Met het toenemende aanbod groene energie, neemt de roep om flexibele stroomconsumptie toe. De industrie kan een grote rol spelen in netbalancering, maar moet daarbij wel rekening houden met cybersecurity. Want hoe meer ketens aan elkaar worden geknoopt, hoe groter de kans dat kwaadwillenden toegang krijgen tot het kwetsbare en kritieke energiesysteem.

Waar de energiebedrijven voorheen eenvoudigweg gas of elektriciteit leverden, verandert het landschap snel. Elektriciteit kan namelijk zowel van duurzame bronnen als van energiecentrales komen terwijl energieconsumenten tegelijkertijd producenten zijn. En dan investeren ook steeds meer partijen in elektrificatie van hun gas- of stoomsystemen.

Bijkomend voordeel van deze stap is dat de bedrijven een rol spelen in balancering van het stroomnet. Zo kondigde Nobian onlangs nog aan een deel van het regelvermogen van de fabriek inenerg Rotterdam in handen te geven aan Vattenfall. Het Zweedse energiebedrijf kan daarmee de chloorproductie van Nobian ietsje terugdraaien wanneer de stroomprijs te hoog wordt of er stroomtekort dreigt, terwijl het extra kan produceren bij stroomoverschotten op zonnige en winderige dagen. Dat klinkt natuurlijk mooi, maar vraagt ook om verdergaande integratie van de bedrijfssystemen van beide bedrijven. Onderzoeksdirecteur Marco Waas liet dan ook desgevraagd doorschemeren dat in de discussies die Nobian voerde over samenwerking met Vattenfall, een derde deel ging over cybersecurity. ‘Je wil niet dat malafide partijen je productieprocessen kunnen verstoren. We kiezen dan ook bewust voor een directe, bekabelde verbinding.’

Operationele systemen

Nu was Nobian altijd al afhankelijk van de stroomvoorziening omdat chloorproductie nu eenmaal een elektrochemisch proces is. Maar de verwachting is dat de verhoudingen tussen elektriciteit en gasconsumptie meer verschuiven richting eerstgenoemde. Bedrijven als BASF, Dow, Shell, en Sabic onderzoeken al de mogelijkheden voor het elektrificeren van hun krakers. Bovendien investeren steeds meer bedrijven in elektrische stoomketels of warmtepompen. Daarmee verkleinen de bedrijven hun CO2-voetafdruk, maar vergroten ze tevens het risico op cyberterrorisme. Zeker als ze hun assets ook willen inzetten voor netbalancering. Dit soort systemen is nu eenmaal te complex om autonoom af te handelen en vergt altijd digitale communicatie met de keten.

Marcel Jutte, managing director bij Hudson Cybertec, een cybersecurity solution provider: ‘Zeker in de chloor- en stikstofketen zijn de onderlinge afhankelijkheden tussen verschillende bedrijven groot. Als de een niet kan produceren, kan de ander niet afnemen waardoor het primaire proces stilvalt. Andersom, als een bedrijf een product of halfproduct niet kan afnemen, kan de toeleverende partij dit ook niet in grote mate produceren. Alle partijen zijn erbij gebaat een zo stabiel mogelijke productieomgeving te hebben. Dat betekent dat cybersecurity van de primaire processen tiptop op orde moet zijn.’

Cyberaanvallen

Alhoewel gerichte aanvallen op de vitale processen nog niet in Nederland zijn waargenomen, zijn er wel voorbeelden uit het buitenland te vinden. Zo leidde een cyberaanval op een regionaal Oekraïens elektriciteitsdistributiebedrijf in december 2015 tot een verstoring van de dienstverlening aan ongeveer 225.000 klanten. De storingen waren te wijten aan de onbevoegde toegang van derden tot een van de computers en SCADA­systemen van het bedrijf. Zeven 110 kV en 23 35 kV-onderstations werden gedurende drie uur afgesloten.

Chinese hackers vielen in 2011 in operation Night Dragon elektriciteitsbedrijven aan. In 2016 werd ten minste één Europees energiebedrijf slachtoffer van SFG malware dat een backdoor installeerde op de industriële controlesystemen. Dat de mens nog steeds een zwakke schakel is, blijkt ook wel weer uit een als onderdeel van een pentest (penetratie test) uitgevoerde social engineering aanval op een energiebedrijf. Bedrijven laten dit soort testen uitvoeren door zogenaamde ethical hackers, die kijken of het ze lukt een systeem binnen te dringen. Een van de securityonderzoekers kreeg in 2008 volledige toegang tot de SCADA-omgeving van het energiebedrijf. Als dit echte cybercriminelen waren, had dat niet goed kunnen uitpakken. Dat merkte ook Israël dat in 2016 nog werd getroffen door een massale cyberaanval op het elektriciteitsnetwerk, precies tijdens een periode van voor het land extreem koud winterweer.

kunstmatige intelligentie

Marcel Jutte (Hudson Cybertec): ‘Een integrale aanpak van alle aspecten, mens, organisatie én techniek, is van groot belang voor een digitaal weerbare organisatie.’

In het Cybersecurity Beeld Nederland 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) werd melding gemaakt van ransomwareaanvallen op industriële automatisering en controlesystemen (IACS) die worden gebruikt voor bijvoorbeeld de drinkwater- en energievoorziening. Ook het afgelopen jaar zijn wereldwijd vitale processen in de sectoren elektriciteit, water, olie en gas, chemie, voedsel, transport en de zorg doelwit geweest van digitale aanvallen door criminele groepen. Jutte: ‘Of de zwakke plek nu zit in de techniek, het personeel of het beleid van de organisatie maakt niet uit. Een gemotiveerde aanvaller zal de zwakke plek uiteindelijk vinden en uitbuiten. Een integrale aanpak van alle aspecten, mens, organisatie én techniek, is dan ook van groot belang voor een digitaal weerbare organisatie.’

Security by design

Het ministerie van Justitie en Veiligheid gaf onderzoeksbureau Gartner de opdracht de cybersecurity van IACS­systemen te onderzoeken. De conclusie was dat de systemen tot nog toe weinig problemen ondervonden van cyberaanvallen. Maar dat wilde niet zeggen dat dit zo zou blijven.

Volgens de onderzoekers gebruikt de energiesector veelvuldig IACS-systemen. Men verwacht dat dit nog verder toeneemt door het gebruik van smart grids. Ook het gebruik van wind- en zonne-energie zorgt voor een wisselend aanbod van elektriciteit. IACS-systemen sturen de productieprocessen voor het genereren van stroom aan, zorgen ervoor dat het primaire proces op een veilige manier verloopt en zorgen ervoor dat de spanning op het elektriciteitsnet constant blijft. Verder gebruiken netbeheerders IACS-systemen om bij onderhoud delen spanningsloos te maken, zodat onderhoud veilig kan gebeuren. Ook bij incidenten, zoals een probleem met een transformator, kan de stroom anders worden gerouteerd, zodat de eindgebruikers hier geen last van hebben. De impact bij verkeerde aansturing kan ervoor zorgen dat het elektriciteitsnetwerk zonder spanning komt te staan.

Verder is het mogelijk dat de spanning hoger of lager wordt dan 230V, waardoor aangesloten apparaten ook fysiek beschadigd kunnen raken. Of wat te denken van fluctuaties in de frequentie, waardoor klokken en timers niet meer goed functioneren. Als het meetgedeelte van een systeem niet goed functioneert, kan dit ervoor zorgen dat er niet of niet tijdig kan worden ingegrepen bij afwijkingen.

Jutte: ‘Door de toenemende digitalisering en steeds verdergaande autonomie van gekoppelde beslissystemen wordt ook de potentiële impact van een cyberincident significant groter. Dit maakt het noodzakelijk dat de IACS-omgevingen cybersecure zijn en bestand zijn tegen aanvallen van zowel buitenaf als binnenuit. Het geheel moet kloppen. Ontwerpers van dit soort systemen moeten vanaf het begin rekening houden met cyberveiligheid, ofwel security by design. Alleen dan kan de keten de digitale weerbaarheid van dit soort omgevingen gedurende de gehele levenscyclus borgen.’

Ketenveiligheid

Ook de Cyber Security Raad, die de overheid informeert over cyberrisico’s, ziet dat steeds meer systemen zich met elkaar verknopen. Dat is volgens deze raad een goede ontwikkeling omdat daarmee ook steeds meer mogelijkheden ontstaan voor samenwerking tussen bedrijven en sectoren. De schaduwzijde is echter dat een meer ICT-afhankelijke economie ook meer risico’s met zich meebrengt op het gebied van digitale veiligheid. Volgens de raad worden steeds meer bedrijven, overheden, systemen en applicaties met elkaar verbonden, terwijl er nauwelijks wordt nagedacht over de digitale veiligheid in deze keten. Dit kan grote economische gevolgen hebben. De raad riep daarom onlangs op niet alleen de cyberrisico’s in organisaties in kaart te brengen, maar ook de risico’s in de keten.

Jutte: ‘Ook wet- en regelgeving zal hier een rol in gaan spelen.’

Jutte: ‘Natuurlijk is het belangrijk dat de keten wordt beschermd. Dat geldt niet alleen voor bedrijven en organisaties die direct aan elkaar zijn gekoppeld, maar ook voor toeleveranciers en onderhoudspartijen voor IACS-omgevingen. We zien in de praktijk dat ICT en OT-afdelingen van bedrijven steeds vaker productcertificeringen verwachten en andere cybersecurityeisen stellen aan de keten. Ook wet- en regelgeving zal hier een rol in gaan spelen. Er valt nog een heleboel op dit vlak te doen.’

Analyse

Inmiddels zijn de eigenaren van vitale systemen wel in de weer om cyberaanvallen zoveel mogelijk te voorkomen. Zo voerde Tennet samen met Shell, Gasunie, Nuon, Alliander en het Nationaal Cyber Security Centrum (NCSC) een risicoanalyse cybersecurity uit binnen de energiesector. De analyse moest blootleggen wie van wie afhankelijk is, welke kritieke IT-systemen er zijn en welke risico’s de verschillende partijen in de sector lopen. Met als belangrijkste hoofdvraag: welke digitale veiligheidsmaatregelen moet de keten nemen? Aangezien er geen effectieve analysemethode bestond voor digitale ketenveiligheid, ontwikkelde de energiesector deze zelf. Deze methode is inmiddels gratis te downloaden via de website van de Cyber Security Raad.

Steeds meer bedrijven hebben hun industriële controlesystemen en operationele techniek verbonden met het internet. Dat maakt ze kwetsbaar voor cybercriminaliteit. Maar veel organisaties zijn zich echter niet bewust van deze relatief nieuwe kwetsbaarheden. Een publiek-privaat samenwerkingsverband introduceert nu de Security Check Procesautomatisering die handvatten biedt om deze systemen weerbaarder te maken.

Wat er onder industriële controlesystemen (ICS) of operationele techniek (OT) valt, is heel breed. Er zijn allemaal verschillende termen voor. Het komt erop neer dat het processen zijn die worden gestuurd door een controlesysteem. Denk aan processen in een chemische fabriek, een robot die dozen inpakt of een lasrobot. Ook gebouwautomatisering valt onder OT, zoals klimaatbeheersing, camerabewaking en liften. Eigenlijk alles wat beweegt en elektronisch wordt aangedreven valt eronder, dus ook de slagbomen bij de poort.

In het onlangs verschenen jaarrapport ‘Cybersecuritybeeld Nederland’ wijst de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) opnieuw op de kwetsbaarheid van de Nederlandse digitale infrastructuur. De kans op een cyber-incident neemt toe. Bedrijven worden, vaak zonder zich daar bewust van te zijn, steeds afhankelijker van automatiserings- en controlesystemen. Met de Security Check Procesautomatisering kunnen organisaties zonder kosten snel in kaart brengen waar mogelijke cyberrisico’s zitten. Op basis van geconstateerde kwetsbaarheden krijgen ze vervolgens praktische aanbevelingen om de weerbaarheid van de systemen en organisatie te verhogen.

Johan de Wit (Siemens): ‘Ik kom nog wel eens tegen dat er geen virusscanner staat op een pc waar een OT-systeem aan is gekoppeld.’

Niet los zien

Namens Siemens, leverancier van OT-oplossingen, was Johan de Wit (technical officer enterprise security) nauw betrokken bij de totstandkoming van de tool. Volgens hem is het heel belangrijk om organisaties te helpen een stap te maken in digitale weerbaarheid. ‘Traditioneel richten operationele teams OT in. Zij zijn vooral gericht op beschikbaarheid van deze systemen. Deze medewerkers kennen het proces heel goed en kunnen inschatten wat er gebeurt als het systeem niet werkt. Ze denken bijvoorbeeld na over noodstroomvoorzieningen, het maken van back-ups en beschikbaarheid van reserveonderdelen. Maar ze zijn zich vaak niet bewust van cybersecurity. Ze zien hun systeem meestal niet als een IT-systeem. IT’ers daarentegen houden zich traditioneel vooral bezig met kantoorautomatisering, maar vaak niet met OT-componenten. Maar in de loop der jaren zijn de OT-systemen verweven geraakt met IT-systemen. Die kun je niet meer los zien van elkaar. Organisaties dienen de operationele kennis van de OT-teams te combineren met de cybersecurity kennis van de IT-teams om de OT systemen afdoende te beschermen.’

Eerste stap

Dat het bewustzijn over de cyberrisico’s nog niet bij alle organisaties is doorgedrongen, bleek ook toen De Wit bij een klant op bezoek ging. ‘Ik zag een operator radio luisteren via een website op de pc waar de lasrobot aan was gekoppeld. Het idee dat dat misschien niet veilig is, zat er niet in. Ook kom ik nog wel eens tegen dat er geen virusscanner staat op een pc waar een OT-systeem aan is gekoppeld. Terwijl iedereen weet dat dat zo ongeveer het eerste is wat je op een computer moet zetten.’

De Security Check Procesautomatisering (te doen op www.digitaltrustcenter.nl) richt zich specifiek op OT’ers met weinig tot geen IT-security kennis. Zij kunnen deze tool gebruiken om hun systemen veiliger te maken. Het is een eerste stap om bewustzijn te krijgen en organisaties op weg te helpen naar betere cybersecurity.

Handvatten

De check begint met een aantal vragen om erachter te komen hoe kritisch systemen eigenlijk zijn voor de bedrijfsvoering. In een kantoor bijvoorbeeld is een lift niet heel kritisch. Je kunt altijd nog de trap nemen. Maar in een ziekenhuis is dit een ander verhaal. Doen de liften het niet dan kan dat een mensenleven kosten, omdat iemand niet met spoed naar een operatiekamer kan worden gebracht.

Afhankelijk van hoe kritisch de OT-systemen voor de bedrijfsvoering zijn, krijgen organisaties vervolgens vragen over veertien thema’s. Vragen zijn onder meer: heb je inzicht in wat voor apparatuur er is, heb je reserveonderdelen, weet je wat je moet doen als er een incident is en zijn er back-ups gemaakt? ‘Na het beantwoorden van de vragen, kun je zien waar je goed en minder goed op scoort’, legt De Wit uit. ‘Ook krijg je handvatten waarmee je aan de slag kunt.’

Hoeveel en welke maatregelen een organisatie moet treffen, hangt af van de gevolgen van een cyberincident op de eigen industriële processen. Dreigen er ernstige gevolgen op financieel-, gezondheids- of milieuvlak, dan zal men meer maatregelen moeten nemen. Bedrijven kunnen de tool ook als maturity model gebruiken en na het omzetten van een aanbeveling opnieuw checken hoe hoog zij op de cyber security-ladder staan.

Kwetsbaarheden bij toeleveranciers

Ook organisaties die al wel volwassen zijn op het gebied van cybersecurity van OT-systemen kunnen wat hebben aan de tool. De Wit: ‘Je kunt dan jouw toeleveranciers helpen. Het supplychain-risico wordt steeds groter. Hebben toeleveranciers hun zaken op orde? Zo niet, dan kan jouw organisatie via kwetsbaarheden bij toeleveranciers worden getroffen. Misschien kunnen anderen via bijvoorbeeld een lasrobot van een toeleverancier jouw netwerk op of andere dingen stationeren. Of stel dat de verpakkingsmachine van een toeleverancier in jouw bedrijf plat komt te liggen door ransomware (een computervirus dat de computer of de bestanden erop kaapt en deze gegevens vervolgens versleutelt waardoor ze niet meer toegankelijk zijn, red.). Misschien stokt jouw hele productieproces daardoor dan.’

De tool vormt de eerste stap in de ontwikkeling van een interactieve ICS-routekaart voor het bedrijfsleven in Nederland. De Security Check Procesautomatisering is ontwikkeld door de Vereniging van Nederlandse Gemeenten, het Nationaal Cyber Security Centrum, Programma Versterking Cyberweerbaarheid in de watersector, Siemens, AMSL, Deloitte, Novel-T, Accenture, Stark Narrative en het Digital Trust Center, met dank aan de ondersteuning van de Cybersecurity Alliantie.

Juni 2009, Teheran. Terwijl op straat gewelddadige protesten en rellen ontstaan door onvrede over een verkiezingsuitslag, speelt zich op de achtergrond in alle stilte een aanval van heel andere orde af. In een plant waar uranium wordt verrijkt met als doel het produceren van kernwapens, wordt op geraffineerde wijze een computervirus in diverse computers aangebracht. Pas een jaar later beginnen de ultracentrifuges die hiervoor worden gebruikt om onverklaarbare reden te falen.

Deze computerworm, die inmiddels als Stuxnet bekend staat, was ’s wereldse eerste digitale wapen. Alle ins- en outs van deze grootschalige operatie zullen nooit bekend worden. Wel werd duidelijk dat het automatiseren en gebruik van computers om plants mee te regelen en te beveiligen voor nieuwe uitdagingen zorgt.

Er is al veel langer bekend dat het scheiden van besturingssystemen en beveiligingssystemen een substantiële toegevoegde waarde heeft in de veiligheid van een plant. De eerste systemen uit de jaren ’60 waren mechanisch van aard: Maglog-systemen die werkten op basis van elektrische magnetische spoelen en relais-logic waren op dat moment de enige manieren om fail-safe Safety Instrumented Systems (SIS) te bouwen. Het waren stand-alone systemen zonder connectie met de buitenwereld. De opkomst van Programmable Electronic Systems (PES), zoals Programmable Logic Controllers (PLC), maakte het bouwen van SIS een stuk makkelijker en flexibeler, maar ook gevoeliger voor het binnendringen van buitenaf.

Wat Stuxnet heeft bewerkstelligd, heeft niemand voor mogelijk gehouden. De geavanceerde computerworm is via een USB stick van een ingenieur op een computersysteem van de uranium plant terecht gekomen. Deze worm was specifiek getarget en ontwikkeld om Siemens Step 7 en Siemens PLC’s kwaadwillend te beïnvloeden en misbruikte meerdere zero-days kwetsbaarheden om dit te bereiken. Dit zijn kwetsbaarheden in software die nog niet publiekelijk bekend zijn gemaakt. Staatsactoren hebben dit soort kwetsbaarheden als wapenarsenaal en zorgen ervoor dat deze ook niet worden gemeld aan de softwareleverancier. Stuxnet misbruikte meerdere zero-day kwetsbaarheden, wat wijst op een zeer geavanceerde aanval die eigenlijk alleen door staatsactoren kan worden uitgevoerd.

Twee vakgebieden met een zelfde doel

Geavanceerde elektronische SIS moeten dus goed worden beveiligd tegen cyberaanvallen. Functional safety en cybersecurity zijn twee belendende vakgebieden die beide hetzelfde doel voor ogen hebben, namelijk het voorkomen van letsel en schade aan equipment en milieu. Hoewel de gevolgen van die incidenten hetzelfde zijn, is de route naar het incident toe in beide gevallen anders. Terwijl process safety/functional safety zich richt op het falen van systemen of menselijke handelingen, richt cybersecurity zich ook op in- en externe aanvallen.

Met het identificeren van process safety risico’s is al veel ervaring sinds in de jaren ’60 Trevor Kletz bij ICI de HAZOP-techniek invoerde. Eind jaren ’80 is daaraan een methodiek toegevoegd waarmee wordt getracht de subjectieve inschatting van de effectiviteit van de onafhankelijke beschermingslagen (IPL’s) op een semi-kwantitatieve manier te onderzoeken.

De ontwikkeling van PES’s heeft ook voor de introductie van Safety Integrity Levels (SIL) gezorgd, een maat voor de betrouwbaarheid van het safety systeem. Al deze zaken (en nog meer) zijn onderdeel van de safety lifecycle en vastgelegd in verschillende normen, waarvan de IEC 61511 Functional safety – Safety instrumented systems for the process industry sector dé norm is die algemeen wordt geaccepteerd door de procesindustrie.

Naast deze norm bestaat er ook een breedgedragen normenkader voor cybersecurity in de procesindustrie, deIEC 62443. In de IEC 62443-3-2 Security risk assessment for system design is beschreven dat het resultaat van een PHA en Functional Safety moet worden gebruikt voor het bepalen van de worst-case impact. En andersom wordt in de norm IEC 61511 beschreven dat het ontwerp van het SIS zodanig moet zijn dat het de nodige weerstand biedt tegen de geïdentificeerde security risks.

Elk voordeel heeft zijn nadeel

De introductie van gestandaardiseerde netwerken en informatiesystemen heeft het procesautomatiseringslandschap flink veranderd. Besturings- en beveiligingssystemen kunnen eenvoudig met elkaar worden gekoppeld. En daarnaast is er een toenemende behoefte aan connectiviteit, voor onder andere centrale bediening én zodat onderhoudspartijen en leveranciers van allerlei soorten systemen (b.v. compressoren, maar ook besturings- en beveiligingssystemen) vanaf een externe locatie onderhoud kunnen uitvoeren. Al deze voordelen hebben ook een keerzijde. Het heeft namelijk geleid tot digitale dreigingsvormen.

Als niet de juiste cybersecuritymaatregelen worden genomen, ontstaat het gevaar dat besturings- en beveiligingssystemen worden gemanipuleerd zodat een beveiliging niet werkt wanneer er een beroep op wordt gedaan. Of dat een besturingssysteem wordt gemanipuleerd zodat er een beroep op het veiligheidssysteem wordt gedaan, dat zojuist moedwillig inactief is gemaakt.

Hieruit blijkt dat cybersecuritydreigingen goed in kaart moeten worden gebracht en dat we voorzichtig moeten zijn met het creëren van extra netwerkconnectiviteit. Daarnaast heeft ook het Stuxnet incident ons geleerd dat gegevensdragers zoals USB-sticks een serieuze dreiging vormen.

Deze expertblog is geschreven door Enrico Lammers, samen met Derek Hoffschlag en Jan Hartlief.

Verregaande digitalisering, remote control en meer autonomie van fabrieken kunnen de veiligheid, efficiëntie, flexibiliteit en verduurzaming enorm verbeteren. Maar zoals bij zoveel innovatieve technologieën leveren ze ook nieuwe uitdagingen op. Op het vlak van cybersecurity bijvoorbeeld. Hoe houd je ongewenste bezoekers of cyberaanvallen buiten de deur als er steeds meer ingangen mogelijk zijn?

We spraken er in Industrielinqs LIVE over met Marinus Tabak (RWE), Marcel Jutte (Hudson Cybertec) en Carlo Totté (Emerson). Bij Kiwa in Apeldoorn. Kijk de aflevering nu terug.

De wereld is in de ban van het coronavirus. Helaas maken cybercriminelen hier misbruik van. Veel bedrijven weten nog onvoldoende hoe ze zich moeten wapenen tegen cyberdreigingen. Hierdoor zijn hun bedrijfsprocessen en waardevolle data kwetsbaar voor cybercriminelen. De subsidieregeling Cyberweerbaarheid moet bedrijven stimuleren om op het gebied van cybersecurity te gaan samenwerken.

Het doel van de regeling is om nieuwe netwerken te creëren. Daar kunnen leden kennis en kunde op het terrein van cyberweerbaarheid gaan toepassen. Ondernemers kunnen zo samen met andere organisaties werken aan het vergroten van de cyberweerbaarheid, binnen en tussen niet-vitale branches, sectoren en regio’s.

Ondernemingen die actief zijn in vitale sectoren, mogen ook onderdeel zijn van het netwerk. Deze ondernemingen vormen weliswaar niet de doelgroep van deze subsidieregeling, maar met hun kennis en expertise kunnen zij de slagingskans van het netwerk vergroten.

Bedrijven kunnen via mijn.rvo.nl hun aanvraag indienen tot en met 14 mei 2020.

Onderzoekers van de Universiteit Twente ontdekten zwakke punten in zestig vitale infrastructuren. Of beter gezegd: in de besturingssystemen ervan. De zwakke punten kunnen zogenaamde honeypots zijn, die hackers in de val moeten lokken. Toch opteert hoogleraar Aiko Pras voor meer aandacht voor cybersecurity bij beheerders van vitale systemen zoals elektriciteitscentrales, ziekenhuizen, bruggen en sluizen.

Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Aiko Pras is hoogleraar internetveiligheid aan de Universiteit Twente. Pras en zijn onderzoeksgroep kregen opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen.

Vitale infrastructuren

Pras: ‘Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken? We vonden zestig vitale systemen met meerdere zwakke punten die te hacken zijn. Daarbij gaat het veelal om relatief kleine systemen die worden gebruikt voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.’

Honeypots

Pras en zijn collega’s beschrijven in het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands dat hun ontdekking twee dingen kunnen betekenen. ‘Allereerst kan je denken: dit is schokkend. Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiele aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.’

Politieke keuze

Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. ‘Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet worden gehangen zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag.’

Apart internet

Pras pleit voor een apart stukje internet dat losstaand te beheren is. ‘Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.’

U kunt het rapport downloaden op de site van de TU Twente.

Het geld dat overheden en bedrijven uitgeven aan preventie tegen cyberaanvallen kan beter worden besteed aan systemen die een snelle detectie mogelijk maken en het opzetten van een goede respons om de gevolgen te beperken. Cybercriminelen gaan steeds geavanceerder te werk en het is volgens onderzoeksbureau Gartner een illusie om te denken dat een organisatie of bedrijf zich honderd procent kan beveiliging tegen cyberaanvallen. Hoe sneller een aanval wordt ontdekt, hoe beter de gevolgen kunnen worden beperkt.

Dat besef dringt ook door bij de Nederlandse overheid. Eind vorig jaar organiseerde het Nationaal Cyber Security Center, een SCADA-cybersecurityoefening, Isidoor II. Hieraan namen ministeries, bedrijven uit de energie- en watersector, de chemische industrie, telecom en de haven deel. Tijdens de oefening werden verschillende cyberincidenten gesimuleerd in de ICS/SCADA-omgeving die industriële processen aanstuurt bijvoorbeeld bij waterzuiverings- of energiebedrijven. Zestig publieke en private organisaties namen deel aan de vierdaagse oefening die tot doel had een gezamenlijke aanpak, samenwerking en coördinatie bij een cybercrisis te testen.

Volgens Peter Geijtenbeek, International Sales Director bij het cyberbeveiligingsbedrijf Fox-IT, dat ook betrokken was bij Isidoor II, speelt op de achtergrond de toegenomen bewustwording van de cyberaanval op de energiecentrale in de Oekraïne in 2015. ‘Dit was een wake-up call voor de kritische infrastructuur in Nederland. Sindsdien is het bewustzijn van cyberrisico’s toegenomen.’

Signalen gemist

Fox-IT maakte een uitgebreide analyse van deze aanval op de energiecentrale in de Oekraïne. ‘Daaruit blijkt dat een aanzienlijk deel van de schade in de Oekraïne voorkomen had kunnen worden’, stelt Geijtenbeek. ‘De voorbereiding duurde ongeveer negen maanden waarna de uiteindelijke aanval in slechts tien minuten een enorme ravage aanrichtte. In die negen maanden zijn er signalen geweest dat er iets mis was. De hackers wisten via malware in een phishing mail controle over een pc in het netwerk te krijgen. Omdat de energiecentrale slechts beschermd was door een firewall viel de inbraak niet op. Zo konden de hackers onbespied pc’s besmetten die in contact stonden met de OT-omgeving en wisten zij controle op te bouwen over machines, gateways en switches. Met een monitoringsysteem hadden ze kunnen zien dat er iemand van buiten controle had verkregen over het netwerk.’

Detectie en training

Vroege detectie, maar ook betere training van werknemers, had de schade kunnen beperken. Geijtenbeek: ‘Als de werknemers het hadden aangedurfd om tijdens de aanval de stekker uit bepaalde servers te trekken, was de schade wellicht minder groot geweest.’

Makkelijker gezegd dan gedaan, geeft Geijtenbeek toe. ‘Dat vergt kennis van processen en wat er achter die processen zit. Werknemers zijn dit ook niet gewend. In de procesindustrie is productie-continuïteit erg belangrijk. Een fabriek wordt gebouwd vanuit de gedachte dat hij 25 jaar nagenoeg probleemloos moet produceren. In de tijden dat veel fabrieken zijn neergezet was cybersecurity niet echt hot. Daar komt bij dat je nog veel legacy-systemen ziet en medewerkers die daarmee werken niet gewend zijn om met dit soort zaken om te gaan. Een stekker eruit trekken betekent dat je een gedeelte of misschien wel de hele fabriek plat legt. Dat vergt training en kennis.’

Verantwoordelijkheid

Riemer Brouwer, jarenlang actief in de IT-security onder meer bij ADCO (olie- en gasbedrijf in het Midden-Oosten), merkt in de praktijk dat er nog de nodige stappen genomen moeten worden in de beveiliging tegen cyberaanvallen. ‘Het idee dat veiligheid bestaat uit een paar firewalls moet echt van tafel. Veiligheid is een core verantwoordelijkheid van iedere organisatie.’

De olie- en gasindustrie in het Midden-Oosten werd in 2012 ruw wakker geschud door het Shamoon virus dat de grootste oliemaatschappij Saudi Aramco volledig lam legde via een phishing mail die in korte tijd 30.000 pc’s vernietigde. Zonder backoffice voor betalingen en orders stond 10% van de wereldwijde olieleveranties op het spel en restte Aramco niets anders dan tijdelijk terug te vallen op het gebruik van typemachines en faxen.

OT loopt achter op IT

Brouwer weet uit ervaring hoe moeilijk het is de OT-omgeving, die steeds meer direct of indirect aangesloten wordt op het internet, tegen cybercriminelen te beveiligen. ‘OT loopt hierbij ver achter op IT. Er zijn nog steeds systemen die een olieplant runnen zonder de beveiliging van unieke wachtwoorden. Het systeem vervangen gaat niet. Je moet dan om de computer heen beveiligingsmaatregelen treffen door educatie, training en het betrekken van je gebruikers bij het probleem. Op een pc met Windows moeten je om de 60 tot 90 dagen het wachtwoord vervangen, maar bij legacy-systemen kan dat niet altijd. Men beseft het risico heel goed, maar het wordt niet opgelost voordat het hele systeem wordt vervangen. Je kunt gaan klagen over alle gebreken in oude systemen, maar je kunt je ook focussen op de nieuwe systemen en ervoor zorgen dat hier de beveiliging goed wordt ingezet.’

Datadiode

De enige manier om ook de oude systemen beter te beveiligen, is volgens Brouwer de discussie over veiligheid aan te gaan en de werknemers het belang en de consequenties te laten inzien van hun handelen. ‘In de OT is de neiging om te zeggen: raak mijn apparatuur en infrastructuur niet aan want het werkt nu en het moet blijven werken. Het installeren van een patch betekent dat een computer of fabriek voor een paar uur of halve dag wordt stilgelegd. Ze zijn als de dood dat de patch niet werkt of een nieuw probleem creëert. Daarom moet je in gesprek gaan en tegelijkertijd zoeken naar oplossingen zoals bijvoorbeeld een datadiode die zorgt voor eenrichtingsverkeer van de OT- naar de IT-omgeving. Hiermee voorkom je dat via het internet allerlei infecties de OT-omgeving kunnen bereiken.’

Budget

Beveiliging is ook een kwestie van geld. ‘Na de Shamoon-aanval was er in het Midden-Oosten veel geld beschikbaar voor cybersecurity. Mijn eigen cybersecurity-team groeide in vijf jaar van 3 naar 30 personen. Dat was redelijk uniek. Je ziet echter dat door de lage olieprijzen er minder geld beschikbaar is voor IT-beveiliging.’

tekst gaat verder onder de afbeelding

Het is volgens Brouwer belangrijk om CEO’s te vertellen waar je mee bezig bent, zij moeten immers budgetten beschikbaar stellen. ‘Het is niet alleen belangrijk om te vertellen wat je doet maar ook om te vertellen wat je niet doet omdat er geen geld voor is. Het hoger management moet weten wat ze voor hun geld krijgen. Nu is de gedachte nog vaak: ik heb een Chief Security Officer en dus ben ik veilig.’

Veiligheidscultuur

Brouwer pleit voor de aansluiting van cybersecurity bij de in de olie- en gasindustrie heersende fysieke veiligheidscultuur. ‘Safety wordt er echt ingehamerd via training en herhaling’, aldus Brouwer. ‘Daar is men intensief mee bezig en er wordt veel geld aan uitgegeven. De fysieke beveiliging in Abu Dhabi is goed geregeld, olie is belangrijk. Het leger bewaakt de plants, er mogen geen mobieltjes met camera naar binnen en je wordt gefouilleerd. Fysiek is het prima in orde. Op het gebied van cybersecurity ligt dit anders. Er wordt steeds meer gebruik gemaakt van internetverbindingen en remote maintenance. Bij veel bedrijven is het mogelijk om data uit de controlroom terug te sturen naar de leverancier van een systeem voor preventief onderhoud. Prachtig vanuit OT-perspectief, maar wel potentieel gevaarlijk. Je kunt de risico’s kleiner maken door bijvoorbeeld een datadiode in te zetten zodat data alleen het systeem uit kan. Daar wil men liever niet aan omdat maintenance dan ter plekke uitgevoerd moeten worden en dat kost menskracht en geld. Je kunt niet even makkelijk naar een olieveld in het midden van de woestijn. Je ziet dan dat beveiliging moet wijken voor beschikbaarheid.’

Risk systeem

Het opzetten van een goed risk systeem voor cyberveiligheid begint volgens Brouwer met een inventarisatie van de IT/OT systemen. ‘Daar kun je zo maar een jaar mee bezig zijn. Veel organisaties weten niet precies wat ze in huis hebben. Pas als je weet wat je moet beveiligen, ga je kijken naar hoe je dat gaat doen en welke systemen belangrijk zijn. Een ogenschijnlijk klein systeem kan een essentiële rol vervullen. Zo trof ik bij een oliebedrijf een simpel MS-DOS systeem aan voor koeling van de turbine. IT vond het niets voorstellen en gaf het de laagste prioriteit. Toen ik vroeg wat er met de turbine zou gebeuren als het systeem zou uitvallen, luidde het antwoord dat deze niet meer zou werken. Het systeem ging opeens van een lage naar een hoge prioriteit. Het moeilijke is dat je IT-kennis moet koppelen aan proces-kennis. Die kennis is heel lastig te combineren en dat is echt teamwork.’

Aan de hand van de rangschikking kan vervolgens worden gekeken naar oplossingen. Brouwer: ‘Hoe kunnen we een aanval voorkomen en als die plaatsvindt, hoe kunnen we de impact terugbrengen? De maatregelen die worden getroffen moeten daarna continu worden gemonitord. Je moet constant kijken hoe het beter kan en blijven leren.’

Holistische aanpak

Om de tijd tussen de hack en het ontdekken daarvan zo kort mogelijk te maken, is volgens Geijtenbeek een holistische aanpak nodig.

‘Zorg voor preventie, houd je antivirussoftware up-to-date, installeer een goede firewall of datadiode en train het personeel. Dat zijn de sloten op de deur. Je moet deze sloten echter ook goed bewaken zodat je een inbreker snel in de gaten krijgt en snel kunt reageren. Je moet je netwerkverkeer monitoren en mensen trainen in de taken die ze moeten uitvoeren op het moment dat de situatie moeilijk wordt.’

Dwingende wetgeving

De overheid zou volgens Geijtenbeek meer dwingende wetgeving op moeten stellen om maatregelen tegen cyberaanvallen af te dwingen. ‘In de VS zijn er al regels voor kritische infrastructuur, zoals het scheiden van netwerken en het gebruik van datadiodes.

Ook in Azië is er al regelgeving. In Europa is de wetgeving nog adviserend maar is dwingende regelgeving op komst. Veel elektriciteitsbedrijven hebben hier al maatregelen getroffen op het gebied van monitoring en scheiding van netwerken. In het Midden-Oosten is regelgeving uitgesteld door de lage olieprijzen.’

Cyberaanvallen op Industrial Control Systems zijn al lang niet meer denkbeeldig. Waar cybercriminelen zich een aantal jaren geleden vooral richtten op banken en overheidsinstellingen, zijn nu steeds vaker andere sectoren doelwit van hackers. Zo ook de procesindustrie, waar werk-
processen onderhevig zijn aan grote digitale veranderingen. Een ontwikkeling die risico’s met zich meebrengt. Toch kunnen we ons hier volgens Erik Remmelzwaal van DearBytes goed op voorbereiden.

Vorig jaar zaten tienduizenden huishoudens in Oekraïne een uur lang in het donker. Net als in 2015 werd het elektriciteitsnetwerk in het land aangevallen door hackers, waarbij de systemen van het substation offline werden gehaald. Ook Amerikaanse kerncentrales kwamen vorig jaar in het nieuws nadat uit een geheim rapport van het ministerie van Binnenlandse Veiligheid en de FBI bleek dat hackers het hadden voorzien op het binnendringen van het netwerk.

Volgens Erik Remmelzwaal, directeur van cybersecuritybedrijf DearBytes, zijn het voorbeelden die wijzen op een trendbreuk binnen de cyberwereld. ‘De banken hebben hun zaken steeds vaker op orde. Daardoor is de kans groter geworden dat banken cybercriminelen door hebben voor ze kunnen toeslaan. Dat maakt het lastiger via deze weg aan inkomsten te komen. Zodoende zijn hackers nieuwe verdienmodellen gaan zoeken, iets dat in de toekomst ook impact gaat hebben op andere sectoren. Denk aan logistieke bedrijven, maar ook industriële bedrijven die vaak nog veel kwetsbaarheden vertonen op het gebied van digitale veiligheid.’

Lucratief verdienmodel

De tijd dat cybercriminelen het uitsluitend hadden gemunt op het stelen van inloggegevens en persoonlijke informatie lijkt hiermee voorbij. Steeds vaker zetten hackers in op Destruction of Service, ook wel een DeOs-aanval genoemd. Bij een dergelijke aanval hebben cybercriminelen het vooral voorzien op het onbruikbaar maken van data of zelfs complete applicaties. Dit blijkt volgens Remmelzwaal een lucratief verdienmodel te zijn. ‘Deze aanvalsmethode werkt als volgt: ik zet jouw computer op slot, en je kunt hem niet gebruiken totdat je losgeld hebt betaald. Dit is een methode die ook goed kan werken in de procesindustrie. Als cybercriminelen besluiten een productieproces plat te leggen, dan is de keuze voor bedrijven vaak snel gemaakt. Het dringende advies luidt om nooit mee te werken aan ransomware, en dus niet te betalen. Toch is het betalen van losgeld in de vorm van twintig bitcoins een schijntje vergeleken met de kosten die een bedrijf maakt als een productieproces stil komt te liggen.’

tekst gaat verder onder de afbeelding

(c) Siemens

Uit de ICT-sfeer

Nu het risico op cyberaanvallen voor veel sectoren groter wordt, en daarbij andere vormen aanneemt, is het volgens Remmelzwaal hoog tijd dat bedrijven zich op een juiste manier gaan beveiligen. Zodoende werd eind vorig jaar de stichting Cyber Central in het leven geroepen, een samenwerkingsverband dat nu bestaat uit de bedrijven DearBytes,
Cisco, KPN en McAfee.

Aan de hand van workshops willen de initiatiefnemers het thema cybersecurity uit de ICT-sfeer halen. ‘Mensen denken vaak dat ze voor het beveiligen van hun computersystemen zijn overgeleverd aan doorgewinterde security-experts. Maar dat is niet zo. Iedereen kan zichzelf beveiligen, het is geen rocket science. Cyber Central heeft dan ook als doel cybersecurity begrijpelijk te maken voor iedereen.’

De stichting biedt verschillende workshops aan. Elke training kent een eigen niveau. Remmelzwaal legt uit: ‘Mensen die nog niet veel kennis hebben over cybersecurity, kunnen kiezen voor een introductieworkshop. Hierin leggen we de basiskennis uit, informatie die nodig is om het domein van digitale veiligheid te kunnen doorzien. Verder bieden we een business security workshop aan. Hierin oefenen klanten met de rolverdeling binnen organisaties. Je hebt binnen grote bedrijven vaak verschillende directeuren. Mocht zich binnen zo’n organisatie een security-incident voordoen, dan is het zaak dat iedereen weet welke rol hij heeft.’

Een andere training die de stichting aanbiedt, is de ‘hack introworkshop’. Volgens Remmelzwaal hangt er nogal een negatieve sfeer rondom hacken. ‘Onnodig’, vindt hij. ‘Hacken hoeft niet altijd samen te hangen met criminaliteit. Juist door te hacken, krijg je de mogelijkheid om te zien hoe een systeem onder de motorkap werkt. Op die manier krijg je ook inzicht in hoe zo’n systeem kan worden misbruikt.’

Ondergeschoven kindje

Hoewel Cyber Central regelmatig klanten ontvangt uit de industrie, geeft Remmelzwaal aan dat digitale veiligheid nog altijd een ondergeschoven kindje is binnen de (petro)chemische sector. Hij stelt dat er te weinig afspraken worden gemaakt met toeleveranciers, en dat er binnen organisaties nog te vaak wordt gewerkt met onveilige systemen. ‘Door kwetsbaarheden in onder meer ICS-/SCADA-systemen kunnen bedrijven gemakkelijk besmet raken. Zo maken hackers tegenwoordig gebruik van een nieuw type malware met de naam Triton/Trisis. Deze malware kan ervoor zorgen dat een fout ontstaat in de firmware van het Triconex-veiligheidssysteem. Dit systeem wordt in (petro)chemische applicaties toegepast en schakelt installaties op gecontroleerde wijze uit op het moment dat er onveilige situaties ontstaan. Als dit systeem door het toedoen van hackers niet meer goed functioneert, kan dit dus ernstige gevolgen hebben voor een bedrijf.’

Met elkaar vervlochten

Het is duidelijk dat deze systemen beter moeten worden beveiligd. Maar het is volgens Remmelzwaal ook belangrijk dat er binnen organisaties meer verbinding komt tussen het IT-domein (informatie technologie) en het OT-domein (operationele technologie). Zeker binnen fabrieken kan dit helpen meer inzicht te krijgen in de veiligheid van systemen. ‘Doordat steeds meer apparatuur en processen worden gedigitaliseerd, zie je dat ‘gewone’ bedrijfsprocessen plotseling een digitaal risico met zich meebrengen. Stel dat een lopende band volledig computergestuurd wordt, dan heb je ineens met allerlei nieuwe computergestuurde componenten te maken in je netwerk.’

Dit OT-domein wordt volgens de cyberexpert vaak beheerd door andere medewerkers dan diegenen die het IT-domein beheren. Zij hebben dan ook een andere vorm van risicobenadering. Remmelzwaal: ‘Je hebt te maken met twee gescheiden diensten, maar op technologisch gebied raken ze steeds meer met elkaar vervlochten. Je gaat niet meer de fabriek in om een sensor af te lezen, maar je doet dat op afstand vanachter je computer. Dus het is belangrijk dat die sensor verbonden is met het kantoor, anders kun je die data niet inzien.’

Mensen wegwijs maken

Hoewel het inbouwen van goede beveiliging in digitale systemen prioriteit heeft, maken hackers vooral misbruik van de factor mens. ‘Dat is eigenlijk nog steeds de meest gebruikte methode om een bedrijf binnen te komen. Een medewerker krijgt bijvoorbeeld via een mail de vraag een wachtwoord in te stellen, maar wel via een kwaadaardige website. Je kunt medewerkers dit soort dingen eigenlijk niet kwalijk nemen. Je moet mensen wegwijs maken in digitale risico’s, iets wat naar mijn mening nog onvoldoende is gedaan door organisaties, maar waar wij ons met de workshops van Cyber Central wél op focussen.’

Ironisch genoeg hebben veel Nederlandse bedrijven de afgelopen jaren veel geld geïnvesteerd in cybersecurity. Hoe is het dan toch mogelijk dat veel sectoren onvoldoende beveiligd zijn? Remmelzwaal legt uit: ‘Organisaties investeren weliswaar in security, maar in de basis schieten ze tekort. Ze schaffen bijvoorbeeld vaak gesofisticeerde tools aan, terwijl ze de basis niet op orde hebben. Daarnaast proberen ondernemingen de security zelf in te richten, alleen ontbreekt het aan kennis. Je moet immers wel nauwkeurig inzicht hebben in de risico’s, en weten hoe je hierop moet reageren. Helaas hebben veel bedrijven te maken met een tekort aan security-
professionals. Dat maakt het inrichten van een goed en capabel team bijzonder lastig.’

tekst gaat verder onder de afbeelding

Versnippering

Onveilige situaties bij organisaties hebben via het keteneffect uiteindelijk invloed op de hele maatschappij. De overheid ziet het daarom als haar taak handvatten aan te reiken als het gaat om regelgeving, informatievoorziening en controle. Maar volgens Remmelzwaal doet de overheid op dit moment ‘meer dan goed is’. ‘Er zijn eigenlijk te veel initiatieven vanuit de overheid, wat resulteert in versnippering. Zo heb je de Cyber Security Raad (CSR), het onafhankelijk adviesorgaan van het kabinet. Maar ook een Nationaal Cyber Security Centrum (NCSC), onderdeel van de Rijksoverheid. En dan is er ook nog een Digital Trust Center, speciaal voor het mkb. De overheid weet eigenlijk nog niet goed welke rol zij moet nemen. En op een gegeven moment kom je dan op een punt dat iedereen in dezelfde vijver vist.’

Het is volgens de cyberexpert beter om één globale baseline aan te houden, bij voorkeur een die vanuit de Europese Unie wordt aangedragen. Daarbij moeten richtlijnen zich niet alleen focussen op digitale sectoren, maar ook op private sectoren, zoals het mkb. Bestaande toezichthoudende organen zoals de AP, het NCSC of veiligheidsregio’s kunnen vervolgens toetsen of die baseline wordt nageleefd. Remmelzwaal: ‘Voor het grootste deel van de private sector kan in principe worden vertrouwd op marktwerking, zeker als de baseline ook beschrijft hoe om te gaan met risico’s in de supply chain. Als de overheid dan het voortouw neemt en bij aanbestedingen van diensten het voldoen aan de baseline verplicht stelt, inclusief een recht om dit te auditeren, dan gaat dat via de keten doorwerken in de private sector. En dan krijgen we met elkaar de situatie pas echt onder controle.’

Fix the basics

Uit Cybersecuritybeeld Nederland, een jaarlijkse publicatie op het gebied van cybersecurity, blijkt ieder jaar weer dat het cyberrisico in Nederland – en in de rest van de wereld – toeneemt. Hierbij neemt ook de schade toe, doordat cybercriminelen telkens nieuwe manieren bedenken om security-maatregelen te omzeilen en gebruikers te misleiden. ‘We moeten ervoor zorgen dat bedrijven zich weerbaar kunnen maken, en dat ze continu in staat zijn om mee te bewegen met nieuwe vormen van aanvallen, bedreigingen en risico’s. En dat is niet iets waar je één keer in investeert. Integendeel, het is een continu doorlopend proces.’

Aanbieders van essentiële diensten, zoals drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen, worden in de loop van 2018 verplicht te voldoen aan beveiligingseisen. Zij moeten adequate maatregelen nemen tegen inbreuken van buitenaf op hun netwerk- en informatiebeveiliging. Als zich toch een cyberincident voordoet, moeten zij hun techniek en organisatie op orde hebben om de digitale ‘brand’ snel te kunnen blussen en de schade zoveel mogelijk te beperken.

Dit blijkt uit het voorstel voor de Cybersecuritywet (Csw) van minister Grapperhaus (Justitie en Veiligheid), dat donderdag bij de Tweede Kamer is ingediend. Doel is Nederland digitaal veiliger te maken. De Csw vloeit voort uit de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) van de Europese Unie. Deze spoort de lidstaten aan hun digitale weerbaarheid te vergroten en beter met elkaar samen te werken.

Ernstige cyberincidenten moeten voortaan ook worden gemeld bij de toezichthouder. Volgens de huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) zijn aanbieders van bepaalde diensten enkel verplicht dit soort incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) – dat voor Nederland fungeert als een Cyber Security Incident Response Team (CSIRT). Een CSIRT waarschuwt voor risico’s en biedt hulp en bijstand bij cyberincidenten.

De toezichthouder (voor banken is dat bijvoorbeeld De Nederlandsche Bank) ziet toe op naleving van de beveiligingseisen en de meldplicht en legt zo nodig sancties op, zoals een bestuurlijke boete. De Csw geldt straks ook voor aanbieders van onlinemarktplaatsen, cloudcomputerdiensten en onlinezoekmachines. Het is nog niet bekend welke instantie voor die aanbieders het CSIRT wordt. De bepalingen in de huidige Wgmc worden opgenomen in de nieuwe cybersecuritywet. De Wgmc wordt ingetrokken.

 

De ransomware-aanvallen van afgelopen zomer, waar ook Nederlandse bedrijven slachtoffer van werden, waren niet eens op deze bedrijven gericht. De dure les die de chemische industrie hier uit kan trekken, is dat cybersecurity een boardroom-issue is.  

Tot voor kort was GoldenEye vooral bekend als onderdeel van de James Bond filmreeks, maar inmiddels heeft een aantal bedrijven een heel ander gevoel bij de naam. Het GoldenEye-virus, ook wel NotPetya genoemd, gijzelde deze zomer namelijk de kantoor- en operationele systemen van onder andere APM Terminals in Rotterdam. Hoewel het virus in eerste instantie was gericht op doelen in de Oekraïne, verspreidde het zich al snel buiten de landsgrenzen. Onder de slachtoffers bevonden zich olieproducent Rosneft, farmaceutisch bedrijf Merck en FedEx’s TNT Express service.

Een maand eerder was de wereld nog in de ban van de zogenaamde WannaCry-virus, dat 230 duizend computers in 150 landen besmette. Onder de slachtoffers zaten niet de minste bedrijven: het rijtje telde het Spaanse telecombedrijf Telefónica, Deutsche Bahn en de Britse National Health Service. Beide virussen vallen onder zogenaamde ransomware, waarbij criminelen bestanden versleutelen om deze tegen betaling weer toegankelijk te maken.

Basisveiligheidsniveau

Het mag duidelijk zijn dat cybercriminelen slimmer worden en de schade die virussen, ransomware en andere vormen van cybercriminaliteit kunnen aanrichten neemt steeds grotere vorm aan. De automatiseringsgraad van bedrijven neemt met de opkomst van het internet of things alleen maar toe, net als de interconnectiviteit. Tijd dus om maatregelen te nemen.

Erik de Jong van IT-beveiligingsbedrijf Fox-IT is direct en duidelijk: alles dat op software draait, is te hacken. ‘Of het nu om bijvoorbeeld auto’s, kantoor- of productiesystemen gaat, cybercriminelen hebben diverse en soms zeer geavanceerde manieren om in te breken en schade aan te richten. Bedrijven zullen zich daartegen moeten wapenen om economische of zelfs fysieke schade te voorkomen. De NotPetya-aanval waarvan onder andere APM Terminals slachtoffer werd, was niet eens gericht op de gedupeerde bedrijven. Het was nevenschade van een aanval op systemen in de Oekraïne.’

Het kostte de terminal negen dagen om de systemen weer in de lucht te krijgen. Hoewel het bedrijf niet rept over de hoogte van de geleden schade, kan dit in de miljoenen lopen. Achteraf bleek dat APM Terminals met verouderde systemen werkte en niet voldoende maatregelen had genomen om cyberaanvallen te voorkomen. Het was een dure les die wellicht ook andere bedrijven kan aanzetten om hun beveiliging nog eens door te nemen.

De Jong: ‘De eerste vraag die bedrijven zich zouden moeten stellen is: wie zou mij willen aanvallen en waarom? Niet iedereen hoeft zich direct zorgen te maken, maar zoals het voorbeeld van APM laat zien, hoeft een aanval niet eens direct gericht te zijn. Bedrijven zouden dan ook in ieder geval een basisveiligheidsniveau moeten hanteren om dit soort nevenschade te voorkomen. Criminelen speuren dagelijks naar achterdeurtjes die gemakkelijk zijn binnen te dringen en kunnen zo systemen gijzelen of gegevens bekijken die niet voor hen zijn bestemd. Want naast op geldgewin, kunnen criminelen ook uit zijn op concurrentiegevoelige informatie. De petrochemie zou zich zorgen moeten maken over bedrijfsspionage. Niet alleen omdat de schade hier groter kan zijn, maar ook omdat hier vaak beter georganiseerde partijen achter zitten, soms zelfs overheden. Met name de Chinese overheid staat er om bekend het niet zo nauw te nemen met intellectueel eigendom. Als zij informatie over procedés of recepturen in handen krijgt, zou dit tot grote economische schade kunnen leiden.’

Keuzes

Nog een stap verder zou het zelfs mogelijk zijn dat activisten processen willen verstoren die in hun ogen bedreigend zijn voor bijvoorbeeld de leefomgeving of het milieu. De Jong: ‘Hoewel een dergelijke bedreiging mogelijk is, moeten die partijen wel voldoende kennis en kunde hebben over de gebruikte systemen en protocollen. Bovendien zouden ze diep in de organisatie moeten zitten om toegang tot de systemen te kunnen verkrijgen. Cyberterrorisme vormt de hoogste bedreigingsgraad, maar heeft daarentegen de laagste waarschijnlijkheidskans. Desondanks zullen bedrijven wel goed moeten nadenken over wie ze toegang willen verschaffen tot hun DCS-systemen. Is dat alleen maar de contractor, of kijken derden over de schouder mee?’

Gezien de ernst van de bedreigingen en de bedragen die er mee gepaard gaan, is cybersecurity een boardroom-issue. ‘Uiteindelijk stuurt de IT-organisatie de beveiliging van de systemen aan, maar het management bepaalt welke bedreigingen koste wat kost moeten worden voorkomen en wat nog wel te tolereren is. Het is namelijk nooit mogelijk om alle bedreigingen te stoppen, tenzij je heel veel geld ervoor betaalt of je alles offline gooit. Beide situaties zijn onwenselijk in een modern bedrijf en dus zal je keuzes moeten maken.’

Procedures

De technische oplossingen om cyberaanvallen te voorkomen of af te wenden zijn een beetje te vergelijken met de tastbare wereld. De Jong: ‘Net als je in een pand een rolluik gebruikt om inbrekers tegen te houden, maar ook een camera voor het geval ze toch binnen geraken, zo zal de softwarebeveiliging ook op diverse vlakken aanvallen tegenhouden en detecteren. De fysieke bescherming zit in het gebruiken van firewalls, antivirusprogramma’s en netwerkbeveiliging. Het is in sommige gevallen echter ook aan te raden om te monitoren wat er in het netwerk gaande is. Uiteraard is de respons nog belangrijker dan de detectie van bedreigingen. Daarvoor zal je scenario’s klaar moeten hebben liggen om de impact van een aanval zo klein mogelijk te houden. Ons bedrijf heeft als voordeel dat we mensen hebben die dagelijks met dit soort bedreigingen te maken krijgen. Niet omdat bedrijven nu dagelijks onder vuur liggen, maar wel omdat we heel veel bedrijven monitoren. Wij kunnen dus sneller detecteren, maar weten ook welke handelingen moeten worden uitgevoerd om erger te voorkomen. En als het nodig is, kunnen we ook nog het forensisch onderzoek doen om de dader te achterhalen of te zien welke data zijn gestolen.’

Opvallend is dat zowel de WannaCry- als de GoldenEye-aanvallen begonnen met zogenaamde phishing mails waarin werknemers wordt gevraagd een bijlage te openen. Enige opvoeding van de werknemers is dan ook geen overbodige luxe. Wat ook opvalt, is dat de virussen vooral gebruik maken van zwakheden in oude systemen zoals Windows XP of Vista. Het is dan ook aan te raden altijd de laatste updates door te voeren en wachtwoorden regelmatig te wijzigen.

‘Een aanval staat bijna nooit op zichzelf’, zegt De Jong. ‘Het is vaak een werknemer die op een verkeerd knopje drukt, terwijl de software niet up-to-date is of iemand laat zijn verbinding open staan en heeft een wel heel eenvoudig wachtwoord. Ook in dit soort systemen is de mens de zwakste schakel en dus zal je procedures moeten ontwikkelen om fouten zoveel mogelijk te voorkomen.’

tekst gaat verder onder de afbeelding

big data

Vervlechting

Bij AkzoNobel heeft cybersecurity in ieder geval aandacht van de board. Chris van den Brink is Corporate Information Security Officer bij het chemiebedrijf en verantwoordelijk voor een veilige IT-omgeving. ‘De industrie gebruikte jarenlang oudere systemen waardoor men niet zoveel last had van externe aanvallen’, zegt Van den Brink. ‘Inmiddels zijn veel bedrijven bezig met een inhaalslag en zie je langzaamaan vervlechting met de kantoorsystemen. Het is natuurlijk handiger om procesgegevens direct in het ERP-systeem te zetten in plaats van USB-sticks uit te wisselen. Ook krijgen de controlekamers meer communicatiefunctionaliteit zodat operators processen op afstand kunnen monitoren of zelfs bijsturen. Dat maakt systemen wel kwetsbaarder voor externe bedreigingen. Met name die oudere systemen kunnen problemen veroorzaken omdat ze niet zijn ontwikkeld met het idee dat derden er bij zouden kunnen. De meeste bedrijven kiezen dan ook voor een controlelaag tussen de kantoor- en procesomgeving om eventuele hackers tegen te houden. Vaak zie je een combinatie van oude en nieuwe systemen, waarbij het oude systeem doorgaans de zwakste schakel vormt in het productiesysteem. Het is zaak voor bedrijven om die zwakke plekken op te sporen, te erkennen en te beschermen. Niet alleen in de eigen omgeving, maar bijvoorbeeld ook bij contractors.’

Cultuur

Van den Brink denkt dat veel bedrijven hun cybersecurity policy zouden moeten herzien. ‘Er worden getallen genoemd van 130 miljoen aan verwachte schade bij de moedermaatschappij van APM Terminals: Maersk. Van een andere orde is de schade bij ziekenhuizen die geen operaties meer konden uitvoeren omdat de computersystemen waren uitgevallen. Dit kan potentieel levensgevaarlijke situaties opleveren. Deze partijen werden slachtoffer van een aanval die niet op hen was gericht, laat staan wat er gebeurt als criminelen hun aandacht op dit soort kwetsbare omgevingen gaan richten. Bedrijven zouden dan ook meer tijd, geld en energie moeten steken in preventie van cybercriminaliteit. Ze zouden meer moeten investeren aan de opleidingenkant, maar ook werken aan een cybersecurity-cultuur.’

De chemie neemt veiligheid heel serieus en de meeste bedrijven hebben bij de poort een teller staan met het aantal ongevalsvrije dagen. Wellicht is het verstandig om ook de trackrecords op het gebied van cybersecurity te delen. Tot nog toe zijn er nog weinig gevallen bekend van cyberterreur, maar de systemen blijven zich ontwikkelen en de criminelen groeien mee. Veel ICT-leveranciers bieden bijvoorbeeld al cloud-oplossingen waardoor hun klanten eenvoudiger van hun software gebruik kunnen maken zonder dat ze die fysiek hoeven te beheren. De chemie moet zich er van bewust zijn dat ook een cloud-provider niet per definitie te vertrouwen is. Bovendien wordt er ook malware binnengehaald via apps die werknemers op dezelfde telefoon zetten als hun toegang tot de procesomgeving.

Van den Brink: ‘Een bedrijf dat de beveiliging van zijn ICT-systemen serieus neemt, zou zeer gedetailleerd moeten vastleggen welke systemen het gebruikt, maar ook de ICT-infrastructuur van zijn toeleveranciers. Vaak vinden criminelen een achterdeurtje via een leverancier die het iets minder nauw neemt met de veiligheid. Dat gebeurde bijvoorbeeld bij tekeningen van de JSF. Die werden niet gestolen bij Lockheed Martin, maar bij een Australische onderaannemer. Saillant detail is dat de toeleverancier gebruik maakte van standaard wachtwoorden als: admin en guest. Ga er vanuit dat criminelen constant op zoek zijn naar dit soort beveiligingslekken. Net als in veel systemen bepaalt de zwakste schakel de sterkte van de keten.’

Inmiddels is ook de wet- en regelgeving in beweging om bedrijven er toe te dwingen meer maatregelen te nemen om hun data en netwerken te beschermen. Zo zijn bedrijven die privacygevoelige informatie van klanten verzamelen strafbaar als deze informatie op straat belandt. Maar ook voor kritieke infrastructuur bestaat al een meldplicht als blijkt dat criminelen zich toegang verschaffen.

Beroepscriminelen steeds groter gevaar voor digitale veiligheid

Beroepscriminelen organiseren zich steeds beter en maken gebruik van geavanceerde digitale aanvalsmethoden. Vorig jaar vonden verschillende grootschalige aanvallen plaats met een hoge organisatiegraad, gericht op diefstal van geld en kostbare informatie. Naast de overheid waren bedrijven en burgers hiervan in toenemende mate het slachtoffer. Beroepscriminelen vormen daarmee een steeds grotere bedreiging voor de digitale veiligheid in Nederland. Dat blijkt uit het Cybersecuritybeeld Nederland 2016 (CSBN 2016).In het kader van de toenemende dreiging in het digitale domein zijn er vier opvallende ontwikkelingen uit het CSBN:

  1. Beroepscriminelen voeren langdurige, hoogwaardige en geavanceerde operaties uit.
  2. Digitale economische spionage door buitenlandse inlichtingendiensten zet de concurrentiepositie van Nederland onder druk.
  3. Ransomware is gemeengoed en is nog geavanceerder geworden.
  4. Advertentienetwerken zijn nog niet in staat gebleken malvertising het hoofd te bieden.