Cybersecurity

Wilt u bijdragen aan dit groeiboek? Heeft u opmerkingen, aanvullingen of een vraag? Neem dan contact op met het COB per mail of telefoon: info@cob.nl / 085 – 4862 410. We horen graag van u!

Ervaringen uit de praktijk

In dit hoofdstuk staan bevindingen uit de praktijk die aangetroffen kunnen worden bij inspecties en na evaluaties van incidenten. Bij de bevindingen worden voorbeelden van beheermaatregelen genoemd die getroffen kunnen worden om weerbaar te zijn tegen cyberrisico’s.

Gelaagde beveiliging

Bij het beveiligingen van een tunnel wordt gewerkt volgens het principe van gelaagde beveiliging:

Fysieke beveiliging

Bevindingen

  • Onderhoudsmedewerkers zijn vaak onaangemeld op locatie, de tunnelbedienaar heeft geen beveiligingstaak en laat de mensen binnen.
    Risico: een hacker, met social engineering skills komt zo binnen.
  • Toegangsprocedure ontbreekt waar dat nodig is, maar ook gewoon hang- en sluitwerk voldoet vaak niet aan de eisen op het gebied van inbraakwering.
    Risico: een hacker kan eenvoudig inbreken en zich toegang verschaffen tot ruimtes waar de systemen staan.

Maatregelen

  • Sleutel- of toegangsprocedure invoeren/actualiseren/naleven.
  • Altijd aanmelden op een locatie, geldt met name voor de opdrachtnemers.
  • Kwaliteit van hang- en sluitwerk op orde brengen en houden.
  • Werken met beveiligingszonering (op terreinen en in gebouwen).

Netwerkbeveiliging

Bevindingen

  • Het geloof in de isolatie van het SCADA-systeem van andere netwerken maakt dat mensen onvoldoende maatregelen treffen op andere vlakken.
    Risico: awareness neemt af waardoor het systeem kwetsbaar wordt
  • Er zijn directe (internet)verbindingen met de tunnelsystemen.
    Risico: malware-besmetting SCADA of open toegang tot SCADA door onbevoegden.
  • Er zijn verschillende verbindingen tussen kantoorautomatisering en SCADA-netwerk.
    Risico: malware-besmetting SCADA of toegang tot SCADA vanuit kantoorautomatisering.
  • Er zijn verschillende modems en open poorten die voorheen gebruikt werden om toegang te krijgen tot SCADA vanaf internet.
    Risico: misbruik van het netwerk wordt hierdoor heel eenvoudig voor een hacker.

Maatregelen

  • Het SCADA-systeem isoleren van andere netwerken.
  • Monitoring en controle op de verbindingen met het tunnelsystemen.
  • Verwijderen verbindingen tussen kantoorautomatisering en tunnelsysteem.
  • Verwijderen openstaande poorten en modems (zonder functie).
  • Authenticatie en encryptie.

Logische toegangsbeveiliging

Bevindingen

  • Functionele accounts in plaats van persoonlijke accounts.
    Risico: niet te achterhalen wie wat gedaan heeft als er iets misgaat.
  • Wachtwoorden worden vrijwel nooit gewijzigd.
    Risico: iedereen die ooit met de tunnel te maken had, kan inloggen.
  • Wachtwoorden staan vrijwel altijd in de handreiking ter plaatse.
    Risico: niet-geautoriseerde mensen kunnen ook inloggen.

Maatregelen

  • Actualiseren en aanscherpen wachtwoordbeleid.
  • Actualiseren en aanscherpen inlogprocedures.
  • Zodra procedures zijn ingevoerd, wachtwoordwijzigingen doorvoeren.
  • Locken van beheer- en bedienwerkplekken na gebruik en bij afwezigheid.

Anti-malware en patchen

Bevindingen

  • Mogelijk malware gevonden in SCADA-netwerk. Het ontbreken van anti-malwarevoorzieningen.
    Risico: malware kan het systeem ongewenst beïnvloeden of toegang op afstand mogelijk maken.
  • Er wordt niet gepatcht, alleen als SCADA niet werkt. Ook wordt er nog vaak hele oude software gebruikt.
    Risico: via een bug in het systeem kan de hacker de logische toegang omzeilen of kan malware een DoS veroorzaken of toegang openzetten.

Maatregelen

  • Verbod op aansluiten ongescande USB-sticks of laptops.
  • Verwijderen van de gevonden malware en toepassen van anti-malwarevoorzieningen rond de tunnelsystemen.
  • Onderhoudscontracten aanpassen met maatregelen tegen malware.
  • Vervanging niet meer door de leverancier ondersteunde software (geen beveiligingsupdates).
  • Securitypatches via een portal door een systeembeheerder laten plaatsen.

Signalering

Bevindingen

  • Bedienaars zien alle vreemde meldingen als een technische storing van de SCADA-systemen.
    Risico: als er echt wordt gehackt, dan wordt dit niet meer als afwijking herkend, met als gevolg dat:

    • de kwetsbaarheid waar de hacker gebruik van heeft gemaakt niet gezocht of ontdekt wordt;
    • de hacker, na functieherstel door onderhoudsmedewerker, weer verder kan gaan.
  • De onderhoudspartij zoekt niet naar kwetsbaarheden of malware.
    Risico: er kunnen zonder dat het bekend is kwetsbaarheden of malware aanwezig zijn, waardoor een hacker zijn gang kan (blijven) gaan.
  • Niet alle tunnelsystemen schrijven loggegevens weg of deze worden niet bewaard.
    Risico: er kan niet achterhaald worden wat de oorzaak van afwijkend gedrag is waardoor een hacker zijn gang kan (blijven) gaan.

Maatregel

  • Eigen en ingehuurde medewerkers moeten voldoende bewust zijn van en bekend zijn met de gevaren (cybersecurity awareness). Dit is te bevorderen met:
    • gerichte workshops voor tunnelbedienaars (awareness training);
    • training (e-learning) voor onderhoudsmedewerkers en beheerders.
  • Bij het vermoeden van een cyber-incident altijd een incidentmelding bij de incidentverantwoordelijke doen. Eventueel een securityspecialist inschakelen voor advies.
  • Opstellen en uitvoeren van een procedure voor cyberincidenten.
  • Inrichten van actieve monitoring door een security operations center.
  • Loggegevens van alle tunnelsystemen bijhouden en opslaan.

Handelingsperspectief

Bevindingen

  • Er is geen tunnel-specifiek handelingsperspectief voor een cyberaanval aanwezig.
    Risico: de onderhoudspartij reset het SCADA-systeem en de hacker kan opnieuw zijn gang gaan of de volgende tunnel hacken. De tunnelbeheerder is ‘blind’ voor hackers.

Maatregelen

  • Opstellen van een tunnel-specifiek handelingsperspectief voor verschillende hackscenario’s.
  • Bij ernstige verstoring van het normale (bedien)proces de noodstop gebruiken ter voorkoming van verdere schade/gevolgen.
  • Crisismanagementproces volgen.
  • Eerste reactie van de bedienaar is om de tunnel af te sluiten. Dat is goed.

Back-ups en assetmanagement

Bevindingen

  • Back-ups zijn er wel, maar niet altijd up-to-date of direct toegankelijk.
    Risico: het herstel van de functie duurt onnodig lang, en de laatste wijzigingen gaan verloren.
  • Het assetmanagement is onvoldoende op orde. Documenten worden ad hoc soms wel en soms niet bijgewerkt en verspreid.
    Risico: als herstel of herbouw nodig is, is er onvoldoende betrouwbare documentatie.

Maatregelen

  • Regelmatig maken of updaten van back-ups en testen of terugzetten lukt.
  • Registratie van de software en de documentatie bijwerken.
  • Verbeteren van het beheerproces voor software- en documentatiebeheer.
  • Met onderhoudspartij contractueel borgen dat documentatie up-to-date blijft.