BINNENLANDS BESTUUR - WEEK 41 | 2021 18 ONDERZOEK ICT DOOR: SJOERD HARTHOLT EN ALEXANDER LEEUW FOTO: AS MEDIA / ANP-HH Controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd, blijken zeer kwetsbaar. Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect. De problemen nemen alleen maar toe, zeggen securityexperts. CONTROLESYSTEMEN EENVOUDIG TE HACKEN ALS DE BRUG SPONTAAN OP HOL SLAAT Met speels gemak krijgt de hacker via de zoekmachine SHODAN op het Internet of Things toegang tot een rioleringssysteem van een grote gemeente. De chief information security officer (ciso) van de desbetreffende gemeente schrikt zich een hoedje. Er wordt direct van alles in werking gesteld om het gat te dichten, maar daarvoor is een ‘patch’ nodig van de leverancier. Die moet eerst nog ontwikkeld worden. De ethische hacker wordt na het tekenen van een geheimhoudingscontract bedankt voor zijn werk, maar het duurt uiteindelijk nog een half jaar voordat het gat is gedicht. Ciso’s, experts en wetenschappers herkennen het zojuist genoemde voorbeeld dat door één van de ciso’s met Binnenlands Bestuur en AG Connect wordt gedeeld. Het merendeel stelt zelfs dat dat problemen met dit soort controlesystemen bij overheden groter worden. Dat zit hem met name in de vrijgave van patches die niet tijdig voorhanden zijn. De achterstand bij overheden is groot en veel systemen werden nog voor de komst van internet gebouwd. Ze zijn daardoor een blok aan het been voor de verantwoordelijke ambtenaren geworden. Het ‘SCADA-probleem’ is groot maar wordt tussen alle spectaculaire ransomware en DDOS-aanvallen onderschat. SCADA, kort voor Supervisory Control and Data Acquisition Software, is software waarmee bijvoorbeeld makkelijk meetgegevens worden uitgewisseld. Een overkoepelende term voor verschillende van deze controlesystemen is ICS (Industrial Control Systems oftewel industriële controlesystemen). Bij alle overheden zijn SCADA-systemen te vinden die toezicht houden op kritieke industriële processen. Bij een gemeente gaat het al gauw om duizenden systemen zoals verkeerslichten en de besturing van bruggen en sluizen. ERNSTIG Provincies hebben er vermoedelijk nog meer, zegt Jeroen Schipper van gemeente Den Haag. De gevolgen van een hack kunnen bij zo’n systeem ernstig zijn. Rioolgemalen die buiten werking treden, bruggen die op hol slaan of verkeerslichtsystemen die door kwaadwillenden worden bestuurd. Met name de oudere systemen geven problemen. Sommige zijn twintig of misschien wel dertig jaar geleden gebouwd. Wat ciso’s merken is dat het doorvoeren van updates daardoor erg traag gaat en lastig is. ‘Er is niet altijd rekening gehouden met een regelmatige update. In het geval van ICS en SCADA-systemen zal deze soms op locatie moeten worden gepatcht’, zegt Schipper. Het verhaal van Schipper wordt herkend door andere ciso’s. Om veiligheidsredenen willen organisaties meestal niet bij naam worden genoemd. ‘Het is algemeen bekend dat de bedrijven die deze systemen aanbieden een achterstand hebben als het gaat om informatieveiligheid’, vertelt Leon Post, ciso bij de gemeente Hardenberg. ‘Dat is simpelweg nooit hun core business geweest. Ook wij hebben daarmee te maken. Gebouwen en de beheerssystemen gaan vaak langer mee dan software die hierbij geleverd wordt.’ Wat Post betreft hebben overheden een taak om veiligheidsmaatregelen te nemen, goede afspraken te maken en standaarden af te dwingen. ‘Ook moeten we ons afvragen of deze systemen wel aan het internet moeten worden gehangen.’ Een andere ciso vertelt dat er momenteel hard wordt gewerkt om een achterstand weg te werken: bij een inventarisatie kwamen diverse kwetsbaarheden bovendrijven. GROOT PROBLEEM Een ciso werkzaam bij de rijksoverheid spreekt van een groot probleem dat met name niet voldoende prioriteit krijgt bij leveranciers en fabrikanten. ‘Het is vaak te duur om een proces af te sluiten voor een update. Daarnaast zijn veel systemen niet ingericht om veelvuldig te worden voorzien van nieuwe firmware. Vaak is ook fysieke toegang nodig en in grote processystemen is dat niet altijd mogelijk zonder hoge kosten.’ Vroeger werden de systemen niet met beveiligingssoftware verscheept. ‘Nu vaak wel’, aldus ethisch hacker Wouter van
19 Online Touch Home