Opstelten: geen specifieke hackdreiging kerncentrales
Kerncentrales lopen geen specifiek gevaar om door hacktivisten gehackt te worden, aldus minister Opstelten van Veiligheid en Justitie. Opstelten reageerde op een brief van SP-Kamerlid Gesthuizen, die vragen had gesteld naar aanleiding van een artikel op Webwereld, dat hackers hun pijlen op kerncentrales richten. Het artikel was weer gebaseerd op een waarschuwing van het ICS-CERT.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid kwam in actie nadat onderzoeker via de SHODAN-zoekmachine een lijst van meer dan 500.000 SCADA- en ICS-apparaten hadden gemaakt.
Kwetsbaar
"In het artikel wordt ten onrechte de suggestie gewekt dat hacktivisten zich hiermee specifiek op kerncentrales zouden richten", aldus Opstelten. "In de waarschuwing van ICS-CERT wordt consequent gesproken over industriële controlesystemen. Deze systemen worden in diverse sectoren toegepast. Daarmee is niet gezegd dat er geen sprake is van kwetsbaarheden in dergelijke systemen of dat er geen toegenomen aandacht bestaat van hacktivisten voor industriële controlesystemen."
Volgens Opstelten is de problematiek bij de overheid bekend en wordt daar naar gehandeld. Zo werd in het tweede Cyber Security Beeld Nederland aandacht besteed aan de kwetsbaarheden in industriële controlesystemen.
Tevens werd er ingegaan op de toegenomen aandacht van cyberonderzoekers voor kwetsbaarheden in industriële controlesystemen en het feit dat hacktivisten op zoek lijken naar kennis over dergelijke systemen en de beveiliging daarvan.
Beleid
"Hierbij wil ik nogmaals benadrukken dat in het artikel onterecht de suggestie wordt gewekt dat de dreiging specifiek op kerncentrales is gericht. De dreiging is gericht op industriële controlesystemen die in diverse sectoren worden toegepast", schrijft Opstelten.
Specifiek voor de nucleaire sector zal deze volgens de minister begin 2013 over Design Basis Threat (DBT) Cyberdreigingen beschikken. "Hiermee kunnen de Nederlandse nucleaire installaties een adequaat en proportioneel beveiligingsbeleid voeren op het vlak van ICT."
Maak U vooral niet ongerust, ook andere sectoren lopen gevaar.... ? Wat een inhoudsloos gezwam.
"Hierbij wil ik nogmaals benadrukken dat in het artikel onterecht de suggestie wordt gewekt dat de dreiging specifiek op kerncentrales is gericht. De dreiging is gericht op industriële controlesystemen die in diverse sectoren worden toegepast", schrijft Opstelten.
Geen specifieke dreiging.., gelukkig!
Wacht, heb ik dat niet eens eerder horen zeggen...
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
De safety gerelateerde systemen in een kerncentrale zijn 100% zeker niet aan de buitenwereld gekoppeld. Dat is een eis van de IAEA en er wordt nauw op toegezien door IPPAS en WANO reviews.
De wel digitale (SCADA) systemen die in moderne centrales voor representatie gebruikt worden grijpen nimmer in op nucleaire safety.
Een kerncentrale is een normaal productieproces met administratieve en procesbesturende systemen. Die zijn veelal digitaal en soms terecht en onterecht aan de buitenwereld gekoppeld. En dan is alles inderdaad mogelijk.
De safety gerelateerde systemen (die dus een nucleair probleem zouden kunnen veroorzaken) zijn dat niet. Ik herhaal niet. Zoals Opstelten dus terecht wil toelichten; er is geen verhoogd risico op dat vlak.
En toch heeft elke journo die iets over SCADA schrijft het altijd over die kerncentrale... omdat hij/zij dan aandacht krijgt (zoals nu ook weer hier op security.nl). Omdat iedereen meteen denkt aan dat enge kernsplijtingsproces.
Opstelten heeft 100% gelijk; de processystemen (die de beschikbaarheid van het proces en de kwaliteit e.d. beheersen) zijn (wellicht) hackbaar. Dat is dan een commercieel risico voor de producent/exploitant. De nucleaire veiligheid is echter nooit, nimmer in gevaar omdat daar dus helemaal geen digitale systemen zijn of deze nergens aan gekoppeld zijn.
Maar goed... de luitjes op deze site weten het uiteraard (!) weer beter dan deze zeer ervaren minister die goed voorgelicht is. Waarom zitten jullie eigenlijk niet in Den Haag (en in dat geval zou ik snel emigreren :-)
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
Ze nemen hem m.i. vooral kortzichtigheid kwalijk, net als ik dat doe wat dat betreft.
Dat Opstelten vragen moet beantwoorden over iets waar hij helemaal niets over weet (hopelijk zijn ambtenaren wel) aan de hand van een een artikel op webwereld en niet de BRON (http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-12-046-01A.pdf) is natuurlijk helemaal dramatisch, ik zie liever die 3 kritische mensen van hierboven in Den Haag in plaats van die knakker die een brief aan Opstelten schrijft zonder de bronnen na te gaan...
OT:
Er zijn sinds begin dit jaar al exploit-modules openbaar beschikbaar voor, onder andere, PLC's van GE, Schneider Electric, Rockwell Automation en Koyo, onder andere in Metasploit.
Waarom kan er hier nauwelijks inhoudelijk gediscussieerd worden? Is het vak dat niet waard?
...
Maar goed... de luitjes op deze site weten het uiteraard (!) weer beter dan deze zeer ervaren minister die goed voorgelicht is. Waarom zitten jullie eigenlijk niet in Den Haag (en in dat geval zou ik snel emigreren :-)
Ik antwoord op een brief aan de hand van een uit de lucht gegrepen artikel met als bron ICS-CERT.
Ten onrechte wordt gesuggereerd dat de dreiging nucleair is, die is namelijk redelijk acuut en algeheel.
"Deze problematiek is bij ons bekend en daar wordt naar gehandeld."
Op 19 Maart heb ik al te kennen gegeven dat we linkjes naar relevante artikelen hebben geplaatst op ncsc.nl en / want de verantwoordelijkheid ligt bij de eigenaren hiervan.
Op 6 juli heb ik er ook nog wat over gemeld.
"Specifiek voor de nucleaire sector kan ik echter aangeven dat deze begin 2013
beschikt over een door de Minister van Economische Zaken vastgestelde Design
Basis Threat (DBT) Cyberdreigingen."
Wie zegt dat ik bang ben voor nucleaire dreigingen?
Ik vind zijn optreden hier traag, zwak & naïef. Dat wil nog niet zeggen dat ik heel zijn beleid per definitie afkeur, hij zou wat mij betreft alleen geen I(C)T in zijn portefeuille moeten hebben.
Er is dev / null toezicht, laat staan handhaving met betrekking tot de meest cruciale onderdelen van onze maatschappij en infrastructuur. Dáár heb ik moeite mee!
Zou je dat "goed voorgelicht" wellicht nog nader willen verklaren (in relevantie tot de I(C)T)?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
