Naarmate meer fysieke systemen worden aangestuurd en beheerd door IT-systemen, zal beveiliging van SCADA steeds belangrijker worden.

De bescherming van Supervisory Control And Data Acquisition, oftewel SCADA, was niet zo lang geleden alleen een punt van aandacht voor managers van complexe industriële productiesystemen, zuiveringsinstallaties en elektriciteitscentrales. In sommige opzichten is dat nog steeds zo. Maar het is iedereen die de laatste SANS 2009 SCADA and Process Control Summit bezocht duidelijk geworden dat IT-security en fysieke security in steeds hoger tempo samensmelten.

Terwijl dit aan de gang is, bestuurt IT steeds meer fysieke systemen - en tegelijkertijd zijn het niet langer alleen de nutsbedrijven en de kritieke infrastructuur die afhankelijk zijn van SCADA-systemen. Ook traditionele productiebedrijven stappen over op SCADA, terwijl de gezondheidszorg en vele andere industrieën telematica omarmen voor het beheer van de meest uiteenlopende en verspreide apparaten. De beveiliging van fysieke controlesystemen zal van veel IT security managers tot het takenpakket gaan behoren.

Momenteel verschillen de deskundigen van mening over hoe kwetsbaar de kritieke infrastructuur van de ontwikkelde wereld is voor een digitale aanval. Sceptici wijzen op de specialiteit van SCADA-systemen, of op hoe weinig succesvolle SCADA-aanvallen er bekend zijn. Maar was Application Security 10 jaar geleden ook niet een specialiteit? En hoeveel aanvallen op webtoepassingen haalden toen het nieuws? Niet veel. Tegenwoordig staan zulke aanvallen bijna dagelijks in de krant.

Na grondig onderzoek is mij één ding duidelijk geworden: SCADA-systemen zijn per definitie kwetsbaar. Ten eerste zijn ze nooit ontworpen met de veiligheid van het netwerk in het achterhoofd, en ten tweede worden ze steeds vaker aangesloten op het internet. Dat is nu niet bepaald geruststellend.

In feite vallen steeds meer SCADA-apparaten ten prooi aan hetzelfde soort zwakheden die IT-systemen en toepassingen al sinds jaar en dag teisteren. Net een maand geleden waarschuwde het Franse Areva haar klanten voor de kwetsbaarheid van haar energiemanagementsoftware e-terrahabitat nadat er gebreken werden gevonden in verschillende versies (5.5, 5.6, 5.7) van het pakket. Het US Computer Emergency Readiness Team (CERT) waarschuwde dat deze versies vatbaar zijn voor manipulatie door een aantal buffer overflow en Denial-of-Service kwetsbaarheden. Klanten die gebruik maken van eerdere versies moeten ook upgraden.

"Een aanvaller kan toegang krijgen tot de privileges van een e-terrahabitat-account of een administratoraccount en willekeurige commando’s uitvoeren, of een kwetsbaar systeem laten crashen," vermeldt CERT's Vulnerability Note VU # 337569. De Note adviseert om direct een patch te installeren.

Veel hedendaagse applicaties en besturingssystemen laten dit soort kwetsbaarheden zien. Met één groot verschil: SCADA-systemen hebben niet alleen impact op gegevens, maar ook op het water, de riolering, chemicaliën, en zoals in het geval van Areva – de energievoorziening.

Het Idaho National Laboratory, dat meewerkt aan het SCADA Test Bed programma van het US Department of Energy, evalueerde talrijke SCADA-systemen, en vond een aantal categorieën van kwetsbaarheden die een zeer nadelige invloed hebben op de veiligheid van deze systemen: gebreken in change management, niet-versleutelde services zoals gebruikelijk in IT-systemen, zwakke beveiliging van gebruikersgegevens, informatielekken via onversleutelde communicatieprotocollen, en meer.

Het is bepaald niet geruststellend dat dit soort kwetsbaarheden is aangetroffen.

Theoretisch zouden SCADA-systemen niet moeten worden blootgesteld aan het internet, maar ik vrees juist dat ze steeds vaker aan IP-netwerken worden gekoppeld. In de meeste industrieën zouden SCADA-systemen compleet geïsoleerd moeten zijn van datanetwerken, om op die manier het risico van aanvallen aanzienlijk te verminderen. Desondanks gebruiken steeds meer installaties SCADA voor het beheer op afstand van hun systemen. Zelfs worden de systemen voor het verzamelen en analyseren van gegevens zelf aangesloten op een internet-enabled zakelijk netwerk. Als deze trend doorzet moet men SCADA-systemen gaan behandelen als alle andere netwerkapparaten: ze moeten worden geïdentificeerd, geïnventariseerd en geanalyseerd op kwetsbaarheden. Het US Department of Energy biedt hier informatie over het National SCADA Test Bed, het Center for SCADA Security, en andere bronnen.

Ik denk dat in de zeer nabije toekomst steeds meer mensen behoefte zullen hebben aan hoe deze systemen zijn te beveiligen.

Door Amol Sarwate, Manager Qualys Vulnerabilities Research Lab

Qualys, Inc. is de toonaangevende leverancier van als een service geboden oplossingen voor on-demand IT security risk en compliance management.