image

Onderzoekers vinden 60 kwetsbare Nederlandse SCADA-systemen

maandag 5 augustus 2019, 16:04 door Redactie, 5 reacties

Onderzoekers van de Universiteit Twente hebben 60 kwetsbare ICS- en SCADA-systemen in Nederland gevonden, maar het kunnen ook honeypots zijn die opzettelijk zijn neergezet om aanvallers te lokken, zo laat de universiteit in een persbericht weten (pdf). De onderzoekers vonden met name relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit is onbekend. ICS- en SCADA-systemen worden onder andere voor industriële toepassingen en de vitale sector gebruikt.

Op verzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het ministerie van Justitie en Veiligheid voerde de universiteit het onderzoek naar vitale infrastructuren in Nederland uit. Eerst werd er gekeken hoeveel SCADA- en ICS-systemen eenvoudig via de Shodan-zoekmachine zijn te vinden. Het bleken er zo'n duizend te zijn. In de meeste gevallen gaat het om Tridium-systemen. Vervolgens keken de onderzoekers of de systemen ook kwetsbaar zijn. Hierbij werd onder andere naar de gebruikte software gekeken. Uiteindelijk werden 60 kwetsbare systemen ontdekt.

Het is onduidelijk wat dit precies zegt, aangezien de achterliggende systemen onbekend zijn. "Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiële aanvallers te lokken, honeypots genaamd", zegt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente.

Pras hoopt dat het rapport leidt tot een politiek debat over cybersecurity van vitale infrastructuren in Nederland. "Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ict zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag."

De hoogleraar pleit voor een 'apart stukje internet dat losstaand te beheren is', een gesloten netwerkstructuur voor vitale systemen. Iets wat op dit moment in Nederland nog niet bestaat. De paar verschillende aanbieders die er zijn behandelen alle klanten in grote lijnen op dezelfde manier. Met het rapport wil Pras het debat hierover aanjagen.

Image

Reacties (5)
05-08-2019, 16:36 door Anoniem
Goed idee, laten we KPN een aanbesteding gunnen waarmee we een apart stukje internet opzetten.
what could possibly go wrong...
05-08-2019, 20:02 door Anoniem
Eh, voor het op afstand bedienen van bijvoorbeeld bruggen heb je te maken met SIL. En eerlijk gezegd is het behalen van het SIL niveau dat vereist is best lastig en heb je helemaal niets aan een "apart stukje internet". Er is geen enkele garantie mogelijk dat de watchdog van de noodstop blijft functioneren. Zie bijvoorbeeld de provincie Flevoland. Veruit de meeste storingen en dan zitten ze nog op een managed dark fiber. Zelfs dan wil het allemaal niet betrouwbaar werken.

Als je iets op afstand wil doen doe het dan achter een VPN tunnel. Zelfs voor hardcore Layer 2 apparatuur zoals veel niet routeerbare PLC protocollen is daar wel een oplossing voor te vinden als b.v. GRE over IPSec o.i.d.

Met andere woorden, leuk om een hoogleraar met Shodan te zien stoeien maar vooral slecht van de personen die dit aangesloten hebben. Niet nodig, en een tegen van een totaal gebrek aan kennis van de installateur.
05-08-2019, 21:34 door Anoniem
De gemeenten hadden een paar jaar geleden een eigen net. Die kwam o.a. in een datacentrum in Enschede uit. Ik heb daar nog flink wat aan configuratie gerealiseerd. Het was merendeel eigen glasvezel met maar op een paar plekken een firewall naar internet. Met alleen toegang via jump hosts e.d.

De overheid kan het dus wel.

Peter
05-08-2019, 22:12 door Anoniem
Is na de aanvankelijke inpassing van meer digitale schakels in vitale infra wellicht het kind met het badwater weggegooid door de gehele systemen inclusief die digitale schakels niet slechts op afstand monitorbaar maar ook nog eens bestuurbaar te maken?
VPN's diverse andere beveiligende technieken blijken immers meervoudig lek en manipuleerbaar.
Die laatste golf van vernieuwingen maakte het toch efficiënter?
Niet terug gaan naar de kern technieken lijkt met name koren op de molen voor "de beveiliging industrie".
06-08-2019, 00:10 door Anoniem
Door Anoniem: Goed idee, laten we KPN een aanbesteding gunnen waarmee we een apart stukje internet opzetten.
what could possibly go wrong...
- Je kunt de aanbesteding ook aan een ander bedrijf gunnen.
- Dat bedrijf wordt vervolgens opgekocht door KPN, waarbij ze met de hand op het hart beloven dat het een apart bedrijfsonderdeel blijft.
- Na een jaar of tien wordt het dan alsnog bij KPN geïntegreerd; hoe har de wereld ook schreeuwt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.