Dat doet de deur dicht | Technisch Weekblad
Achtergrond

Met een unidirectional gateway vermijd je het risico op cyberaanvallen


Dat doet de deur dicht

Bianca Scholten | maandag 1 november 2021
ICT & Industriële Automatisering

De afgelopen tijd zijn veel bedrijven slachtoffer geworden van gijzelsoftware (ransomware). De koppeling met het OT-netwerk is de achilleshiel van de industrie, want productieprocessen kunnen worden lamgelegd, ketels kunnen ontploffen en gassen kunnen lekken. Er staan mensenlevens op het spel. De Europese, landelijke en regionale overheden besteden in wetgeving en richtlijnen vooral aandacht aan procedures en menselijk gedrag. Er lijkt weinig kennis te zijn van technische oplossingen.

Andrew Ginter, vice president Industrial Security binnen Waterfall Security Solutions en auteur van twee boeken over IT-OT security, was onlangs in Nederland. ‘Een open verbinding via een firewall is de meest eenvoudige en minst veilige manier om data te verplaatsen. Een unidirectional gateway is veel veiliger,’ aldus Ginter. Zijn bedrijf heeft hier al veel ervaring mee opgedaan. ‘In 2005 stelde de Israëlische regering het voor kritische infrastructuur verplicht om zich te beveiligen tegen wat we tegenwoordig een ‘targeted attack’ noemen. Er waren nog geen oplossingen, en daarom werden er fondsen beschikbaar gesteld voor start ups, waarvan Waterfall er een was.’

In uw introductie grapte u dat u min of meer heeft meegewerkt aan het ontstaan van het probleem, door de OT- en IT-netwerken aan elkaar te koppelen. Er bestaan echter nog steeds productiebedrijven die maar één netwerk hebben...

Ginter: 'Goed punt, de meeste mensen gaan ervan uit dat de netwerken begonnen als separate netwerken maar er zijn inderdaad productiebedrijven die alleen maar een business netwerk hebben. In de manufacturing industrie komt dat vaker voor, maar in de procesindustrie is het gebruikelijk dat er naast een IT-netwerk ook een OT-netwerk is. Inmiddels zijn die vaak met elkaar verbonden.'

'Het probleem dat daarmee is geïntroduceerd betreft cyberaanvallen. In de basis gebruiken mensen computers omdat ze de efficiency willen verbeteren. Wij beschikken over goedkoop drinkwater omdat de waterzuiveringsprocessen geautomatiseerd zijn. We kunnen ons allemaal licht in onze huizen veroorloven dankzij schaalvoordelen en automatisering. Automatisering vormt de basis van het moderne bedrijfsleven. En die automatisering wordt grotendeels gerealiseerd door computers. Die computers worden in negen van de tien gevallen verbonden met het netwerk, omdat ze informatie moeten uitwisselen.'

'Wij richten ons op de preventie van cybersabotage, op het voorkomen van aanvallen die het licht doen uitgaan, het water besmetten of raffinaderijen opblazen. Het gaat niet om spionage, dus niet om het stelen van informatie; het gaat om sabotage. De enige manier waarop je een computer kunt inzetten om de bedrijfsvoering te saboteren, is als de aanvalsinstructies in die computer terechtkomen. Al die verbindingen waarmee wij informatie rondsturen kunnen ook gebruikt worden om aanvallen te verspreiden. De afgelopen dertig jaar zijn de systemen almaar kwetsbaarder geworden omdat we ze steeds meer met elkaar verbonden hebben.'' 

'In de basis maken computers ons leven makkelijker', vervolgt Ginter. 'Ze maken het sneller en goedkoper. Dat doen ze niet alleen voor ons, maar ook voor de vijand. Criminelen hebben de aanvallen geautomatiseerd en die tools worden alsmaar krachtiger en goedkoper. Elke computer die we in gebruik hebben in de industriële processen is een potentieel doelwit. Iedere connectie met zo’n computer is een kans om aan te vallen.'

‘Elke computer die we in gebruik hebben in industriële processen is een potentieel doelwit’

'Met het risico van cyberaanvallen kan je vier dingen doen. Je zou het kunnen accepteren. Je kunt het overdragen aan een verzekeraar. Je kunt het risico verminderen, bijvoorbeeld met antivirussoftware. En je kunt risico’s vermijden. Over antivirus software zeggen verkopers dat ze 99 procent effectief zijn; anderen beweren slechts dertig procent. Ze verkleinen het risico dat je geraakt wordt maar nemen het risico niet weg. Met een unidirectional gateway vermijd je een significant deel van de cyberaanvallen.

Een unidirectional security gateway verplaatst de data, zonder toegang te geven tot het OT-domein (beeld: Gateway). Tekst gaat verder onder de afbeelding.

– In uw inleiding noemt u het voorbeeld van een elektriciteitscentrale.

'Als je kijkt naar welke informatie wordt verplaatst tussen het operations netwerk en welk ander netwerk dan ook, dan gaat bijna 99 procent van die informatie het OT-netwerk uit. Neem als voorbeeld een elektriciteitscentrale. Hoeveel computers op internet zouden die centrale moeten kunnen besturen? Geen een. We hebben alleen maar inzicht nodig in de data. Dus ontwikkelden wij een unidirectional gateway. Dat verplaatst de data, zonder toegang te geven tot de systemen die de data genereren. Het is fysiek onmogelijk om data de andere kant (het OT domein) in te sturen.'

'De hardware verplaatst de data maar één kant uit. De doos heeft twee zijden. Eén om te gegevens te verzenden (TX) en één om ze te verzamelen (RX). Het haalt de data uit het industriële proces en stuurt deze met behulp van een laser via een glasvezel naar een fotocel in de ontvanger. De printplaat aan de zijde die de data ophaalt heeft geen laser. Het kan geen licht terugsturen. En zodoende kan het geen informatie terug het industriële netwerk insturen. Dus nu kunnen we het industriële netwerk monitoren zonder er iets heen te kunnen sturen. Zodoende is de fabrieksomgeving onkwetsbaar wat betreft online aanvallen. Het is natuurlijk niet beschermd tegen alle aanvallen. Als iemand een geïnfecteerde laptop bij zich draagt en die aan het OT-netwerk hangt heb je nog steeds een probleem. Maar je hebt wel significant de scope van de problematiek teruggebracht en je kunt nu je aandacht volledig vestigen op de overige problemen.'

– Wat voor gerichte aanvallen ziet u in de praktijk?

'Het klassieke voorbeeld is dat men een e-mail stuurt met een bijlage waarin een gloednieuw virus zit dat de virusscanner nog niet kent. Het plaatst een RAT (Remote Access Trojan), die doet alsof hij iets anders is, bijvoorbeeld een video. Maar in werkelijkheid connecteert de RAT via het internet met het besturingscentrum van de criminelen. Die zien dat er enkele RAT’s zijn binnengedrongen en maken er een verbinding mee. Nu zien de criminelen de schermen van de computers die door de RAT’s zijn overgenomen. Ze kijken hoe de gebruiker een wachtwoord intypt. Onder de motorkap geven ze commando’s aan die computers. Ze besturen ze op afstand. Eerst gebruiken ze die computers om te begrijpen hoe het netwerk is gestructureerd. En dan vallen ze aan. Wat ze meestal doen is permissies stelen, zoals wachtwoorden en active directory tickets. Die gebruiken ze om in te loggen op dat deel van het control systeem dat informatie deelt met het bedrijfssysteem. Nu zijn ze binnen in het control systeem en kunnen er een kopie van de RAT in stoppen die verbinding maakt met internet. Vervolgens gaan ze op zoek naar de meest waardevolle computers in het OT-netwerk en plaatsen er gijzelsoftware op, of ze leggen de productie lam of nog erger. De meest voorkomende problemen zijn productiestilstanden en gijzelsoftware.'

'In mei van dit jaar vroegen hackers 4,7 miljoen dollar losgeld van het Amerikaanse bedrijf Colonial Pipeline. Het bedrijf moest uit voorzorg de benzinepijpleidingen afsluiten. Volgens een recent rapport besloten ze hiertoe omdat het facturatiesysteem eruit lag; ze konden de leidingen niet gebruiken als het facturatiesysteem niet in de lucht was. We hebben het over leidingen waardoor dagelijks 300 miljoen dollar aan benzine stroomt. De producent van de benzine geeft Colonial het vertrouwen om te meten hoeveel product naar verschillende klanten stroomt, zodat ze dit kunnen factureren. Als je niet meer in control bent, verlies je in zes dagen tijd het overzicht over 2 miljard dollar aan product uit het oog. Kortom, het facturatiesysteem bleek bedrijfskritisch. Maar het bevond zich in het IT-netwerk waarin de gijzelsoftware was doorgedrongen.’

Een unidirectional gateway bestaat uit hardware (laser/fotocel) en software die kopieën maakt van servers (bron: Waterfall). Tekst gaat verder onder de afbeelding.

'Bij een Noors bedrijf bestudeerden ze na een aanval de beveiligingssystemen van hun centrales en zagen: deze zijn krachtig, hier komt niemand doorheen. Maar de beveiligingssystemen van hun hoogovens achtten ze niet in staat om een aanval af te houden. Dus hebben ze de computers van al hun hoogovens uitgezet en zijn ze de hoogovens handmatig gaan bedienen. Dat is minder efficiënt maar je kunt nog steeds produceren zonder het risico dat mensen gewond raken of het gebouw beschadigt. Het productieproces van aluminium platen moesten ze stoppen; dat was dermate geautomatiseerd dat het niet mogelijk was om het handmatig te doen. En ze vertrouwden er niet op dat hun beveiliging de gijzelsoftware buiten de deur kon houden.'

'Het binnendringen in het productiedomein en er schade aanrichten gebeurt in zo’n tien of twintig procent van de gevallen die ik vorig jaar heb bekeken. In ongeveer dertig procent van de gevallen is het omdat een bedrijf hun eigen beveiligingssysteem niet kan vertrouwen en dus de productieprocessen moet stilleggen, met flinke financiële gevolgen. En tenslotte moet het productieproces soms worden stilgelegd omdat bedrijven tot hun ontsteltenis ontdekken dat de productieprocessen afhankelijk zijn van IT-systemen. Iets waar ze zich tot dan toe nooit bewust van waren. Ze dachten dat ze zonder het IT-netwerk door konden produceren maar dat kunnen ze niet.'

Toch zal je de computers in het OT netwerk ook van informatie moeten voorzien. Denk aan recepten, instructies, paletinstellingen. Dat kan met een unidirectional gateway niet.

'Daar zal je per specifiek geval mee moeten omgaan. In de beveiliging van het IT-domein heb je de taak om informatie te beveiligen. Daarvoor gebruik je firewalls. Iedere vraag die je stelt aan iemand die firewalls beheert, heeft hetzelfde antwoord: open nog een poort, maak verbinding. Je moet antivirushandtekeningen de fabriek in krijgen: open een verbinding. Je wilt procesinstructies versturen: open een verbinding. Je blijft maar poorten openen waardoor je firewall uiteindelijk op een gatenkaas lijkt. Wat je zou moeten doen is je afvragen waarom het nodig is om de informatie naar de fabriek te sturen en wat de meest veilige manier is om dat te doen.'

‘Vraag je steeds af waarom het nodig is informatie naar de fabriek te sturen en wat de meest veilige manier is om dat te doen’

'Als je zomaar een nieuwe code de krachtcentrale binnenbrengt, zullen de machines daar zeer waarschijnlijk crashen. Tussen de 1 en 10 procent van de beveiligingsupdates waar leveranciers mee komen, werken niet. Hoe lang zal je stil komen te staan als je de control systemen onderuit haalt met een update? Dat wil je niet. En daarom moeten de engineers die updates eerst testen. Ze zijn weken, soms maanden aan het testen voordat ze het voldoende vertrouwen om de software binnen het OT-netwerk te introduceren. Het is onzinnig om dat rechtstreeks het OT-netwerk in te sturen, want je kunt het niet onmiddellijk gebruiken. Dus dat is het ene uiterste: doe het handmatig.'

'Als het niet handmatig kan, is het andere uiterste om het toch te verzenden. Het elektriciteitsnetwerk moet op basis van het verbruik in realtime te horen krijgen hoeveel megawatt meer of minder nodig is. Hoe doe je dat veilig? Sommige bedrijven gebruiken een oude rs-232 kabel. In de wereld van gigabytes aan communicatie klinkt dat vreemd. Het rs-232 protocol verplaatst informatie in 20.000 bits per seconde. Stel je hebt honderd bits per seconde nodig om die instructie door te geven. Dat werkt. In theorie kan je daarover ook gijzelsoftware transporteren maar in de praktijk is dat ontzettend moeilijk.'

– Is het ook mogelijk twee unidirectional gateways te gebruiken?

'Sommige bedrijven gebruiken de unidirectional gateway in omgekeerde richting, om informatie de fabriek in te brengen. Je hebt dan een naar binnen gerichte connectie en een naar buiten gerichte connectie. Dat is niet hetzelfde als een firewall. Een firewall verstuurt netwerkberichten van de ene naar de andere kant. De unidirectional gateway zit niet te wachten tot het informatie ontvangt; het haalt informatie op. Wij maken kopieën van databases. Stel dat de krachtcentrale een kopie van de Oracle database uit het IT-domein heeft. Onze software gaat de brondatabase in, vraagt er om de meest recente informatie, converteert dat naar een eenrichting format, pusht het de krachtcentrale in en plaatst de opdracht (bijvoorbeeld ‘produceer twee extra megawatt’) in de Oracle database in de centrale. Vergelijk dat met een firewall: dan open je een poort waarin elk bericht dat aan de voorwaarden voldoet, wordt doorgelaten.'

'Voor ondersteuning door experts gebruik je een venster op afstand. Dat toont het scherm zoals het eruit ziet binnen het OT-domein en stuurt het naar buiten via de eenrichtingshardware. De experts kunnen op afstand meekijken en advies geven maar ze kunnen zelf niets besturen. Een open verbinding via een firewall laat alles door. Het is de meest eenvoudige en minst veilige manier om de data te verplaatsen. We zien dat onze klanten per behoefte de meest veilige manier kiezen om hieraan tegemoet te komen. Unidirectional gateways zijn veiliger dan firewalls, en kunnen op verschillende manieren worden ingezet om aan de verschillende behoeftes aan data-uitwisseling te voldoen.'

Ontvang de nieuwsbrief

Meld je nu aan!