BINNENLANDS BESTUUR - WEEK 41 | 2021 ONDERZOEK 19 Dongen, ‘maar die wordt niet geüpdatet.’ Hij heeft het meegemaakt dat bij een waterschap een SCADA-systeem op Windows XP draaide waarbij de firewall al meer dan tien jaar was uitgeschakeld. Het systeem moest offline voor een update, wat lastig is, en niemand wist hoe het geconfigureerd was. ‘Tegenwoordig zijn er wel schaduwsystemen, die op zo’n moment de taken even kunnen overnemen, maar in de praktijk groeien die systemen uit elkaar. Misschien wordt er niet goed gedocumenteerd. En dan hebben mensen zoiets van: laten we er maar vanaf blijven want dan wordt het probleem nog groter.’ Cybersecurityadviseurs proberen het onderwerp meer bij bestuurders op de kaart te krijgen. Zo ook Berenschot-adviseurs Reterink en Kenter, die in 2019 een whitepaper erover schreven. Volgens Reterink groeien de risico’s rondom industriële controlesystemen omdat met het Internet of Things (IoT) steeds meer apparaten op internet worden aangesloten. ‘Er komen meer IoT-toepassingen en de industrie groeit steeds meer toe naar gekoppelde systemen. Cv-installaties, laadpalen en dergelijke zijn straks overal verbonden met backoffices die negen van de tien keer op internet staan en dus kunnen worden gehackt. De afhankelijkheid van deze systemen wordt steeds groter en daarmee ‘ We moeten ons afvragen of deze systemen aan het internet moeten worden gehangen’ ook de mogelijkheid voor hackers om er financiële voordelen mee te behalen door middel van ransomware.’ GEVOLGEN Wanneer hackers SCADA-systemen in handen krijgen, kan dit grote gevolgen hebben. Ethische hackers Wesley Neelen en Jeroen van Duijn lieten de wereld in 2020 tijdens een demonstratie op hackersevenement DEF CON zien hoe zij toegang wisten te krijgen tot de bediening van verkeerslichten van een Nederlandse gemeente. Helaas een behoorlijk reëel scenario. KPN Nederland nam de situatie rondom ICS en SCADA-systemen in maart 2021 nog onder de loep. Daarbij werden zo’n drieduizend kwetsbaarheden in industriële omgevingen aangetroffen, waarvan tweehonderd zeer ernstig van aard. Jordi Scharloo, security researcher bij KPN, blikt daarop terug. ‘De aanleiding van ons onderzoek was een gehackte waterzuiveringsinstallatie in de VS. Hackers konden daarmee al bijna een gevaarlijke dosis van een bepaald goedje in het water opschroeven. Het is één van de vele voorbeelden van gehackte industriële controlesystemen. De schrikbarende zaken zoals deze komen bovendrijven, maar heel veel blijft onder de radar.’ Het gaat niet alleen om de kwetsbaarheid van een SCADA-systeem zelf. Via een kwetsbaar systeem kan een hacker verder komen. De beveiliging van de airco in een gemeentehuis biedt mogelijkheden tot volgende stappen. Zoals een medewerker, die kan worden misleid, en zo toegang geeft tot andere systemen. Zo bouwt een hacker het stapje voor stapje op. Deze problemen komen overal ter wereld voor. Eén van de bekendste gevallen rond
20 Online Touch Home