je gewoon op internet’ dan heb ik het nog niet over de standaardwachtwoorden en de verouderde versies van programma’s die nog draaien.” Andere experts zien het eveneens misgaan. Adviseur informatiemanagement Hans Reterink en adviseur veiligheid en crisismanagement Tim Kenter van Berenschot begeleiden overheden bij cybersecurityoefeningen. Reterink constateert dat de cybersecurity rond complexe techniek zoals bij SCADA/ ICS-systemen heel lastig te begrijpen is. “Doorgronden kost tijd. Je moet alle mogelijkheden, onmogelijkheden en dilemma’s in kaart brengen. De mensen aan de top van de organisatie hebben daar vaak maar weinig kaas van gegeten.” Kenter vult aan: “En als de bestuurder en de IT-manager met elkaar praten, blijken ze vaak elkaars (vak)taal niet te spreken. Je kunt daar overheen stappen door geregeld met elkaar te praten en te oefenen.” Wordt het probleem rondom SCADA genoeg gezien door overheden? “We lezen veel over ransomware-aanvallen en hackers die privégegevens te koop zetten of bedrijven op slot zetten. Dat is ook belangrijk, maar de problematiek van industriële systemen blijft vaak onderbelicht”, aldus Scharloo. SCADA/ICS-systemen voor koelsystemen in datacenters, apparatuur van windmolenparken, camera’s in kantoren lijken geen enorme impact te hebben. “Een lopende band van een productiebedrijf stilleggen bijvoorbeeld is op zichzelf geen ramp. Maar de wereld is Nummer 41, januari 2022 wel steeds meer één supply chain. Je hoeft maar net de juiste fabriek stil te leggen en een hele keten loopt gevaar.” Reterink stelt dat de problemen groter worden, doordat de wereld vanuit de duurzaamheids- en energietransitie wordt ‘geëlektrificeerd’. “Er komen meer IoT-toepassingen en de industrie groeit steeds meer toe naar SCADA/ICS-systemen die gekoppeld zijn aan andere systemen. Cv-installaties, laadpalen en dergelijke zijn straks overal verbonden met backofficies die 9 van de 10 keer op internet staan en dus gehackt kunnen worden. De afhankelijkheid van deze systemen wordt steeds groter en daarmee ook de ‘kans’ voor hackers om er financiële voordelen mee te behalen via ransomware.” Meerdere CISO’s melden dat ze bij SCADA en ICS vaak afhankelijk zijn van de patches die leveranciers moeten uitvoeren. Daardoor is het soms onmogelijk om problemen snel op te lossen. Wat kunnen zij doen? Scharloo. “Als een leverancier niet meewerkt moet je kijken wat je als overheid wél kunt doen. Als een systeem niet kan worden geüpdatet, moet je kijken naar vervanging en moeten er meteen maatregelen worden getroffen om risico’s te verkleinen. Een systeem uitzetten gaat niet altijd, omdat er vaak ‘kritische systemen’ onder een SCADA-systeem hangen. Maar tijdelijke maatregelen kunnen de risico’s al flink verkleinen. En dat hoeft niet miljoenen te kosten. Is er een goede monitoring? Staan de (extra) firewalls aan? Heb je de standaardwachtwoor39
40 Online Touch Home