcel van Oirschot voegt nog een belangrijk feit toe aan de discussie: een groot deel van de slachtoffers van cyberaanvallen was slechts nevenschade. De commercieel directeur van Fox-IT schrikt niet meer van de meldingen van cyberaanvallen in het nieuws. ‘Cyberveiligheid is onderdeel van de maatschappij geworden en wij zien dagelijks DDOS-aanvallen en hackers die voor langere tijd meekijken in bedrijfssystemen. Maar de redelijk recente slachtoffers van ransomware, waren niet eens het directe doel van de hackers. Dus zelfs als je niet direct verwacht dat concurrenten of bijvoorbeeld oud-medewerkers je een hak willen zetten, zal je moeten nadenken over de eventuele gevolgen van een cyberaanval.’
‘Cybercrime is een volwassen markt geworden en dus is voor geld ongeveer alles te regelen: van het lamleggen van een betaalapp van een bank tot het gijzelen van bedrijfsgegevens. Voor de echt kritische assets, zoals kerncentrales of drinkwaterbedrijven, kiezen partijen daarom steeds vaker voor dataverkeer via datadiodes, waarbij alleen verkeer in één richting mogelijk is. Voor veel niet vitale bedrijven zal dit echter te ver gaan. Toch kan je ook een gebouwnetwerk fysiek beveiligen, eigenlijk de deur op slot doen, door bijvoorbeeld duidelijke segmenteringen aan te brengen tussen systemen.’
De deur op slot doen, is slechts de eerste verdedigingslinie. Een inbraakalarm is volgens Van Oirschot net zo belangrijk. ‘We hebben wel eens scans voor klanten gedaan en zien dan dat inbrekers soms meer dan tweehonderd dagen rondneuzen op het netwerk om rustig af te wachten tot er bedrijfsgevoelige gegevens beschikbaar komen. Je zult dit op een of andere manier moeten detecteren. Misschien nog belangrijker is om een plan klaar te hebben liggen als zich een calamiteit voordoet.’
Het beste advies dat Van Oirschot installatieadviseurs kan meegeven, is vooral samen te werken met cybersecurityexperts. ‘In de Smart Industry-campagne van de overheid legt men vooral de nadruk op de voordelen van een ‘connected world’. Dat je daarmee ook risico’s importeert, vergeet men vaak voor het gemak. Nu is een installatie-expert ook geen securityexpert, dus ga vooral niet op zijn stoel zitten. Het zogenaamde ‘security by design’, het proactief voorkomen van datalekken en systeemuitval, is een expertise op zich. Het gebouwbeheersysteem is maar één onderdeel van een complexer systeem waar niet alleen internetapparatuur moet worden gescreend, maar ook het personeel, de toeleveranciers enzovoorts. De voordelen van IoT zijn fantastisch als daarmee DBFMO-contracten voor meerdere gebouwen kunnen worden afgesloten. Maar als de systemen in die gebouwen vervolgens door kwaadwillenden worden overgenomen, heb je een groot probleem.’
SBIR Cyber Security
Officieel was de Small business innovation research (SBIR)-regeling bedoeld als innovatiestimulans voor het midden- en kleinbedrijf, maar inmiddels mogen ook grotere bedrijven meedingen naar de overheidsopdrachten. De vergoede bedragen blijven wel op het niveau van kleinere bedrijven en liggen zo rond de 200.000 euro. De SBIR Cyber Security is onlangs zijn derde ronde ingegaan en Dennis Huele, rvo-adviseur, sluit niet uit dat er een vierde ronde komt.
‘Met de gemakken van de informatiemaatschappij sluipen er ook gevaren binnen die de maatschappij kunnen ontwrichten. De overheid ziet voor zichzelf een gidsfunctie en gaat via de SBIR-regeling contracten aan met bedrijven die innovatieve oplossingen kunnen ontwikkelen voor bestaande uitdagingen. De veiligheid van gebouwbeheersystemen is daar één van.’
De SBIR Cyber Security volgt de focus en doelstellingen van de Nationale cyber security research agenda II (NCSRA II) van het ICT Innovatie platform Veilig Verbonden. De eerste agenda van het platform was al in 2012 opgesteld en was vooral gericht op de verdediging tegen cyberaanvallen. Huele: ‘De nieuwe agenda legt zich naast verdediging ook toe op een wat offensievere benadering. De opstellers van de agenda zien dat Nederland wereldwijd aan de top staat wat betreft breedbandinternet, zowel kwantitatief als kwalitatief. Daarmee is ons land ook een geliefd doel voor botnets.’
Sinds 2012 is de afhankelijkheid van ict en internet alleen maar groter geworden terwijl de cyberbedreigingen navenant toenemen. Desondanks nemen veel burgers en bedrijven de gevaren nog niet serieus genoeg en moet men constateren dat bedrijven nog te weinig maatregelen nemen om cybercriminelen buiten te houden.
Huele: ‘Grofweg focust de NCRSA II zich op twee gebieden: de veiligheid en het vertrouwen van burgers enerzijds en de betrouwbaarheid van de data-infrastructuur anderzijds. De oplossing van KPN en SecurityMatters richt zich vooral op het tweede deel, maar de in totaal dertien toegekende projecten zijn aardig verdeeld over beide gebieden. Zo wordt onderzoek gedaan naar drones die digitale signalen van criminelen uit de lucht kunnen halen, een huisrouter voor handhelds en nieuwe datacryptologie-strategieën.’
Tekst: David van Baarle, freelance journalist
Fotografie: Industrie