OT security, het ondergeschoven kindje

“TSMC moest productie stilleggen door malware”, “malware in fabriek moest explosie veroorzaken”, “Fabriek van Boeing door WannaCry getroffen”. Zo maar een paar krantenkoppen van de afgelopen 6 maanden. Dat IT security belangrijk is, wordt al jaren door elke expert onderschreven, maar het beveiligen van industrial control systems (ICS) lijkt een ondergeschoven kindje te zijn gebleven. Nu aanvallen op deze Operational Technology (OT) omgevingen steeds vaker voorkomen, is het tijd voor een inhaalslag. Maar waar moeten we beginnen?

OT systemen kom je overal tegen. Van de lift in een kantoorpand tot de systemen in fabrieken, windmolens en kerncentrales. ICS worden onder andere ingezet voor (NCSC, 2013):

• Automatische besturing en monitoring van fysieke processen;
• Productie, transport en distributie van drinkwater;
• Aansturing van productieprocessen van raffinaderijen, chemische-, farmaceutische- en voedingsmiddelenindustrie en Manufacturing Execution Systems (MES);
• Aansturing verkeersinfrastructuur en watermanagement;
• Gebouwbeheerssystemen en toegangscontrole.

Als je deze systemen vanuit de security principes als CIA (confidentiality, integrity en availability) driehoek zou bekijken is availability, oftewel beschikbaarheid en continuïteit, cruciaal. Dergelijke OT systemen waren voorheen gescheiden van IT systemen en draaiden op specifieke hardware en software. Het aanpassen van deze systemen was alleen lokaal en met fysieke toegangsrechten mogelijk. Ongeautoriseerde personen konden hierdoor moeilijk controle krijgen over deze systemen. De laatste jaren is dit verandert. Steeds meer OT omgevingen worden gekoppeld aan IT omgevingen om zo het beheer efficiënter te maken en daarmee kosten te verlagen. Maar alle soft- en hardware, dus ook industrial control systems, hebben kwetsbaarheden die makkelijker kunnen worden ge-exploiteerd zodra ze digitaal bereikbaar worden. Door zwakke punten in de IT te benutten, wordt de OT daardoor kwetsbaarder voor aanvallen van buitenaf.

Zoals de nieuwsartikelen laten zien zijn OT omgevingen kwetsbaar en de gevolgen van een gehackte omgeving groter dan die van IT systemen. Want wat gebeurt er als een koffiebrander geen bonen meer kan branden, een waterbedrijf geen schoon drinkwater meer kan leveren of een hacker de controle van een kerncentrale in handen krijgt? Hoe kunnen we deze systemen beschermen nu we er niet meer vanuit kunnen gaan dat ze onbereikbaar zijn voor onbevoegden die het internet als toegangspoort benutten? Het begint bij het onderzoeken waar deze omgevingen het kwetsbaarst zijn. In een OT omgeving kun je niet zomaar een portscan, vulnerability scan of penetration test uitvoeren, zoals we dat in IT omgevingen gewend zijn. In deze omgevingen hebben we immers vaak te maken met sterk verouderde software en dit vergt een specialistische aanpak die bedrijven kan wijzen op de grootse risico’s en de manieren waarop deze gemitigeerd kunnen worden. Traditionele methodes die in de IT gebruikt worden om risico’s te ontdekken, kunnen namelijk de OT omgeving ernstig verstoren en zelfs de productie plat leggen.

Uit onze ervaringen blijkt dat de meeste OT omgevingen worden geïnfecteerd met malware via het internet. Een andere, veel voorkomende manier, is via removable storage devices zoals USB sticks. Soms is infectie van dit soort systemen niet eens nodig, een groot deel van de industrial control systemen zijn namelijk eenvoudig te bereiken via gespecialiseerde zoekmachines. Shodan is zo’n zoekmachine die zich richt op aan het internet verbonden devices. Hierbij kan je denken aan webcams, routers, internet of things devices, maar ook aan devices zoals de besturing van windmolens en waterzuiveringsinstallaties. Daarnaast is er ook steeds meer informatie over industrial control systems (ICS) online beschikbaar. Dit maakt het veel makkelijker voor hackers om aan de juiste kennis voor het hacken van deze systemen te komen. Het goed beveiligen van deze systemen, waardoor kwaadwillenden moeilijker toegang krijgen, is daarom van groot belang.

Ondanks het feit dat OT security een andere aanpak vraagt zijn er ook veel overeenkomsten in het beveiligen van dit soort omgevingen. Voorbeelden hiervan zijn het beperken van het netwerkverkeer en het (daar waar mogelijk) installeren van geschikte anti-malware software. Daarnaast is het van belang inzicht te hebben in hoe veilig de omgeving is. Uit onderzoek van SANS (2018) is bijvoorbeeld gebleken dat managers denken dat ICS meer secure zijn dan de operators van deze technologie denken. Inzicht krijgen in de risico’s kan door het uitvoeren van gerichte assessments op specifieke OT omgevingen, waarbij rekening wordt gehouden met de mogelijkheden en restricties die binnen een OT omgeving gelden. Zo kan een organisatie direct aan de slag met de resultaten die uit zo’n assessment voortvloeien.

Als laatste mogen we de menselijke factor binnen de OT security ook niet vergeten. Vaak wordt binnen fabrieksomgevingen veel nadruk gelegd op veiligheid, maar komt (cyber)security op de tweede plaats of ontbreekt in het geheel. Dit betekent dat medewerkers zich vaak niet bewust zijn van de effecten van cybercrime op de veiligheid van hun omgeving. Door specifieke awareness trainingen, gericht op het personeel dat binnen een OT omgeving werkt, kan ook voor deze medewerkers duidelijk worden welke risico’s kleven aan het gebruik van industrial control systems die aan het internet gekoppeld zijn. Hierdoor kunnen aanvallen en schade worden voorkomen. Bijvoorbeeld omdat USB ’s niet zomaar onbewust in apparaten worden geplugd en men de gevaren van (web)mail op de werkplek begrijpt.

Nu het belang van IT security bij elk bedrijf duidelijk is, wordt het tijd om ook naar de systemen te kijken die we tot nu toe, door segmentatie en fysieke beperking van toegang, veilig achtten. OT security staat nog in de kinderschoenen, maar steeds meer bedrijven specialiseren zich in deze tak van security. Door het toepassen van best practices uit de IT security en hierbij rekening te houden met de verschillen tussen IT en OT omgevingen, kunnen we risico’s zo veel mogelijk verkleinen en grote incidenten voorkomen.