Onderzoek: Meer industriële systemen toegankelijk via internet
Het aantal industriële controlesystemen (ICS) dat via het internet toegankelijk is, is vorig jaar gestegen ten opzichte van het jaar daarvoor. Ook het aantal kwetsbaarheden in dergelijke systemen nam toe, aldus onderzoek van securitybedrijf Positive Technologies in een nieuw rapport (pdf).
Industriële controle systemen worden onder andere in de vitale infrastructuur en productieprocessen gebruikt. De onderzoekers vonden via de publiek beschikbare zoekmachines Google, Shodan en Censys bijna 176.000 ICS-onderdelen op internet tegenover 162.000 vorig jaar (pdf). Het gaat dan bijvoorbeeld om netwerkonderdelen, zoals switches, interface converters en gateways, meetapparatuur, programmable logic controllers, human machine interfaces en Supervisory Control And Data Acquisition (SCADA) systemen. 3500 onderdelen werden in Nederland aangetroffen.
Vorig jaar kende ook een stijging van het aantal openbaar gemaakte kwetsbaarheden in industriële controlesystemen. Werden er in 2016 nog 115 beveiligingslekken aangekondigd, vorig jaar waren het er 197. Volgens Positive Technologies wordt er een groeiend aantal kwetsbaarheden in industriële netwerkapparatuur gevonden. Verder zijn de meeste beveiligingslekken die in 2017 werden ontdekt op afstand zonder willekeurige rechten te misbruiken, net als in 2016 het geval was. "Een toename van het aantal bekende kwetsbaarheden en via internet toegankelijke ICS-onderdelen laat aanvallers meer soorten aanvallen uitvoeren, die echte gevolgen kunnen hebben", aldus de onderzoekers.
Wat ontbreekt is een verantwoording hoe ze nauwkeurig kunnen meten dat er meer of minder industriele systemen toegankelijk zouden zijn. Er is geen enkele verantwoording terug te vinden. Het enige wat ze presenteren zijn wat grafiekjes en cijfertjes en conclusies die niet te controleren zijn op waarheid bij hun datasets.
Dit zijn publicaties die geen ander doel hebben dan aandacht trekken van mensen die geen behoefte hebben aan verantwoording of bewijs. Dit soort onderzoek zou geen onderzoek genoemd mogen worden met zulke gebreken in verantwoording. Security.nl gedraagt zich hier als de nieuwsuur van februari door dit soort berichten klakkeloos over te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
