KPN Security luidt bel over onveilige ICS-installaties | Technisch Weekblad
Achtergrond

KPN Security luidt bel over onveilige ICS-installaties

Fred Franssen | vrijdag 14 mei 2021
ICT & Industriële Automatisering, Veiligheid

De OT/IT integratie is vanuit het oogpunt van beveiliging een lastig thema. Dankzij standaardisatie laten de twee werelden zich steeds gemakkelijker koppelen. Het Internet Protocol (IP) vinden we inmiddels terug in de meeste industriële netwerkomgevingen. En juist daar ligt het grote probleem. Het mondiale internet blijkt zo lek als een mandje. KPN Security kwam recent naar buiten met de alarmerende resultaten van een onderzoek naar de beveiliging van Industrial Control Systems. Is het vijf voor twaalf, of zijn we te laat en moeten we onze ICS-installaties van het net halen?

Het internet groeide vanuit de mooie gedachte van toegang tot kennis voor iedereen. Nu, na vele jaren vormt het inmiddels ook een pleisterplaats voor: criminelen; ideologisch gemotiveerde hackers en infiltrerende onderdanen van op macht beluste regeringen. Tijdens de recente FHI Industrial Ethernet presentaties viel de aanbeveling te beluisteren dat volledige afscherming van de productie-omgeving eigenlijk alleen kan wanneer het fabrieksnetwerk onbereikbaar is voor internet. Maar wie zijn machinepark op afstand wil monitoren ten behoeve van remote of voorspellend onderhoud, zal vanuit overwegingen rond capaciteit en kosten toch eerder naar openbare internet-voorzieningen grijpen dan naar kostbare huurlijnen.

Dezelfde overwegingen gelden voor de aansluiting op het netwerk voor de bedrijfsvoering voor onder meer de werkplanning van menskracht, de bestelling van materialen en de data-uitwisseling met MES. En dan zijn er natuurlijk nog de afspraken met leveranciers die alleen een garantie kunnen afgeven als zij rechtstreeks toegang hebben tot hun systemen voor het verhelpen van storingen of het uitvoeren van software-updates. Afgeschermde internet VPN-tunnels pakken bij zo’n toepassing van remote service een stuk voordeliger uit dan volledig private netwerkverbindingen.

Problemen met wachtwoorden en patches

De leveranciers van machines en systemen voor operationele doeleinden lijken hun zaakjes wel op orde te hebben als het gaat om de basis beveiligingsvoorzieningen, denkt Erno Doorenspleet, CTO van KPN Security. Zijn organisatie deed met een team van ethische hackers onderzoek naar de beveiliging van ICS-systemen. Daaruit kwamen 3.000 industriële omgevingen zwakheden naar voren, waarvan 200 zeer ernstig van aard.

”Het probleem zit vooral bij de uitvoering van de installatiewerkzaamheden”, zegt Doorenspleet. ”Daar laten partijen steken vallen omdat de focus ligt op het zo snel mogelijk in gebruik nemen van ICS-apparatuur en niet op de beveiliging. Het begint simpelweg al bij de instelling van user ID’s en wachtwoorden. Te vaak blijft de fabrieksinstelling (default) gehandhaafd. Eigenlijk zou je moeten afdwingen die te wijzigen voor dat systemen operationeel zijn. Zeker als een bedrijf met zijn productiefaciliteiten deel uitmaakt van een keten.”

Ook het handhaven van installaties met besturingssystemen die zich niet meer laten ’patchen’, zoals Windows XP, is vanuit security oogpunt sterk af te raden. Wie er toch gebruik van wil maken, moet ze isoleren van het machinenetwerk. Doorenspleet pleit voor het schetsen van een aparte security architectuur, geplaatst naast het bestaande plaatje van de OT/IT-omgeving.

De aanleiding voor het KPN-onderzoek was de berichtgeving over een hack bij een nutsbedrijf in de drinkwatervoorziening in de Verenigde Staten. De indringer slaagde er zelfs in processen te activeren die toxische stoffen aan het water toevoegden. In Nederland heeft het telecombedrijf dergelijke extreme voorbeelden niet aangetroffen. Het onderzoek werd uitgevoerd met behulp van Shodan.io, een website/zoekmachine die permanent het Internet afspeurt en momentopnamen maakt van aangetroffen zwakheden.

‘Het probleem zit vooral bij de uitvoering van de installatiewerkzaamheden’

KPN-onderzoeker Siep van der Waal weet te vertellen dat ook niet-ethische hackers van de site gebruikmaken om slachtoffers te zoeken. ”Wij scannen op een hoger niveau met een reeks ingewikkelde bevragingen. Zo ontdekten we dat er in veel gevallen helemaal geen ’logging’ faciliteiten zijn die bijhouden wie toegang heeft gehad tot welke data. We troffen operationele systemen aan die al waren gehackt zonder dat men dat wist. Daarvan diende er één als datahost van een hacker die er tijdelijk zijn bestanden op kwijt kon. Verder kregen we toegang tot het systeem van een gebouwenbeheerder waarin we functies aan of uit konden zetten en aan de hand van de temperatuurmeters inzicht kregen of vertrekken wel of niet in gebruik waren. Van de aangetroffen installaties noteerden we ook de versienummers om ze te checken op bekende zwakheden. Vervelend is dat je deze soms niet kunt melden omdat je niet weet wie je daarvoor moet bellen, ook niet als het gaat om kritische infrastructuur.”

Doorgaan met oude SCADA-systemen

Doorenspleet noemt het zorgelijk dat de verantwoordelijkheid niet altijd duidelijk is geregeld. ”Neem een computergestuurde industriële airco-installatie die als dienst wordt afgenomen. Wie is verantwoordelijk voor de beveiliging: degene die deze installatie heeft aangebracht of de dienstverlener? Een ander voorbeeld: bedrijven brengen hun data naar de cloud in de veronderstelling dat de cloudprovider garant staat voor security. Indien dat niet contractueel is geregeld, moet je zelf de beveiliging borgen.” De CTO van KPN Security adviseert organisaties om alvorens OT-installaties te ontsluiten via een netwerverbinding na te gaan of dat echt noodzakelijk is. Als je een oud SCADA-systeem vanwege de continuïteit van het productieproces niet kan vervangen, waarom moet dat dan aan het Internet waarvoor het nooit is ontworpen?

En als omwille van de bewaking van efficiency en kwaliteit van het productieproces bewaking dan toch centraal moet plaatsvinden, zijn er volgens hem voldoende mogelijkheden om die verbinding op een veilige manier te maken met huurlijnen of desnoods via internet, maar dan wel met aanvullende beveiligingsvoorzieningen. De extra kostprijs voor onder meer de inschakeling van expertise moet men meenemen in de overweging.

Met de toenemende acceptatie van 5G mobiele communicatie denkt Doorenspleet dat er beter kan worden ingespeeld op de security eisen voor bestaande ICS-installaties doordat met de techniek van ’network slicing’ bepaalde lagen in het netwerkverkeer gemakkelijker zijn af te schermen. Ook de inzet van glasvezel, zowel buiten als binnen de fabriek, maakt het aanbrengen van gelaagdheid eenvoudiger. De enorme bandbreedte leent zich ervoor om zonder vertraging encryptie op het dataverkeer toe te passen.

Als aanvullende veiligheidsmaatregel oppert Van der Waal het toetsen van diverse scenario’s via een aparte test-omgeving binnen een onderneming. Overigens beschikt KPN Security zelf over een groot laboratorium in Utrecht, waar samen met de test- en certificeerinstelling Kiwa IoT-apparaten aan de tand worden gevoeld.

Firewall biedt meeste garantie

Voor het onderling verbinden van machines en installaties in bedrijfsnetwerken bestaan verschillende integratiemogelijkheden. De afkorting NAT staat voor Network Adress Translation, waarbij een vertaalslag plaatsvindt tussen de verschillende netwerkadressen op het bedrijfsnetwerk en die op het machinenetwerk. Verkeer van WAN (Wide Area Network) naar LAN (Local Area Network) laat zich leiden via SNAT (Source Network Adress Translation) met de mogelijkheid meer systemen met dezelfde IP-adressen te laten functioneren. Een optie is om routers toe te passen voor het verbinden van verschillende machinenetwerken. Gemakkelijker dan bij NAT laten zich nieuwe routes toevoegen. Het alternatief, een firewall, geniet vanuit oogpunt van beveiliging de voorkeur bij KPN Security. Je praat dan over één groot netwerk, waarbinnen de communicatie is te scheiden bij bestaande installaties. Bij het gebruik van een router verplaats je slechts het securityprobleem. Een firewall biedt veel meer mogelijkheden, waaronder IP-whitelisting. Aan de hand van een lijst met als vertrouwd geregistreerde IP-adressen komen verbindingen met andere systemen tot stand.

Ontvang de nieuwsbrief

Meld je nu aan!

Gratis proefabonnement TW

Bestel nu 2 gratis proefnummers TW