Rekenkamer wil alle vitale waterwerken op SOC aansluiten
Alle vitale waterwerken in Nederland moeten op het Security Operations Center (SOC) van Rijkswaterstaat worden aangesloten, zo stelt de Algemene Rekenkamer. De Rekenkamer onderzocht de cyberveiligheid van tunnels, bruggen, sluizen en waterkeringen en stelt dat die beter kunnen worden beveiligd.
Vitale waterwerken maken gebruik van automatiseringssystemen die veelal uit de jaren 80 en 90 van de vorige eeuw stammen. Deze systemen zijn in de loop der jaren gekoppeld aan computernetwerken om bediening op afstand mogelijk te maken. "Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen", aldus de Rekenkamer. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.
Rijkswaterstaat heeft de afgelopen jaren zelf al vastgesteld welke cyberveiligheidsmaatregelen er moeten worden getroffen en een groot deel van deze maatregelen (ongeveer 60 procent) was begin vorig jaar al uitgevoerd. De Rekenkamer stelt vast dat Rijkswaterstaat onvoldoende toeziet op de uitvoering van het resterend deel en geen actueel overzicht heeft van de overgebleven maatregelen. Daarnaast wordt de uitvoering van openstaande maatregelen bij de eigen regionale onderdelen niet door Rijkswaterstaat afgedwongen. Tevens blijkt dat cybersecurity geen volwaardig onderdeel van de reguliere inspecties is.
Aanvallen detecteren
Om eventuele aanvallen te detecteren zijn verschillende vitale waterwerken op het SOC van Rijkswaterstaat aangesloten. Het plan was om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren, maar eind 2018 was dit nog altijd niet gerealiseerd. De Rekenkamer vindt dan ook dat Rijkswaterstaat de resterende veiligheidsmaatregelen moet uitvoeren, waaronder het aansluiten van alle vitale waterwerken op het SOC om rechtstreekse monitoring mogelijk te maken.
De Rekenkamer liet bij één van de vitale waterwerken een kwetsbaarheidstest door ethische hackers uitvoeren. De hackers wisten het object fysiek binnen te dringen. Zodra ze echter een laptop op het it-netwerk van Rijkswaterstaat aansloten werden ze door het SOC opgemerkt. In totaal kregen de hackers via social engineering twee keer toegang tot het object. De eerste kregen de testers toegang tot de controlekamer en werden zij alleen gelaten bij een open sleutelkast en nietvergrendelde werkstations.
De tweede maal lukte het de testers erin een tijdelijke toegangspas te bemachtigen waarmee zij zich vrijelijk door de locatie konden begeven. Ook bij dit bezoek hadden de testers toegang tot belangrijke onderdelen van de locatie, zoals serverruimtes en opslagruimtes voor kritische onderdelen.
Verder pleit de Rekenkamer om medewerkers van het SOC beter te screenen. Nu wordt medewerkers alleen gevraagd een verklaring omtrent gedrag (VOG) te overleggen. "En is het de vraag of dat voldoende is om te werken met gevoelige gegevens over cyberdreigingen", aldus de Rekenkamer.
Minister Van Nieuwenhuizen van Infrastructuur onderschrijft de conclusies van de Rekenkamer en zal de aanbevelingen overnemen. "Echter, de uitvoering van onze aanbevelingen maakt de minister afhankelijk van de opvolging van onze eerste aanbeveling: het duiden van het dreigingsniveau. Alhoewel dit logisch lijkt, willen wij de minister er op wijzen dat het ook gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. We doelen dan bijvoorbeeld op het aansluiten van de vitale waterwerken op het SOC zodat er meer diepgaand en actueel zicht op deze waterwerken is. Dit had eind 2017 al gerealiseerd moeten zijn en is dus niet afhankelijk van de eerste aanbeveling", laat de Rekenkamer in het nawoord van het onderzoeksrapport weten.
Dat helpt niet tegen dit:
De minister snapt het wel weer niet:
Dat is als de automobilist die eerst wil uitzoeken of hij echt met zijn hoofd door de ruit gaat bij een frontale botsing, voordat hij een veiligheidsgordel gaat plaatsen.
Peter
En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)
Een beetje SOC monitoort realtime. Je zou dus vrij snel moeten zien of iemand ongeoorloofd naar binnen aan het wandelen is, mits je de goede usecases monitoort. Doe je niet aan monitoring dan weet je het over het algemeen pas een half jaar later.
Dit moet zijn: … over te leggen.
Óverleggen (= tonen, inleveren) is iets anders dan overléggen (=overwegen, beraadslagen).
Private network, misschien, maar internet NOOIT
Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019
https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/
Dan moet je alleen wel de juiste sectoren aanwijzen, zodat toezichthouders hun nu weer aangetoonde noodzakelijke werk kunnen doen.
Zo zijn er EU-lidstaten die dergelijke sectoren als waterwerken, stuwmeren/waterkracht, spoor, wegtransport, vaarwegen, energievoorzieningen,zorgsector, bestuur, essentiele media (npo ed) al jaren geleden hebben aangewezen als Aanbieder van een Essentiele Dienst, AED. ( Operator Essential Services).
Eigenlijk is get heel eenvoudig. Daar had geen rekenkamer voor nodig hoeven zijn.
En die hackers.waren natuurlijk niet 1000% gemotiveerd.
Geinig testje waarbij een vals gevoel van veiligheid wordt gecreëerd en je in ieder geval aan de dienstverlening voldaan had... .
En wat dan als er een centrale uitvalt of in vijandige handen valt,,neemt die ander het dan over?
Dat ga je wel merken...infrastructureel en economisch en niet zo'n beetje ook.
Sta je dan met jee SOC.
Brandweer politie ambulance kan dan helemaal niet rijden want het gaat hier om essentiële kunstwerken. Die een onderdeel zijn van onze infrastructuur.
Monitoring hoort erbij zeker in een volwassen dienstverlening maar in sommige gevallen dien je preventie een veel hogere prioriteit te geven.
Maar zoals gewoonlijk moet er eerst weer een ramp gebeuren om gelijk te krijgen
Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019
https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/
Het woord "cyberterrorist" geeft al aan dat je dit soort publicaties niet serieus kunt nemen. #ExitHypeblaadjeVolkskrant
https://www.security.nl/posting/10691/Security+expert+haalt+uit+naar+term+cyberterrorisme
Nee, veel veiliger...
Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten
door Yvonne Hofs, 28 maart 2019
https://www.volkskrant.nl/nieuws-achtergrond/hacker-dringt-door-in-controlekamer-waterwerk-cyberterrorist-kan-ons-land-onder-water-zetten~b6fcbc3c/
Het woord "cyberterrorist" geeft al aan dat je dit soort publicaties niet serieus kunt nemen. #ExitHypeblaadjeVolkskrant
https://www.security.nl/posting/10691/Security+expert+haalt+uit+naar+term+cyberterrorisme
#ExitHypeAnoniem van 09:19 uur, je bronnen staan wel erg droog.
HypeAnoniem komt aanstormen met verschrompeld 'nieuws' uit 2005.
HypeAnoniem leest het rapport van de algemene rekenkamer niet.
HypeAnoniem vindt de berichtgeving in de volkskrant daarover maar niks.
HypeAnoniem noemt de volkskrant HypeblaadjeVolkskrant
Lastig hè zout in je mentale wond gewreven krijgen.
Blep-bliep het is nu 2019. Over enkele blieps is het 2020.
Benoem waarom, en neem dan in je motivatie mee dat dit niet evident dodelijke slachtoffers kan veroorzaken door bv. urgente medische behandelingen die moeten worden gecancelled.
(*) Edit: Informatie Technologie
En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)
En kleine bedrijven :)
Eminus
En daarom hebben grote bedrijven z.g.n. hunters in dienst welke IOC's in bestaande logging opsporen. Vaak onderdeel van het SOC :)
En kleine bedrijven :)
Eminus
Sagan (software), a high performance, multi-threaded log analysis engine by Quadrant Information Security
https://en.wikipedia.org/wiki/Sagan_(software)
https://quadrantsec.com/sagan_solution/
Wat denken jullier hier van? Een log scanner. Heeft iemand hier goede ervaring mee? Graag kritisch zij het constructief commentaar of anders een suggestie voor een eventueel beter alternatief.
Sagan (software), a high performance, multi-threaded log analysis engine by Quadrant Information Security
https://en.wikipedia.org/wiki/Sagan_(software)
https://quadrantsec.com/sagan_solution/
Wat denken jullier hier van? Een log scanner. Heeft iemand hier goede ervaring mee? Graag kritisch zij het constructief commentaar of anders een suggestie voor een eventueel beter alternatief.
Dat hangt er vanaf wat je precies wil loggen en of daar überhaupt nuttige informatie in zit. De meeste van dit soort ICS/SCADA omgevingen worden vooral door systemen op Windows aangestuurd waarmee je elke vorm van logging (syslog, windows event log) naar een SIEM oplossing als AlienVault kan sturen, die het SOC dan weer kan gebruiken.
Echter om op een lager niveau (de PLC's die daadwerkelijk de waterwerken direct aansturen) te weten wat er precies gebeurd, kun je ook monitoring op het netwerkverkeer doen zoals bijvoorbeeld met Silent Defense.
https://www.secmatters.com/product/
De kracht van dit soort tools zit hem vooral in dat de gebruikte industrieële protocollen tot op zeker hoogte vrij voorspelbaar zijn. Hierdoor kan je na een initiële leerperiode al het afwijkende verkeer goed detecteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
