We hebben het hier al vaker gehad over de kwetsbaarheid van Internet of Things (IoT). Er is echter nog een andere afkorting die begint met de letter I, waar we het minder over hebben gehad, maar die net zo kwetsbaar is: ICS.
ICS, of industriële controlesystemen, beheersen fysieke processen in de wereld om ons heen. Ze worden gebruikt in fabrieken, krachtcentrales, en zelfs in kantoorgebouwen om de productie en exploitatie te controleren. De laatste tijd zijn er wel wat hacks op industriële controlesystemen in het nieuws geweest. Toch zeggen experts dat er veel meer aanvallen plaatsvinden dan er daadwerkelijk openbaar worden gemaakt.
Terwijl bedrijven die klantgegevens opslaan verplicht zijn (of spoedig zullen zijn) om inbreuken op hun systemen openbaar te maken, blijven schendingen van industriële controlesystemen meestal onder de radar. Ze zijn niet minder ernstig dan inbreuken op persoonsgegevens. Waarschijnlijk juist problematischer: het ondermijnen van de security aanpakken van dit type bedrijven kan leiden tot verlies van productie, of erger nog, verlies van levens.
Welke risico’s zijn verbonden aan industriële controlesystemen en waarom zijn ze zo moeilijk te beveiligen? Tom van de Wiele, Principal Security Consultant bij F-Secure, noemt drie uitdagingen die je tegenkomt bij de beveiliging van ICS:
1. Legacy-systemen zijn niet gebouwd om online te zijn
Industriële controlesystemen zijn gebouwd om een lange levensduur te hebben. Veel systemen die vandaag de dag worden gebruikt zijn twee of drie decennia geleden gebouwd, voordat internetbeveiliging een grote zorg was. Basic beveiligingscontroles die tegenwoordig vanzelfsprekend zijn – bijvoorbeeld toegangscontrole, authenticatie of encryptie – zijn niet ingebouwd in deze legacy systemen
“Als je ICS koppelt aan andere IT-systemen en internet, maak je het mogelijk ze aan te vallen, iets dat eerder niet kon”, zegt Van de Wiele.
2. Moeilijk wijzigen of bijwerken
Een systeem dat miljoenen kost en gebouwd is om tientallen jaren te worden gebruikt, wordt niet zomaar vervangen door een nieuwe oplossing, ook al is het onveilig. Bovendien zijn updates uitdagend – vaak is een ICS altijd in bedrijf, vooral als het gaat om systemen die kritieke infrastructuur beïnvloeden. Hierdoor is er weinig of geen tijd voor systeemupdates en verbeteringen. En zoals Van de Wiele aangeeft, worden applicaties in de ICS-wereld met een reden statisch gemaakt: om zo deterministisch mogelijk te zijn in het proces dat zij automatiseren.
“Je wilt niet voor verrassingen komen te staan bij het opwekken van elektriciteit, het produceren van voedsel of het controleren van rioolniveaus,” zegt hij. “Je wilt dat het systeem en zijn ecosysteem voor eens en altijd werken. Systemen patchen of updaten past niet noodzakelijk in de beveiligingsstrategie van ICS, en dat is prima. Maar ze tegelijkertijd blootstellen, mag geen deel uitmaken van het model, en dat is helaas wat we tegenwoordig wel zien.”
3. Personeel niet op één lijn
“Helaas voeren industriële controlebedrijven nog steeds een voortdurende interne strijd: de IT-medewerkers versus het industriële automatiseringspersoneel,” zegt Van de Wiele. IT-teams zijn bijvoorbeeld niet noodzakelijkerwijs betrokken bij de inkoop, installatie en onderhoud van ICS, taken die gewoonlijk bij bedrijfsingenieurs behoren. Dit betekent dat IT niet weet welke controlesystemen worden gebruikt en waar.
Aanvallers die succesvol in deze systemen inbreken, kunnen dit grotendeels doen door misconfiguraties of door een gebrek aan bewustzijn binnen het bedrijf over wat er blootgesteld wordt. Onvoldoende segmentatie tussen “office IT” en IT-systemen voor ICS, evenals controlesystemen die soms direct op internet uitkomen, geven aanvallers toegang tot deze systemen. Bovendien is de administratieve toegang vaak niet genoeg beperkt. Veelvoorkomende problemen zijn onder meer een groot aantal beheerdersaccounts, het gebruik van gedeelde accounts en het gebruik van werkstations met volledige beheerdersrechten.
Het beveiligen van de ICS is een uitdaging, maar in de tijd van ransomware en steeds veranderende bedreigingen en opkomende vectoren is het van groot belang om de beste security methodes te volgen. Even belangrijk is het aanpassen van die methodes aan de doelomgeving, zegt Van de Wiele.
“Het is nu eenmaal maatwerk. Helaas worden veel bedrijven ontmoedigd doordat de wereld van informatiebeveiliging hun behoeften en beperkingen niet begrijpt. We moeten hen helpen om oplossingen te vinden die werken in hun omgeving.”
Dit zijn de tips van Van de Wiele voor bescherming van industriële besturingssystemen:
1. Communicatie scheiden
Sta voor dingen die andere partijen moeten kunnen inzien alleen punt-tot-punt communicatie toe, en bescherm die communicatie tegen afluisteren en manipuleren.
Zet alle andere diensten die draaien rond internetgebaseerde communicatie (externe toegang, e-mail, systeembeheer) achter een VPN-endpoint met two-factor authentication, en gebruik gepersonaliseerde accounts.
Als er uitzonderingen gemaakt moeten worden, gebruik dan compartimentalisatie door virtualisatie om jump hosts of andere middelen te introduceren. Er moeten verschillende toegangsgebieden (d.w.z. Active Directory forests) bestaan om voldoende te compartimenteren.
2. Leer je aanvaloppervlak kennen
Bedrijven kunnen iets niet beschermen als ze er niet vanaf weten. Gebruik discovery scans in combinatie met OSINT-tools om overzicht te krijgen van wat er wordt blootgesteld, wat er mogelijk wordt bedreigd, en wat bescherming nodig heeft. Overweeg meerdere vantage points – bijvoorbeeld documentatie van derden over hoe iets is opgesteld, de interne infrastructuur en hoe die wordt waargenomen, IP-adresbereik en IP-blocks die bekend of onbekend zijn voor de organisatie.
Zorg voor een vulnarability management process met regelmatige scans van ICS-componenten die niet bedrijfskritisch zijn of als onderdeel van een testlaboratorium, gecombineerd met handmatige test- en detectiemeganismen. Iets dat niet kan worden gescand of op een juiste manier beveiligd, moet worden gescheiden van de rest van het netwerk met andere beveiligingscontroles.
Overweeg een gespecialiseerde benadering met behulp van ethische hackers om duidelijk te maken wat er op het spel staat. Dit helpt bij het bepalen van een strategie om de organisatie te beschermen. Belangrijker nog, het stelt je in staat de voortgang te volgen bij het sluiten van beveiligingsgaten. Het bedrijf kan dan groeien en doorontwikkelen, terwijl er in de toekomst nieuwe technologie wordt geïntroduceerd.
3. Realiseer dat niet elk probleem een technisch probleem is
Sommige problemen hebben minder betrekking op technologie en meer op mensen, communicatie, organisatorische structuren en werkwijzen. In het geval van de IT-medewerkers versus het technisch personeel, zegt Van de Wiele: “Beide werelden moeten geïntegreerd worden en er moet een afweging worden gemaakt tussen het tegemoetkomen aan de huidige vraag op de markt en het verzekeren van IT-schaal. En wel zo dat het de security aanpak van het bedrijf niet ondermijnt.”
Categorieën