BINNENLANDS BESTUUR - WEEK 41 | 2021 Sem van der Wal / ANP-HH ONDERZOEK 21 ‘Bij een om gehackte SCADA-systemen stamt uit 2010, toen het kernprogramma van Iran ernstige vertraging opliep omdat centrifuges van een kerncentrale in Iran op hol sloegen nadat aanvallers toegang kregen met behulp van de Stuxnet-malware. Een ander bekend en actueler voorbeeld is een via een SCADA-systeem lamgelegde Amerikaanse oliepijplijn waarmee 2,5 miljoen vaten olie worden vervoerd. Volgens Scharloo geldt over het algemeen: hoe welvarender het land, hoe meer er geïnvesteerd wordt in beveiliging en hoe meer deze op orde is. Maar ook in Nederland zijn er volgens Scharloo voorbeelden van systemen die makkelijk online zijn te vinden. ‘Voorbeelden waarvan ik denk: jongens, jongens, jongens. Je zou deze systemen heel makkelijk in ieder geval online ontoegankelijk kunnen maken. En dan heb ik het nog niet over de standaardwachtwoorden en de vaak verouderde versies die nog draaien.’ LASTIG Volgens Scharloo is het lastig om een generieke oplossing te vinden voor problematiek rondom SCADA en ICS. ‘Er zijn in Nederland systemen op internet te vinden die daar niet te vinden zouden mogen zijn. Met striktere wetgeving en normering kan nog meer winst behaald worden. Ik kijk dan onder meer naar de ISO-normering 2760. Nu zijn protocollen vaak ongeautoriseerd, de informatie wordt gemeente gaat het al gauw om duizenden systemen’ online al weggegeven en is soms zelfs te vinden in Google of met SHODAN. Een overheid die zo’n kwetsbaarheid heeft moet deze in ieder geval uit het zicht halen van internet. Dat scheelt al een hoop. Zorg ook dat iedereen die een kwetsbaarheid vindt het makkelijk kan melden: responsible disclosure. En wat ik helaas nog vaak tegenkom zijn standaardwachtwoorden. Bij inkoopgesprekken kunnen overheden tegenwoordig afdwingen dat deze niet mogen worden gebruikt.’ Maar inkoopgesprekken met SCADA- en ICS-leveranciers zijn geen een-tweetje. Een bemoeilijkende factor is volgens CISO Schipper de beperkte markt. ‘Er zijn één of twee grote leveranciers die bijvoorbeeld verkeerssystemen leveren. Uiteraard kun je met leveranciers afspraken maken over ISO-normeringen of de Baseline Informatiebeveiliging Overheid (BIO), maar wanneer je wil overstappen is er niet snel een andere leverancier gevonden die van de ene op de andere dag even alle verkeerssystemen van een gemeente vervangt. Dat maakt het probleem complexer.’ Patchen en updaten van systemen gaat vaak moeilijk, constateren ook Reterink en Kenter. ‘Men installeert de systemen en vergeet ze daarna een beetje. Bij bepaalde machines wordt nog steeds Windows XP gebruikt, bijvoorbeeld. Vaak vinden mensen het doodeng om eraan te komen. Upgraden kan enorm veel gevolgen hebben. Meestal geldt: als je ervan afblijft, werkt het wel. Eigenlijk zou iedere organisatie moeten beginnen met patchen naar een hogere versie van Windows en een beveiligde communicatie met SCADA. Maar dit wordt vaak onhandig gevonden: je moet vanaf dat moment extra handelingen gaan verrichten bij het beheer.’ Kenter vult aan: ‘Wat het ook lastig maakt is dat de systemen vaak niet kunnen worden uitgezet omdat het gaat om kritieke processen voor het bedrijf. Bij een patch is een korte periode uitzetten vaak nodig. En dat kan hele grote gevolgen hebben.’ FYSIEKE SCHADE Siemens, één van de grootste leveranciers is op gebied van SCADA-systemen bij de overheid, merkt dat updates en patches voor SCADA-systemen vaak trager worden uitgevoerd in vergelijking met die voor ict-systemen. ‘Siemens stelt de patches in meeste gevallen kosteloos beschikbaar’, schrijft het bedrijf in een reactie. Maar vanwege eisen zoals continue beschikbaarheid ‘worden patches en updates in de praktijk niet altijd op regelmatige basis uitgevoerd’. Ook wordt er over het algemeen minder geïnvesteerd in vergelijking met ict-systemen. Siemens adviseert om een duidelijk beleid hiervoor te definiïeren (net als in de ict-wereld gebruikelijk is), met risicoanalyses, heldere verantwoordelijkheden, beschikbare budgetten en een duidelijk plan. Er is werk aan de winkel, concludeert ethisch hacker Van Dongen. Hij heeft verschillende testen uitgevoerd bij waterschappen en het is hem altijd gelukt om de volledige controle te krijgen. ‘Als het misgaat met SCADA-systemen dan is het misschien wel een groter probleem dan ransomware. Door ransomware kan een organisatie stilliggen, maar als bij waterschappen alle systemen verkeerde lezingen geven dan is er meteen fysieke schade.’ Binnenlands Bestuur en AG Connect spraken voor dit achtergrondverhaal de afgelopen maanden met wetenschappers, cybersecurityexperts van KPN en Berenschot en dertien ciso’s van diverse overheden.
22 Online Touch Home