Achtergrond

"Offline halen van kritieke infrastructuur is geen oplossing"

donderdag 9 oktober 2014, 12:11 door Redactie, 17 reacties

Het heeft weinig zin om de systemen die voor onze water- en energievoorziening worden gebruikt van het internet te halen om te voorkomen dat ze het doelwit van cyberaanvallen worden. Dat zegt Delfin Rodillas van beveiligingsbedrijf Palo Alto Networks in een interview met Security.NL.

SCADA-systemen spelen een belangrijke rol binnen de kritieke infrastructuur. Vaak gaat het echter om oude legacy-systemen die online gaan, wat risico's met zich meebrengt omdat deze systemen niet met het internet en online security in het achterhoofd zijn ontwikkeld. Om een mogelijke cyberaanval te voorkomen wordt vaak opgemerkt dat het misschien beter is om deze systemen niet met het internet te verbinden.

In de praktijk blijkt dat dit niet altijd mogelijk is. Daarnaast komt het voor dat systemen soms onbedoeld aan het internet worden gekoppeld. Rodillas kwam eens een energiebedrijf in Oost-Europa tegen dat dacht dat het systeem niet online was. Tijdens een scan van het netwerk werd er echter internetverkeer gevonden. Het bleek afkomstig te zijn van de P2P-software eMule, de cloudopslagdienst Wuala en een applicatie genaamd WebDesk, een online editingtool. Werknemers gebruikten een "rogue" internetverbinding in de fabrieksomgeving om deze diensten te benaderen.

Volgens Rodillas hadden de werknemers geen kwade bedoelingen, maar wilden ze alleen bepaalde zaken gedaan krijgen, zoals het delen van documenten of handleidingen. "De werknemers stonden er echter niet bij stil dat dit risico's met zich meebracht." Sommige van de applicaties bevatten kwetsbaarheden die aanvallers op afstand zouden kunnen gebruiken. eMule deelt bijvoorbeeld documenten, waardoor dataverlies een potentieel gevaar is.

Een ander risico is de "quality of service". Als het netwerk voor kritieke toepassingen ook opeens gebruikt wordt voor het streamen van video's of downloaden van grote bestanden kan dat voor problemen zorgen, zoals de beschikbaarheid en stabiliteit van het netwerk.

Leveranciers

Een reden dat bijvoorbeeld de SCADA-omgeving op internet wordt aangesloten is omdat het gewoon mogelijk is, gaat Rodillas verder. Sommige werknemers weten dat er ergens een internetverbinding is in het rack waar de router staat. "Ze pakken een kabel, stoppen die in de router en klaar. En ze hebben direct toegang tot internet. Dat zou niet moeten gebeuren, maar het gebeurt."

Een situatie die vaker voorkomt waardoor SCADA-omgevingen met het internet verbonden moeten zijn is dat leveranciers dit verplichten. In het contract staat dan dat de energiecentrale een directe breedbandverbinding moet aanbieden, zodat de leverancier 24 uur per dag de software kan onderhouden. Ook kan de leverancier verplichten dat hij de enige is die beschikbare patches installeert.

Generator

Ondanks allerlei spannende berichten die in de media verschijnen over omvangrijke schade en zelfs het verlies van levens door cyberaanvallen op SCADA-systemen ziet Rodillas het niet zo' n vaart lopen, hoewel een stroomuitval voor burgers zeer vervelend kan zijn en voor bedrijven de nodige herstelkosten met zicht meebrengt. "Het elektriciteitsnetwerk is zeer veerkrachtig. Er zijn verschillende fail safes om het handmatig te doen." Rodillas kent een voorbeeld van een centrale waar het systeem maanden na een incident pas weer operationeel was. In de tussentijd werden alle operaties handmatig uitgevoerd.

Toch zijn zaken als redundantie en fail safes geen excuus om de digitale beveiliging niet serieus te nemen, gaat hij verder. Juist omdat systemen inmiddels zo afhankelijk van cyber en computernetwerken zijn geworden. "Er is in de VS geen enkel energiebedrijf dat air-gapped is en alleen seriële technologie gebruikt. Ze zijn allemaal naar een internet controlecentrum en IP-gebaseerde technologie overgestapt. Ze gaan van serieel naar IP (Internet Protocol)." De bedrijven gebruiken daarbij voor hun systemen commerciële off-the-shelf software en besturingssystemen zoals Windows.

Software die niet immuun voor aanvallen is. Ondanks het potentiële risico is het uit voorzorg offline halen van SCADA-systemen inmiddels geen optie meer, ook al zijn ze kwetsbaar voor een eventuele cyberaanval. Daarnaast werd een aantal maanden geleden bekend dat de grootste dreiging voor de kritieke infrastructuur voornamelijk nalatig personeel is. Of het nu om een onhandige werknemer gaat of een digitale aanvaller, wie niet in het donker wil komen te zitten doet er verstandig aan om voldoende water en een back-upgenerator achter de hand te hebben. Iets waar Rodillas thuis ook voor heeft gezorgd. "Dat krijg je als je in deze industrie werkt", merkt hij lachend op.

Nederlander wil doorstart voor anoniem Googlen plug-in

Juridische vraag: mag je als chauffeur een dashcam gebruiken?

Reacties (17)

09-10-2014, 14:07 door Anoniem

Offline halen van kritieke infrastructuur dus wél nuttig. Het is niet het ei van columbus, maar verkleint wel degelijk het risico op een aanval. Het is alleen niet echt meer werkbaar. Dat zijn echter twee verschillende dingen.

09-10-2014, 14:32 door Anoniem

Er wordt in het artikel vooral ingegaan op de gevaren van het wél online zijn van dergelijke systemen. Helaas kan ik geen argumenten terugvinden die de titel ondersteunen. De enige redenen zijn: "onbedoeld", "omdat het mogelijk is" of "Er is in de VS geen enkel energiebedrijf dat air-gapped is". Wat zijn nou echt steekhoudende argumenten voor het online brengen van deze zaken.

Gemak zal snel geroepen worden, icm kostenbesparing. Wat zijn echter de kosten van risicomitigerende maatregelen, laat staan de kosten van een incident? Grote kans dat dit niet opweegt tegen de (dus relatief lage) kosten van bijvoorbeeld een brugwachter?

09-10-2014, 15:07 door Anoniem

natuurlijk heeft het wel nut...
geen internet, geen exploitability via internet.
debielen die internet verbindingen aan het bedrijfsnetwerk hangen mogen naar het uwv gaan.

09-10-2014, 16:23 door Vandy

Stuxnet lukte het ook om een offline systeem binnen te komen, dus in zoverre is offline halen alleen niet voldoende. Het is wel een eerste drempel natuurlijk, en een belangrijke.

09-10-2014, 16:31 door [Account Verwijderd]

[Verwijderd]

09-10-2014, 16:43 door User2048

Hier wordt voorbijgegaan aan het principe van "defence in depth". Het niet online zijn is één van de maatregelen die je neemt in je gelaagde security model. Als iemand het in zijn hoofd haalt om deze maatregel te omzeilen, dan heb je nog andere maatregelen achter de hand. Dat betekent niet dat de maatregel zinloos is.

09-10-2014, 17:47 door [Account Verwijderd] - Bijgewerkt: 09-10-2014, 17:54

Een reden dat bijvoorbeeld de SCADA-omgeving op internet wordt aangesloten is omdat het gewoon mogelijk is

Het is toch ook gewoon mogelijk om niet met het internet te verbinden? (eventueel hier en daar een kabeltje eruit en klaar :-)

Sommige werknemers weten dat er ergens een internetverbinding is in het rack waar de router staat. "Ze pakken een kabel, stoppen die in de router en klaar

Als het niet de bedoeling is om met het internet te verbinden, en iemand hobbelt toch met een kabel naar de router, om die kabel er vervolgens in te stoppen, kun je de desbetreffende persoon er toch gewoon op aanspreken dat het niet de bedoeling is om met het internet te verbinden.

Door Anoniem 09-10-2014 14:32 uur: Er wordt in het artikel vooral ingegaan op de gevaren van het wél online zijn van dergelijke systemen. Helaas kan ik geen argumenten terugvinden die de titel ondersteunen.

Mee eens.

Beargumenteren gaat overigens naar mijn idee nog altijd door een standpunt of stelling te hebben en dit te onderbouwen met goede sterke argumenten. Eventueel tegenargumenten ook nog weerleggen.

09-10-2014, 18:03 door Anoniem

Als een leverancier wil dat iets op internet wordt aangesloten, zal ik in het contract eisen dat de software in principe veillig is en dat ik voor oplevering een penetratietest uit kan voeren. Als hij patches installeert, wil ik weten hoe zijn reactie is op meldingen van security problemen. Heeft hij een responsible disclosure zodat er uberhaupt meldingen van problemen kunnen worden gemaakt?

Peter

09-10-2014, 18:08 door Anoniem

Falen tot de standaard verheffen? Een weinig verheffende inslag van deze "expert".

09-10-2014, 21:09 door mcb

Door Anoniem 18:03:

Nog los hiervan, als zij toegang willen hebben, kunnen ze een vpn client krijgen.
Citrix client (o.i.d) opstarten en daarmee verbinding maken met een beheerderconsole.
De pc/server waar de console op draait heeft anders dan de citrix geen internet nodig.
En verder het gehele productiesysteem op een aparte (internetloze) vlan.

Door _kraai__:
Als het niet de bedoeling is om met het internet te verbinden, en iemand hobbelt toch met een kabel naar de router, om die kabel er vervolgens in te stoppen, kun je de desbetreffende persoon er toch gewoon op aanspreken dat het niet de bedoeling is om met het internet te verbinden.

Om dit soort zaken te voorlomen, hadden wij in enkele ruimtes in productielocaties zonder internet, een aantal pc's staan voor algemeen gebruik die via aparte vlan wel internet hadden. Aangezien die pc's alleen voor internetgeneuzel werden gebruikt, konden we ze zo schoonvegen zonder rekening to hoeven houden met userdata.

Verder behoort alleen IT toegang to de switches en routers te hebben. Ik ken overigens locaties waar die "in het printerhok" stonden.

09-10-2014, 21:34 door Anoniem

Ik word niet goed van dat gemakzuchtige "geen optie meer" (en: "niet meer van deze tijd" en andere). Achter dat "argument" gaapt een leegte. De auteur was niet in staat tot of had geen zin in het uitwerken van zijn gedachtegang. Waarschijnlijk vond-ie dat hij sowieso gelijk had, dus tegenwerpingen zag-ie bij voorbaat als "ouderwets gezeur".

10-10-2014, 00:07 door Anoniem

Waarom zou kritieke infrastructuur online moeten?
Ik kan niet één goede reden bedenken.

10-10-2014, 04:38 door Anoniem

Palo Alto.. zegt genoeg.
Hoop marketing gelul maar dan heb je het ook gehad..

10-10-2014, 09:38 door Anoniem

Met datadiodes is het mogelijk om systemen te koppelen aan het internet zonder dat informatie uit deze systemen naar het internet terug kan lekken, zie bijvoorbeeld https://wuala.com/FreemoveQuantumExchange/Aspects/Security/Programs/ChannelCodingExamples/OpenVPN-NL

11-10-2014, 11:14 door Anoniem

"Offline halen van kritieke infrastructuur is geen oplossing" is in mijn beleving net zoiets zeggen als dat de kluisdeur van een bank geen zin heeft omdat de medewerkers deze (overdag) voor het gemak toch open laten staan.

13-10-2014, 08:55 door Anoniem

Punt is denk ik meer dat je:
A) Bij voorkeur geen link met internet
B) Als dit toch nodig is voor bijv. remote onderhoud, dan goed beveiligen (tunnels, ip blocks etc.)
C) Het is nooit mogelijk om A of B af te dwingen, omdat er altijd nozems zijn die bewust of onbewust toch een internetverbinding realiseren.

Voor C kun je ook wat doen: awareness, scans (intern en extern) of andere detectiemogelijkheden (pentests, etc.). Snel erbij zijn en dan weer off-line halen.

16-11-2014, 13:12 door Anoniem

De reden waarom dingen op het internet hangen is dat het veel goedkoper is om die zaken van op afstand te besturen dan er fysiek iemand naartoe te moeten sturen.
Dat die internetverbinding moet beveiligd zijn is een evidentie.

Niets is echter 100% veilig, zeker niet op het internet.
Er wordt altijd een afweging gemaakt tussen de kost van de beveiligingsmaatregelen en het risico van een incident.

Ik werk in de telecomsector, en daar wordt altijd de afweging gemaakt van hoe redundant maken we een systeem.
Voor kleinere telefoonsystemen wordt er geen redundantie voorzien, bvb een klein bedrijf koopt gewoonlijk een niet redundante telefooncentrale, terwijl groter bedrijven meestal redundante systemen aankopen omdat de extra kost van een bijkomende server niet opweegt tegen de kost om een paar honderd mensen zonder telefoon te zetten.
Bij kritische systemen zoals bvb luchtvaartcontrole gaat de redundantie nog veel verder, daar wordt ook bekabeling, stroomvoorziening, ..... tot op de werkplek redundant uitgevoerd, wat een kost heeft die tot 20 maal hoger kan zijn in vergelijking met een normaal redundant systeem.
Het is altijd een afweging tussen kost en risico !!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer