9% van kritieke infrastructuur beschermt installaties nog steeds met air gaps
Als er iets in het teken staat van veiligheid dat zijn het wel de kritieke infrastructuren. Olie en gas, nucleair, drinkwater, elektriciteit. Maar ook transport, zoals havens en luchthavens of telecom. Deze sectoren worden dan ook van oudsher omgeven door een woud aan regels, inspecties en maatregels om de veiligheid te garanderen. Maar de kritieke infrastructuur heeft steeds vaker te maken met cyberaanvallen. Daar loopt het soms fout in de beveiliging en door het ontbreken van wetgeving.
Zodra het over cybersecurity gaat, blijft het veiligheidsbesef soms steken. Er zijn in de laatste jaren enorme stappen genomen om cybersecurity bij kritieke infrastructuur te verbeteren. Maar er zijn bepaalde zwakke punten die nog steeds weggewerkt moeten worden om een optimale veiligheid te kunnen garanderen.
Nood aan duidelijke wetgevingen
Sinds de laatste jaren zijn door hacks zoals, Shamoon, Stuxnet, Wannacry en Petya veel bedrijven in kritieke infrastructuur wakker geworden. Bedrijven doen steeds meer aan monitoring om eventuele inbreuken snel op te sporen. Daarnaast wordt naar innovatieve oplossingen gezocht om kritieke infrastructuur te beveiligen. Toch verschilt de wetgeving sterk van regio tot regio.
We zien dat Amerika, het Midden-Oosten en Azië door recente hacks een striktere regelgeving krijgen voor kritieke infrastructuur. In het Midden-Oosten is het reeds verplicht om een datadiode te hebben in kritieke infrastructuur. Deze datadiodes zorgen voor een hardware-oplossing die het kritieke controlenetwerk scheidt van de buitenwereld. Dit, terwijl het toch mogelijk blijft operationele gegevens uit dat controle netwerk te verkrijgen. Europa daarentegen neemt slechts een adviserende rol op zich. Hierbij mogen naast sterke hardwareoplossingen zoals datadiodes nog steeds andere types verdedigingsmiddelen, zoals firewalls of air gaps, worden toegepast.
Minder air gaps, maar nog steeds problematisch
En bij deze laatste twee ligt echter nog te vaak het probleem. Uit recent onderzoek van Fox-IT blijkt dat 9% van bedrijven die kritieke infrastuctuur beheren nog steeds werken met een air gap systeem. Het nadeel van een air gap is dat de informatie niet ‘real-time’ is. Daarnaast is het systeem van air gap kwetsbaar doordat media dragers als USB sticks en of CD-Rom’s worden gebruikt. Wie garandeert dat deze niet ook elders worden gebruikt en zo besmet kunnen raken met een virus?
De menselijke factor is hierbij zo belangrijk. Bij de meeste hacks die wij zien, is de hacker binnengedrongen door een medewerker die phishingmails opende. Of doordat deze niet reglementaire USB sticks gebruikte. Indien medewerkers genoeg opleiding zouden krijgen op vlak van cybersecurity zou een groot aantal hacks voorkomen kunnen worden.
Het overgrote deel van de kritieke infrastructuur vertrouwt op Firewall technologie. Firewalls zijn echter kwetsbaar om meerdere redenen. Firewalls maken gebruik van software en software kan kwetsbaarheden bevatten. Een hacker kan hier gebruik van maken om binnen te komen. Ook de manier waarop een firewall is ingesteld kan voor problemen zorgen.
SCADA-systemen kwetsbaar, maar hoger bewustzijn
Een van de meest kritieke punten bij deze sectoren blijven de SCADA-systemen. Deze zijn uiterst noodzakelijk voor het optimaal functioneren van kritieke infrastructuur zoals raffinaderijen, energiecentrales en transporthubs. Toch echter zien we dat bij de bekendste hacks in kritieke infrastructuren, waaronder Stuxnet in 2010 en Mofang in 2015, een hack van de SCADA-systemen aan ten grondslag lag.
De huidige SCADA-systemen die in veel installaties terug te vinden zijn, zijn gebouwd om twintig tot dertig jaar mee te gaan. Dit betekent dan ook dat veel van deze systemen gemaakt zijn in een tijd waar cybersecurity nog niet het hot topic was dat het vandaag is. En dus ook niet de adequate bescherming hiertegen had gekregen. Dit zorgt er dan ook voor dat deze vaak een doelwit worden. Toch merken we dat veel bouwers van SCADA-systemen dit inzien en cybersecurity echt heel serieus nemen en hier enorme stappen in nemen om de nieuwste generatie systemen zo veilig mogelijk maken.
Verhoogde maintenance in installaties
Een bijkomend probleem hierbij is dat deze systemen dan ook niet gebouwd waren met concepten zoals connectivity en industry 4.0 in het achterhoofd. Veel van deze systemen draaien op verouderde operating systems terwijl ze verbonden worden met gesofisticeerde systemen. Het is vaak moeilijker om deze systemen te updaten.
Vaak wordt bij kritieke infrastructuur een onderhoud op minutieuze wijze gepland aangezien een restart zeer complex is en men dit dus ook niet elke zes maanden kan doen. Een kerncentrale of olieraffinaderij kan bij onderhoud of een restart zelfs een aantal weken offline zijn. Dus vaak wordt onderhoud pas om het jaar of zelfs om de twee jaar gedaan en kan de upgrade naar nieuwe OS ook pas dan plaatsvinden. Op zich is dit een begrijpelijke situatie, maar het zorgt voor een gat in de verdediging.
Communicatiekloof
Als er belangrijke reden voor het moeilijke cybersecurityvraagstuk is, dan is dat de moeizame communicatie tussen werknemers van kritieke infrastructuur in de OT-omgeving en cybersecurity experts, die een IT-achtergrond hebben. De experts op het gebied van operationele technologie worden vaak niet voldoende op de hoogte gebracht van cybersecurityprocedures aan de hand van opleidingen. Dat staat de veiligheid danig in de weg.
Naast een actieve bescherming in combinatie met het monitoren van netwerken, blijft ook de menselijke factor een belangrijke factor bij cybersecurity. Het verplicht volgen van standaarden en aanbevelingen zullen het cultuurverschil tussen OT en IT niet wegnemen. Maar wel kritieke infrastructuur aanzienlijk weerbaarder maken tegen cybercriminelen, cyberspionnen en cyberterroristen.
Peter Geijtenbeek, International Sales Director bij Fox-IT
