Home Security Kerncentrales staren zich blind op fysieke bescherming

Kerncentrales staren zich blind op fysieke bescherming

56

De laatste tijd komen de Belgische kerncentrales steeds vaker in het nieuws vanwege de risico’s van fysieke schade aan de centrales, en specifieker de reactoren. Daarnaast wordt ook duidelijk hoe een saboteur in een kerncentrale slechts een pomp hoeft te saboteren om de hele centrale voor ettelijke maanden stil te leggen. Hierdoor worden kerncentrales steeds beter beveiligd tegen de fysieke risico’s. Toch blijven vele kerncentrales op het vlak van cybersecurity achter. Het probleem hierbij is dat overheden en verantwoordelijken voor kerncentrales zich te vaak blindstaren op de fysieke bescherming en te weinig op de cybersecurity letten, terwijl dit vaak een van de gemakkelijkste manieren kan zijn om een kerncentrale volledig plat te leggen.

Overheden zijn op vlak van cybersecurity bij kritieke infrastructuur, zoals kerncentrales en banken te lang aan de zijlijn blijven staan. Zo blijft vooral Europa vaak achterophinken bij de effectieve wetgeving omtrent veiligheidsprocedures. Ook al werd tijden de Nuclear Industrial Summit 2014 in Amsterdam een joint statement uitgevaardigd door 200 industriële leiders om de veiligheid van de critical infrastructure te verbeteren, moet er op Europees vlak nog veel gedaan worden.

Een van de belangrijkste voorbeelden hiervan is de scheiding van de IT-omgeving van de OT-omgeving, die kritiek is bij het beschermen van systemen tegen cybercrime omdat dit eigenlijk al een verdedigingsmuur plaatst rondom belangrijke systemen. In de VS en het Midden-Oosten is deze opsplitsing wettelijk verplicht bij kritieke infrastructuur, terwijl dit in Europa gewoon geadviseerd wordt. Dit kan over de hele lijn worden doorgetrokken aangezien we merken dat opnieuw de VS en het Midden-Oosten cybersecurity op vlak van remote acces en IoT veel ernstiger nemen dan Europa. Ook op financieel vlak is duidelijk dat Europese landen veel minder spenderen op vlak van cybersecurity in hun centrales, vaak is het huidige besparingsklimaat hier de oorzaak van.

Een van de belangrijkste oorzaken waarom kerncentrales vaak het doelwit zijn van hackers lijkt aan hun OT-systemen te liggen, en dan vooral de SCADA-systemen (Supervisory Control and Data Acquisition). Veel kerncentrales gebruiken nog steeds dezelfde SCADA-systemen van bij hun oprichting. Dit vooral omdat ze vasthangen aan langdurige onderhoudscontracten van de installateurs waar ze niet onderuit kunnen. Deze systemen zijn echter niet ontwikkeld met cybersecurity in het achterhoofd aangezien het toen nog geen wezenlijke dreiging was. Nu echter, met de opkomst van IoT en de grote vraag naar remote acces worden door het koppelen van deze oude systemen met modernere steeds meer zwakke plekken gemaakt in de OT-infrastructuur van kerncentrales, die op hun beurt dan weer een gemakkelijke doelwit zijn voor cybercriminelen.

Tot op heden leeft er bij beheerders van kerncentrales nog steeds de mythe dat men veilig is aangezien de kerncentrales air-gapped zijn. Dit houdt in dat de interne IT-infrastructuur niet in contact komt met de buitenwereld. Air gap is echter een mythe! Binnendringen via het internet of via de IT-structuur is slechts een manier. Een cybercrimineel zal echter steeds de weg van de minste weerstand zoeken, dewelke vaak tamelijk low-tech kan zijn door bijvoorbeeld een USB-stick te besmetten die later door een werknemer van de kerncentrale wordt gebruikt, zoals bijvoorbeeld bij de Stuxnet-hack.

In een recent onderzoek van de denktank Chatham House blijkt dat de dreiging dat kerncentrales gehackt worden, stijgt. Naar mijn mening zal hacking van critical infrastructure in het algemeen steeds groter worden. Dit komt vooral omdat cybercriminelen zelf vaker over beter materiaal beschikken en ook steeds innovatiever worden in hun hacks. Toch is er in de sector zelf ook steeds meer bewustwording en worden ook zelf meer initiatieven genomen om sluizen op te zetten om de datastromen beter te beveiligen. Zo worden datadiodes gebruikt.

De vraag is natuurlijk wie deze kritieke infrastructuur wil hacken? Vaak moeten we hiervoor aan statelijke actoren denken, en dan specifieker de veiligheidsdiensten van die landen, ofwel actoren die door statelijk diensten gesteund worden. De eenvoudige reden is dat zulke cyberaanvallen niet gebeuren met een gewone laptop. Hiervoor is een grote hoeveelheid technische en financiële ondersteuning noodzakelijk, die dus enkel door ter beschikking staat van bepaalde statelijke actoren, en zelfs specifieker, maar van enkele landen in wereld.

Het voordeel van het gebruik van cyberaanvallen is dan ook nog eens dat staten zich ook steeds wegsteken bij deze hacks aangezien het vaak lastig te bewijzen is van waar men de hack heeft uitgevoerd. Zo heeft men bij verschillende hacks bijvoorbeeld het vermoeden dat een bepaald land hier achter zit, zoals bijvoorbeeld het vermoeden dat Amerika en Israël achter Stuxnet zitten, maar zoiets bewijzen, dat is natuurlijk een heel ander verhaal…

Helaas is er geen silver-bullet oplossing, wel kunnen door een aantal aspecten te combineren de bestaande cyber crime bedreigingen sterk worden geminimaliseerd. Zo is er de combinatie van Protectie, Detectie en Response. De bescherming kan verbeterd worden door het installeren van DataDiodes maar ook door betere voorlichting op de werkplek over de gevaren in combinatie met trainingen en opleidingen. Ten tweede is het belangrijk dat men snel kan herkennen dat men gehackt is dat kan door het actief monitoren van systemen. “If you can see it, you can deal with it!” Als laatste is het noodzakelijk om een goed cyber emergency respons plan paraat te hebben en verschillende scenario’s regelmatig te oefenen.

Peter Geijtenbeek, International Sales Director bij Fox-IT

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in