Senaat VS wil elektriciteitsnet met retro-technologie beschermen
De Amerikaanse senaat heeft een wetsvoorstel aangenomen dat retro-technologie wil inzetten om het elektriciteitsnet te beschermen. Doordat systemen steeds meer met het internet verbonden zijn, neemt ook de kans op nieuwe dreigingen toe, aldus senator Angus King die het voorstel introduceerde.
"Onze connectiviteit is een kracht die, wanneer niet beschermd, als een zwakte misbruikt kan worden. Dit wetsvoorstel neemt belangrijke stappen om onze verdediging te versterken, zodat het elektriciteitsnet niet kwetsbaar is voor vernietigende aanvallen die vanaf de andere kant van de wereld worden uitgevoerd", aldus King.
De Securing Energy Infrastructure Act wil kwetsbaarheden wegnemen waar aanvallers misbruik van kunnen maken. Er wordt met name gekeken naar het vervangen van geautomatiseerde systemen door low-tech redundanties. Het gaat dan bijvoorbeeld om handmatige procedures door menselijke operatoren. Deze aanpak maakt het lastig voor aanvallers die het elektriciteitsnet willen aanvallen, aangezien ze fysiek ter plekke zouden moeten zijn om toegang tot de apparatuur te krijgen, merkt King op.
De wetgeving is geïnspireerd door een aanval op Oekraïense energiebedrijven in 2015 waardoor 225.000 mensen enige uren zonder stroom kwamen te zitten. Volgens de senator had de aanval veel erger kunnen uitpakken, was het niet voor het feit dat Oekraïne handmatige technologie inzet om het elektriciteitsnet te bedienen. Met het wetsvoorstel wil King naar manieren gaan kijken om via "retro-technologie" de belangrijkste controlesystemen te isoleren.
Zo moet er onderzoek worden uitgevoerd om nieuwe soorten kwetsbaarheden te identificeren, en technologie zoals analoge apparaten te onderzoeken en testen, die kunnen worden gebruikt om de belangrijkste systemen te isoleren. Tevens roept het wetsvoorstel op om een nationale strategie te ontwikkelen om het elektriciteitsnet van aanvallen te isoleren. Overheidsinstanties en de energie-industrie moeten bij de ontwikkelen van deze strategie samenwerken.
Wordt er ook gecontroleerd, of iets daadwerkelijk "in de lucht" is getild.
Hoe spoort dit met smart meters, IoT and mass surveillance.
Waarom is men in het ene geval niet bang voor reacties en in het andere wel?
Ik voel weer een KPN-achtige storing naderen.
De dumb-downing gaat al zo ver, dat men niet meer in staat is zelfs om alle draaiende bordjes omhoog te houden,
We denderen eerdaags af op een grote fail.
Crisis-analytici kom er maar in? Die er goud aan moeten verdienen hebben er geen sjoege van,
Die er sjoege van hebben en het moeten doen verdienen eerder peanuts
en dan krijg je alleen trained monkeys voor je bezuinigingen.
Streven iedereen aan een Hamburgertent loon. Over heelde EU gelijk arm en later globaal.
Gaat ie goed. Hij kan nog beter. Het ongeloof bij velen blijft.
Ze verstarren eerder als een konijn gevangen in een stroperslamp,
dan dat ze iets doen of wegrennen.
Alternatief nu allemaal aan de zelfopgewekte yoyo-knijpkat-stroom,
zet je bewegingsenergie om in groene energie, bankzakker.
#sockpuppet
Als je denkt dat je alles kan weg programmeren dan is er sowieso wel iets mis met je als programmeur..
Een goeie programmeur weet dat er altijd een nieuwe bug te vinden is.
Niet dat we toen ooit gehackt zijn, kan ik me herinneren.
Dit is trouwens het grootste gevaar voor het elektriciteitsnet: https://cybersquirrel1.com/
Meer managers ergens op zetten zorgt ook niet voor beter lopende processen. Wel wordt het duurder.
Soms gaat het beter als je de experten zelf de zaken laat regelen.
Een goeie programmeur weet dat er altijd een nieuwe bug te vinden is.
Die conclusie strijd ik niet af, maar er zijn wel wat nuances aan te brengen en aanvullingen.
Om te beginnen, waarom wordt beveiliging a.k.a. security altijd gezien als sluitpost, a last resort issue.
Derhalve blijft men amateursites produceren met kwetsbare plug-ins en de verkeerde settings op kwetsbare hosters.
Den aan de grote percentages Word Press sites met verouderde software en kwetsbare PHP versies, zelfs verlaten plug-ins, user enumeration op aan en directory listing op aan, met af te voeren jQuery libraries, javascript errors, DOM-XSS issues (sources & sinks). Cloaking. De hele grote hoeveelheid PHISH-ende website bende, websites met malware, scam, mining scripts, noem allemaal maar op. En behalve versluiering via gratis certificering en https everywhere acties, blijft de onveiligheid aanhouden, worden er geen echte harde eisen aan website bouwers gesteld. Ja, wordt veel niet neergehaald of ge-sink-holed.
Verklaring daarvoor, waar enige consensus over is, leert dat de grootverdieners op Internet meer profijt hebben van een onveilige en niet-transparante situatie dan een voortgezet veiliger infrastructuur met best policies en handhaving.
Wat gaan we hier aan doen?. Ik zie niet veel voorlopig en dus moeten we dan maar weer terug naar analoge niet-digitale methoden als met de hand de brug opendraaien, zelf schakelen en met de hand wissels omzetten? Is dat de manier om een gelijkaardige onveilige AI & IoT tijd te ontgaan? Leid mensen op om ons allen veilig te kunnen houden, maar reserveer de kennis niet voor de happy few en ten dienste van de exclusieve monopolisten. Waar niemand bescherming geniet, genieten alleen cybercriminelen en hackers en tinkerers bescherming.
#sockpuppet
Precies, die systemen zijn geautomatiseerd vanwege de efficiency, om kostenbesparingen te realiseren dus. Als nu al die systemen weer vervangen moeten worden door betaalde arbeid, al is het maar voor een paar dagen, dan gaan ofwel de energiemaatschappijen failliet ofwel wordt de stroom zo duur dat niemand het nog betalen kan en gaat hoe dan ook het licht alsnog uit (de nadruk ligt hier op *betaalde* arbeid).
Dan moeten we ons toch echt eens gaan verdiepen in het waarom van deze SANS opinie,
die we dan wel eens zeer serieus moeten gaan nemen.
Waarom worden de originele developers niet met security in mind opgeleid?
Waarom is beveiliging overal sluitstuk op de begroting of wordt de belangrijkheid verontachtzaamd?
Daar moet een zwaarwegende reden voor zijn.
Twee mogelijke ongenoemde oorzaken - een economische oorzaak,
vanwege het gemak voor big data commercie of een generieke massa surveillance behoefte.
Het scannen gaat minutieus, het veiliger maken van de infrastructuur wat minder ;)
Dus men verzwakt de algemene veiligheid om beter bij gebruikersdata te kunnen.
Wat voor andere noodzaak zou er nog zijn?
Dan is de volgende vraag, wat gaat er gebeuren als er hier algemene bewustwording over is bereikt?
Krijgen we een ander beveiligingslandschap of blijft alles bij het oude?
#sockpuppet
Jammer genoeg is dat nog steeds een beslissing van de baas (eigenlijk marketing) en niet de programmeur.
Security levert geen mooi gekleurd menu op.
Security maakt gebruikers niet blij.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
