ENISA luidt noodklok over ongepatchte SCADA-systemen
Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) luidt de noodklok over de systemen die voor de kritieke infrastructuur worden gebruikt. Die blijken namelijk in veel gevallen met patches en beveiligingsupdates te worstelen, als er al updates beschikbaar zijn.
SCADA (Supervisory Control and Data Acquisition)-systemen zijn een subgroep van Industriële controlesystemen (ICS) en worden binnen de energie-, water- en transportsector gebruikt. Waren deze systemen vroeger vooral geïsoleerd, de afgelopen jaren zijn ze steeds vaker met andere netwerken en het internet verbonden.
Daardoor neemt ook het risico op aanvallen van buitenaf toe. Eén manier om SCADA-systemen te beschermen is volgens ENISA het uitrollen van patches. Er zijn echter twee grote problemen als het aankomt op het patchen van SCADA-systemen. Het eerste probleem is het grote aantal patches dat niet werkt.
Volgens onderzoek van het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid in 2011, bleek 60% van de patches niet goed te werken. Ten tweede is er ook een groot gebrek aan beschikbare patches. Voor minder dan de helft van de 364 bekende SCADA-lekken in 2011 waren beveiligingsupdates beschikbaar.
Maatregelen
ENISA heeft dan ook verschillende 'best practices' met betrekking tot patching opgesteld om zo de veiligheid van SCADA-omgevingen te verbeteren. Het gaat dan om netwerksegmentatie, het verwijderen van onnodige features, applicatie-whitelisting en Deep Pack Inspection, patchmanagement en onderhoudscontracten, het uitvoeren van eigen tests en het laten certificeren van systemen nadat ze gepatcht zijn.
"Hoewel patchmanagement geen wondermiddel is om de beveiligingsproblemen van SCADA-systemen op te lossen, is het toch belangrijk dat organisaties een patchmanagementbeleid instellen", stelt ENISA-directeur Udo Helmbrecht. Volgens Helmbrecht kunnen de Europese Unie of de lidstaten het bewustzijn van patches vergroten door patchmanagement te verplichten bij het opstellen van nieuwe regels voor apparaten.
Het is al erg genoeg dat SCADA aan het publieke net hangt...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
