Bij bepaalde machines wordt nog steeds Windows XP gebruikt! den aangepast? Worden er met een intrusion prevention system (IPS) aanvalsverzoeken gefilterd en is het systeem gesegmenteerd binnen het netwerk? Dat zijn maatregelen die je wél alvast kunt nemen terwijl je zoekt naar een echte verbeterslag.” Waarom is patchen en updaten van deze systemen eigenlijk zo moeilijk? Reterink: “Men installeert systemen en vergeet ze daarna een beetje. Bij bepaalde machines wordt bijvoorbeeld nog steeds Windows XP gebruikt! Het werkt toch? Vaak vindt men het eng om er aan te komen: upgraden kan enorme gevolgen hebben, niemand weet hoe het werkt… Eigenlijk zou iedere organisatie moeten beginnen met patchen naar een hogere versie van Windows en een beveiligde communicatie met PLC’s (industriële computers). Maar je moet dan vanaf dat moment wel extra handelingen verrichten bij het beheer en dat vindt men vaak lastig.” Kenter vult aan. “Wat het ook lastig maakt is dat systemen vaak niet kunnen worden uitgezet, omdat het 40 gaat om kritieke processen voor het bedrijf. Bij een patch is een korte periode uitzetten vaak nodig. En dat kan grote gevolgen hebben. Dat hoort absoluut bij het afwegen van de risico’s.” Volgens Reterink ontbreekt het aan ‘redelijke normen’ voor SCADA-systemen. Bovendien lopen organisaties vaak achter als gaat om het voldoen aan de bestaande normen. “De huidige normering is erg gericht op administratieve systemen en privacy risico’s, terwijl het uitvallen van kritische infrastructuur ook steeds belangrijker wordt. Het is de klassieke focus van de CIO om met name te kijken naar administratieve systemen en weinig naar technische systemen. Voor CISO’s geldt dat in mindere mate ook. Vaak is er veel te weinig kennis over de technische systemen waardoor die te weinig prioriteit krijgen.” Welke oplossingen zijn er voor bestuurders om SCADAproblematiek tegen te gaan? Scharloo: “Het is lastig om een generieke oplossing te vinden voor problemen rondom SCADA. Er zijn in Nederland SCADA-systemen op internet te vinden die daar niet te vinden zouden mógen zijn. Er moet nog veel gebeuren om de situatie te verbeteren. Met striktere wetgeving en normering kan winst behaald worden. Bij inkoopgesprekken kunnen overheden normen afdwingen. Ik kijk dan onder meer naar de ISO normering 27001. Nu zijn protocollen rond systemen vaak ongeautoriseerd, informatie wordt online weggegeven en is soms zelfs te vinden in Google of via SHODAN, een zoekmachine die ‘gespecialiseerd’ is in het opsporen van onbeveiligde SCADA-systemen. Een overheid die kwetsbaarheden aantreft, moet deze in ieder geval uit het zicht halen van internet. Dat scheelt al een hoop. Bovendien zorg dat ervoor dat kwetsbaarheden makkelijk gemeld kunnen worden via responsible disclosure.”
41 Online Touch Home