image

Rekenkamer wil alle vitale waterwerken op SOC aansluiten

donderdag 28 maart 2019, 10:48 door Redactie, 28 reacties
Laatst bijgewerkt: 29-03-2019, 09:13

Alle vitale waterwerken in Nederland moeten op het Security Operations Center (SOC) van Rijkswaterstaat worden aangesloten, zo stelt de Algemene Rekenkamer. De Rekenkamer onderzocht de cyberveiligheid van tunnels, bruggen, sluizen en waterkeringen en stelt dat die beter kunnen worden beveiligd.

Vitale waterwerken maken gebruik van automatiseringssystemen die veelal uit de jaren 80 en 90 van de vorige eeuw stammen. Deze systemen zijn in de loop der jaren gekoppeld aan computernetwerken om bediening op afstand mogelijk te maken. "Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen", aldus de Rekenkamer. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.

Rijkswaterstaat heeft de afgelopen jaren zelf al vastgesteld welke cyberveiligheidsmaatregelen er moeten worden getroffen en een groot deel van deze maatregelen (ongeveer 60 procent) was begin vorig jaar al uitgevoerd. De Rekenkamer stelt vast dat Rijkswaterstaat onvoldoende toeziet op de uitvoering van het resterend deel en geen actueel overzicht heeft van de overgebleven maatregelen. Daarnaast wordt de uitvoering van openstaande maatregelen bij de eigen regionale onderdelen niet door Rijkswaterstaat afgedwongen. Tevens blijkt dat cybersecurity geen volwaardig onderdeel van de reguliere inspecties is.

Aanvallen detecteren

Om eventuele aanvallen te detecteren zijn verschillende vitale waterwerken op het SOC van Rijkswaterstaat aangesloten. Het plan was om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren, maar eind 2018 was dit nog altijd niet gerealiseerd. De Rekenkamer vindt dan ook dat Rijkswaterstaat de resterende veiligheidsmaatregelen moet uitvoeren, waaronder het aansluiten van alle vitale waterwerken op het SOC om rechtstreekse monitoring mogelijk te maken.

De Rekenkamer liet bij één van de vitale waterwerken een kwetsbaarheidstest door ethische hackers uitvoeren. De hackers wisten het object fysiek binnen te dringen. Zodra ze echter een laptop op het it-netwerk van Rijkswaterstaat aansloten werden ze door het SOC opgemerkt. In totaal kregen de hackers via social engineering twee keer toegang tot het object. De eerste kregen de testers toegang tot de controlekamer en werden zij alleen gelaten bij een open sleutelkast en niet­vergrendelde werkstations.

De tweede maal lukte het de testers erin een tijdelijke toegangspas te bemachtigen waarmee zij zich vrijelijk door de locatie konden begeven. Ook bij dit bezoek hadden de testers toegang tot belangrijke onderdelen van de locatie, zoals serverruimtes en opslagruimtes voor kritische onderdelen.

Verder pleit de Rekenkamer om medewerkers van het SOC beter te screenen. Nu wordt medewerkers alleen gevraagd een verklaring omtrent gedrag (VOG) te overleggen. "En is het de vraag of dat voldoende is om te werken met gevoelige gegevens over cyberdreigingen", aldus de Rekenkamer.

Minister Van Nieuwenhuizen van Infrastructuur onderschrijft de conclusies van de Rekenkamer en zal de aanbevelingen overnemen. "Echter, de uitvoering van onze aanbevelingen maakt de minister afhankelijk van de opvolging van onze eerste aanbeveling: het duiden van het dreigingsniveau. Alhoewel dit logisch lijkt, willen wij de minister er op wijzen dat het ook gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. We doelen dan bijvoorbeeld op het aansluiten van de vitale waterwerken op het SOC zodat er meer diepgaand en actueel zicht op deze waterwerken is. Dit had eind 2017 al gerealiseerd moeten zijn en is dus niet afhankelijk van de eerste aanbeveling", laat de Rekenkamer in het nawoord van het onderzoeksrapport weten.

Reacties (28)
28-03-2019, 11:05 door [Account Verwijderd] - Bijgewerkt: 28-03-2019, 11:05
Als het via een door hen beheerde en beveiligde VPN gaat dan zal het toch weinig kwaad kunnen?
28-03-2019, 11:27 door Anoniem
Door Kapitein Haddock: Als het via een door hen beheerde en beveiligde VPN gaat dan zal het toch weinig kwaad kunnen?
De Rekenkamer liet bij één van de vitale waterwerken een kwetsbaarheidstest door ethische hackers uitvoeren. De hackers wisten het object fysiek binnen te dringen
28-03-2019, 12:00 door Anoniem
Dan zou je wel een interne SOC moeten hebben of een service afnemen van Northwave of FOX-?T. Van partijen zoals Motiv en Dearbytes wegblijven die nog nieuwkomers zijn op de markt.
28-03-2019, 12:24 door Anoniem
SPOF!
28-03-2019, 12:57 door Anoniem
Schijnbaar gaat detectie voor preventie.. Op veel objecten staat stoloude ongepatchte apparatuur..
28-03-2019, 13:07 door SPer
Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .
28-03-2019, 13:08 door Anoniem
Ik zou zeggen, wtf? Nu pas? Waarom worden die dingen niet al jaren nauwkeurig in de gaten gehouden? Zelfde geldt voor tunnels, verzinkbare palen etc etc..
28-03-2019, 13:31 door Anoniem
Door Kapitein Haddock: Als het via een door hen beheerde en beveiligde VPN gaat dan zal het toch weinig kwaad kunnen?

Dat helpt niet tegen dit:

De Rekenkamer liet bij één van de vitale waterwerken een kwetsbaarheidstest door ethische hackers uitvoeren. De hackers wisten het object fysiek binnen te dringen.

De minister snapt het wel weer niet:
uitvoering van onze aanbevelingen maakt de minister afhankelijk van de opvolging van onze eerste aanbeveling: het duiden van het dreigingsniveau.

Dat is als de automobilist die eerst wil uitzoeken of hij echt met zijn hoofd door de ruit gaat bij een frontale botsing, voordat hij een veiligheidsgordel gaat plaatsen.

Peter
28-03-2019, 14:30 door Anoniem
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .

En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)
28-03-2019, 14:33 door Anoniem
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .

Een beetje SOC monitoort realtime. Je zou dus vrij snel moeten zien of iemand ongeoorloofd naar binnen aan het wandelen is, mits je de goede usecases monitoort. Doe je niet aan monitoring dan weet je het over het algemeen pas een half jaar later.
28-03-2019, 14:54 door Anoniem
“Nu wordt medewerkers alleen gevraagd een verklaring omtrent gedrag (VOG) te overleggen”.
Dit moet zijn: … over te leggen.
Óverleggen (= tonen, inleveren) is iets anders dan overléggen (=overwegen, beraadslagen).
28-03-2019, 14:55 door Anoniem
Door Kapitein Haddock: Als het via een door hen beheerde en beveiligde VPN gaat dan zal het toch weinig kwaad kunnen?
Want VPN software kan natuurlijk nooit lek zijn...
28-03-2019, 16:04 door Anoniem
Die dingen horen niet aan internet te hangen, PERIOD.
Private network, misschien, maar internet NOOIT
28-03-2019, 16:10 door Anoniem
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .
Een brandweer en ambulance gaan ook pas rijden zodra er een melding is. Tuurlijk moet je incidenten ook zien te voorkomen, maar monitoring is een onderdeel van een volwassen dienstverlening.
28-03-2019, 18:18 door Anoniem
Het ging al mis met de 1ste laag van de fysieke veiligheid, want de door de Rekenkamer ingehuurde ethische hacker kon gewoon door de voordeur de controlekamer binnenlopen. Een wachtwoord voor de console bleek overbodig...

Ethische hackers hebben in opdracht van de Rekenkamer twee grote waterwerken proberen te ‘kraken’. Bij een daarvan kon de onderzoeker ongezien de controlekamer binnendringen. Daar had hij het rijk alleen en kon hij zonder wachtwoord inloggen op het computersysteem van het waterwerk. Toen hij vervolgens een laptop probeerde aan te sluiten, werd dat wel opgemerkt door het SOC.

Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019

https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/
28-03-2019, 20:04 door Anoniem
Ja, gelukkig heeft de EU al lange tijd de NIS-Directive, in NL omgezet in de WBNI.
Dan moet je alleen wel de juiste sectoren aanwijzen, zodat toezichthouders hun nu weer aangetoonde noodzakelijke werk kunnen doen.
Zo zijn er EU-lidstaten die dergelijke sectoren als waterwerken, stuwmeren/waterkracht, spoor, wegtransport, vaarwegen, energievoorzieningen,zorgsector, bestuur, essentiele media (npo ed) al jaren geleden hebben aangewezen als Aanbieder van een Essentiele Dienst, AED. ( Operator Essential Services).
Eigenlijk is get heel eenvoudig. Daar had geen rekenkamer voor nodig hoeven zijn.
28-03-2019, 21:37 door Anoniem
jJe zou toch minstens een screening B verwachten.

En die hackers.waren natuurlijk niet 1000% gemotiveerd.

Geinig testje waarbij een vals gevoel van veiligheid wordt gecreëerd en je in ieder geval aan de dienstverlening voldaan had... .

En wat dan als er een centrale uitvalt of in vijandige handen valt,,neemt die ander het dan over?

Dat ga je wel merken...infrastructureel en economisch en niet zo'n beetje ook.

Sta je dan met jee SOC.
28-03-2019, 21:41 door Anoniem
Door Anoniem:
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .
Een brandweer en ambulance gaan ook pas rijden zodra er een melding is. Tuurlijk moet je incidenten ook zien te voorkomen, maar monitoring is een onderdeel van een volwassen dienstverlening.

Brandweer politie ambulance kan dan helemaal niet rijden want het gaat hier om essentiële kunstwerken. Die een onderdeel zijn van onze infrastructuur.

Monitoring hoort erbij zeker in een volwassen dienstverlening maar in sommige gevallen dien je preventie een veel hogere prioriteit te geven.

Maar zoals gewoonlijk moet er eerst weer een ramp gebeuren om gelijk te krijgen
28-03-2019, 21:44 door Anoniem
Ik ben in ieder geval blij dat er een detectiesysteem voor inbrekers is. Terwijl ik mijn voordeur altijd laat open staan. Helemaal super!
29-03-2019, 07:47 door Anoniem
Door Anoniem: Ik zou zeggen, wtf? Nu pas? Waarom worden die dingen niet al jaren nauwkeurig in de gaten gehouden? Zelfde geldt voor tunnels, verzinkbare palen etc etc..
Omdat elke bestuurslaag (regering, provincie, gemeente, waterschap, noem maar op) voortdurend worstelt met de vraag waar het beschikbare geld aan uitgegeven wordt. Geef je die euro uit aan de beveiliging van de infrastructuur, aan de infrastructuur zelf, aan recherche die het doorbreken van de beveiliging moet onderzoeken, aan de hulpdiensten die de de gevolgen van ongelukken ermee moeten helpen opvangen, aan het onderwijs dat nodig is om straks mensen te hebben die snappen hoe ze dit soort dingen moeten doen? De geschiedenis heeft uitgewezen dat landen die het oplosten door ongeremd geld bij te drukken in hyperinflatie terechtkwamen waardoor al dat geld geen drol meer waard was en nog steeds niet alles wat men wilde gefinancierd kon worden. Daarom gebeurt lang niet alles wat eigenlijk zou moeten.
29-03-2019, 09:19 door Anoniem
Door Anoniem: Het ging al mis met de 1ste laag van de fysieke veiligheid, want de door de Rekenkamer ingehuurde ethische hacker kon gewoon door de voordeur de controlekamer binnenlopen. Een wachtwoord voor de console bleek overbodig...

Ethische hackers hebben in opdracht van de Rekenkamer twee grote waterwerken proberen te ‘kraken’. Bij een daarvan kon de onderzoeker ongezien de controlekamer binnendringen. Daar had hij het rijk alleen en kon hij zonder wachtwoord inloggen op het computersysteem van het waterwerk. Toen hij vervolgens een laptop probeerde aan te sluiten, werd dat wel opgemerkt door het SOC.

Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019

https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/

Het woord "cyberterrorist" geeft al aan dat je dit soort publicaties niet serieus kunt nemen. #ExitHypeblaadjeVolkskrant

https://www.security.nl/posting/10691/Security+expert+haalt+uit+naar+term+cyberterrorisme
29-03-2019, 10:17 door Anoniem
Eerst fysieke toegang correct regelen.

Daarna verder kijken
29-03-2019, 10:22 door Anoniem
Dus in plaats van 3000 sites om aan te vallen, is nu slechts 1 punt nodig om ze allemaal te pwnen...
Nee, veel veiliger...
29-03-2019, 11:03 door Anoniem
Beetje rare opmerking van de rekenkamer, volgens mij moet je als rijks SOC medewerker sowieso B gescreend zijn. Iig in het SOC waar ik werk wel.
29-03-2019, 11:50 door [Account Verwijderd] - Bijgewerkt: 29-03-2019, 12:17
Door Anoniem:
Door Anoniem: Het ging al mis met de 1ste laag van de fysieke veiligheid, want de door de Rekenkamer ingehuurde ethische hacker kon gewoon door de voordeur de controlekamer binnenlopen. Een wachtwoord voor de console bleek overbodig...

Ethische hackers hebben in opdracht van de Rekenkamer twee grote waterwerken proberen te ‘kraken’. Bij een daarvan kon de onderzoeker ongezien de controlekamer binnendringen. Daar had hij het rijk alleen en kon hij zonder wachtwoord inloggen op het computersysteem van het waterwerk. Toen hij vervolgens een laptop probeerde aan te sluiten, werd dat wel opgemerkt door het SOC.

Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019

https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/

Het woord "cyberterrorist" geeft al aan dat je dit soort publicaties niet serieus kunt nemen. #ExitHypeblaadjeVolkskrant

https://www.security.nl/posting/10691/Security+expert+haalt+uit+naar+term+cyberterrorisme

#ExitHypeAnoniem van 09:19 uur, je bronnen staan wel erg droog.
HypeAnoniem komt aanstormen met verschrompeld 'nieuws' uit 2005.
HypeAnoniem leest het rapport van de algemene rekenkamer niet.
HypeAnoniem vindt de berichtgeving in de volkskrant daarover maar niks.
HypeAnoniem noemt de volkskrant HypeblaadjeVolkskrant

Lastig hè zout in je mentale wond gewreven krijgen.

Blep-bliep het is nu 2019. Over enkele blieps is het 2020.

Algemeen: Als je de term cyberterrorisme niet serieus neemt heb je de mogelijkheden die IT (Internet Technology*) biedt om deze criminaliteit te exploiteren sinds bijna 15 jaar geleden gemist. Is er hier iemand die bijvoorbeeld het gebruik van ransomware gericht op een ziekenhuis geen terrorisme noemt?

Benoem waarom, en neem dan in je motivatie mee dat dit niet evident dodelijke slachtoffers kan veroorzaken door bv. urgente medische behandelingen die moeten worden gecancelled.

(*) Edit: Informatie Technologie
29-03-2019, 13:19 door Anoniem
Door Anoniem:
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .

En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)

En kleine bedrijven :)

Eminus
29-03-2019, 15:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door SPer: Een SOC monitoort (dus achteraf) lijkt me dat je een aanval moet zien te voorkomen en niet achteraf moet concluderen dat er iemand aan je waterwerken heeft zitten rommelen .

En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)

En kleine bedrijven :)

Eminus

Sagan (software), a high performance, multi-threaded log analysis engine by Quadrant Information Security

https://en.wikipedia.org/wiki/Sagan_(software)

https://quadrantsec.com/sagan_solution/

Wat denken jullier hier van? Een log scanner. Heeft iemand hier goede ervaring mee? Graag kritisch zij het constructief commentaar of anders een suggestie voor een eventueel beter alternatief.
01-04-2019, 17:01 door Anoniem
Door Anoniem:

Sagan (software), a high performance, multi-threaded log analysis engine by Quadrant Information Security

https://en.wikipedia.org/wiki/Sagan_(software)

https://quadrantsec.com/sagan_solution/

Wat denken jullier hier van? Een log scanner. Heeft iemand hier goede ervaring mee? Graag kritisch zij het constructief commentaar of anders een suggestie voor een eventueel beter alternatief.

Dat hangt er vanaf wat je precies wil loggen en of daar überhaupt nuttige informatie in zit. De meeste van dit soort ICS/SCADA omgevingen worden vooral door systemen op Windows aangestuurd waarmee je elke vorm van logging (syslog, windows event log) naar een SIEM oplossing als AlienVault kan sturen, die het SOC dan weer kan gebruiken.

Echter om op een lager niveau (de PLC's die daadwerkelijk de waterwerken direct aansturen) te weten wat er precies gebeurd, kun je ook monitoring op het netwerkverkeer doen zoals bijvoorbeeld met Silent Defense.

https://www.secmatters.com/product/

De kracht van dit soort tools zit hem vooral in dat de gebruikte industrieële protocollen tot op zeker hoogte vrij voorspelbaar zijn. Hierdoor kan je na een initiële leerperiode al het afwijkende verkeer goed detecteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.