«Industriële cybersecurity, het blijft een complexe materie»

«We leven in een zeer gevaarlijke wereld. Het goede nieuws: we overleven het wel, maar we hebben nog veel werk te doen», zei Eugene Kaspersky midden april in het Antwerpse Havenhuis.

Trefwoorden: #cybercrime, #cybersecurity, #Eugene Kaspersky, #Industry of Things, #Kaspersky Labs, #malware, #trojan

Lees verder

Magazine

( Foto: LDS )

Download het artikel in

ENGINEERINGNET.BE - De oprichter van Kaspersky Labs belichtte er de groeiende cyberrisico’s voor industriële automatisaties met de boodschap dat zijn bedrijf producten in de stijgers heeft om ook de overheden, infrastructuurbeheerder en industrie daarmee te helpen. Realiteit of utopie?

Cybercrime kost de maatschappij nu zo’n 400 à 500 miljard dollar per jaar. Het blijft niet bij het plunderen van bankrekeningen. Cyber-booswichten kunnen de bredere infrastructuur van de maatschappij via de industrie onderuit halen. De cijfers zijn alvast schrikbarend. Een studie bij 140 industriële systemen haalde 38.000 kwetsbaarheden voor malware boven water. Daarvan waren sommige al drie jaar gekend.

Kaspersky toont een grafiek: «Dagelijks worden er zo’n 300.000 malwares opgespoord. Zo’n 99% wordt automatisch verwerkt. Er circuleren zo’n 448 miljoen malwares die Microsoft-systemen viseren. Android volgt met 22 miljoen en groeiende. Voor MacOS zijn er ‘n 40.000 gekend maar groeiend a rato van 80%. Linux: 30.000 maar dat zal zeer snel groeien met de uitrol van IoT-toepassingen. Ook voor het iOS mobiele platform zijn er een 600 gekend. Dat aantal groeit met 43% per jaar».

Verontrustend is dat één op vier gerichte aanvallen die het Kaspersky Lab in 2016 op het spoor kwam, mikte op industriële doelwitten. Zo’n 20.000 verschillende malwares van 2.000 verschillende families werden in industriële automatiseringssystemen gevonden. Het lab ontdekte er ook 75 kwetsbaarheden waarvan 58 hoogst kritisch zijn.

IoT en de industrie
Het oprukkende Internet of Things is in dit verhaal niet onmiddellijk een cadeau. Kaspersky rekent dat elk gezin in 2020 zo’n 15,31 IoT-devices zal tellen. Vorig jaar werden botnets (softwarerobots die via spam geïnjecteerd worden in systemen en dan autonoom aan de slag gaan) al ingezet om beveiligingscamera’s uit te schakelen waarna dieven een heuse overval pleegden.

Tot voor kort werden gedistribueerde SCADA-structuren, die de kern van industriële automatisering uitmaken, geacht veilig te zijn want 'stand alone'. Dat is niet langer het geval. In 2010 beschadigde Stuxnet zo’n 20% van Irans nucleaire centrifuges. In 2014 werd een hoogoven van een staalfabriek in Duitsland geïnfecteerd via een cyberaanval. Dieven stalen petroleum door het hacken van het SCADA-systeem en het aanpassen van de temperatuur van de tank (petroleum zet uit met de warmte) zodat het volume schijnbaar ongewijzigd bleef.

Het aantal incidenten en kwetsbaarheden in SCADA soft- en hardwares neemt voortdurend toe. Systemen die by design al onveilig zijn, lopen een groter risico op cyberinfecties. En een SCADA-systeem direct op het internet aansluiten is wel het slechtste dat je kan doen. Fabrikanten van SCADA en sturingen zijn trouwens heel gevoelig voor kwetsbaarheden. Er zijn de specifieke industriële protocols.

«Vandaag moet je niet alleen het IT-domein beveiligen maar breder kijken, en rekening houden met de kwetsbaarheid van 'metering', bijvoorbeeld. Je beveiliging moet (ook) de taal van de processturingen kennen».

Energie en transport
Op welke doelwitten schieten criminelen of terroristen met een beetje inzicht hun pijlen af? «Het ergste van het ergste en maatschappelijk het meest ontwrichtende is wellicht een lamlegging van de energiebevoorrading», vermoedt Kaspersky.

«Zonder energie vlieg je terug naar de steentijd». Maar ook zonder transport valt de wereld die we kennen stil. Voor de vuist weg wijst hij naar twee 'geslaagde' aanvallen op energiegrids. In 2003 kende een groot deel van het noordoosten van de VS en Canada een blackout nadat ingenieurs de controle over het elektriciteitsnet verloren. Ze hadden niet in de gaten dat een MS-worm diezelfde dag ook hun UNIX-machines infecteerde. In 2015 legde een cyberaanval het energienet van Oekraïne stil. Die aanval werd door de aanstichters niet tot het einde toe doorgevoerd. Deze demonstratie van macht had het grid ook kunnen vernietigen en dat zou volgens Kaspersky «niet eens zo moeilijk zijn geweest om te doen».

Estland, dat te boek staat als het meest geconnecteerde land van Europa, werd in 2007 getroffen door een cyberaanval, waarbij het vermoeden rees dat het Kremlin betrokken was. Vast staat dat het leger meteen daarna een e-cyberafdeling oprichtte. De aanvallen bouwden op botnets die een «distributed denial of service» (DDoS) veroorzaakten waaronder banken, telco’s, media,… bezweken. Sindsdien is er nauwelijks nog een oorlog of conflict dat niet op één of andere wijze voorafgegaan wordt door een cyberaanval.

Dit alles wijst er tegelijk ook op hoe kwetsbaar bijvoorbeeld elektronische verkiezingen kunnen zijn. In Estland brengt een kwart van de kiezers zijn/haar stem online uit. Nederland besliste alvast geen computers meer te gebruiken. «Het zou wel eens kunnen dat de Russen, Chinezen en anderen er stemmen maar de Nederlanders zelf niet. Wij werken aan een 100% veilig stemsysteem», verzekerde Kaspersky.

Daarnaast was er de poging om een Amerikaanse stuwdam te manipuleren, en van buitenaf de chemische samenstelling te wijzigen van een waterreinigingssysteem. Ergens in Rusland werd het IP van een tv-scherm gehackt en werd er porno op gezet. Het bleek een groot scherm langs de autoweg… «De brandbeveiliging van een fabriek of installatie zou nu wel eens een brug kunnen slaan naar de systemen binnenin», waarschuwt Kaspersky.

Wat met legacy systems?
Veel procestechnische installaties, zoals olieraffinaderijen, hebben omvangrijke en complexe systemen. Er kunnen daarom uren verstrijken tussen de eigenlijke infectie en het vaststellen van het incident. Een van de problemen is dat er in de meeste bedrijven niemand dat echt kan opvolgen.

Terwijl op de SCADA- en veiligheidsschermen alles op groen staat, kan er onder de radar veel aan de hand zijn. «Vroeger werd gezegd dat die sturingen geen computers waren, maar industriële systemen met eigen merkafhankelijke besturingssystemen, de zogenaamde 'legacy systems'. Vandaag gaat dat onderscheid niet meer op». Waarom hebben we dan nog geen grootschalige terroristische aanvallen op kritische infrastructuur - met uitzondering misschien van Stuxnet - gezien? «Ik weet het niet», geeft Kaspersky toe. «Maar naar mijn mening is het een kwestie van tijd».

Ook ransomware, het gijzelen van computersystemen voor losgeld, steekt de kop op in de industrie. In april 2016 ging een water- en elektriciteitsbedrijf in het Amerikaanse Michigan plat nadat een phishing-aanval op zijn corporate systemen het bedrijf een week lang gijzelde. «Het komt er aan. En het wordt een ramp». Is dat geen al te paranoïde visie op de wereld? Kaspersky: «Paranoia is een beroepsziekte na 27 jaar actief zijn in cyberveiligheid». Hij droomt naar eigen zeggen van een computersysteem dat zo beveiligd is dat de aanval meer kost dan de mogelijke schade die hij kan veroorzaken. Voor hem is dat de definitie van immuniteit. Hij maakt zich echter sterk dat het mogelijk is. «Dat is het goede nieuws. Maar er is nog enorm veel werk aan de winkel».

Verzekeraars die weigeren te verzekeren
De Allianz Risk Barometer 2017 zet cyberdreigingen vandaag op de derde plaats in de top tien van de risico’s. In 2013 stond dat risico nog op de dertiende plaats.

Kaspersky’s medewerker Andrey Suvorov, hoofd van de Critical Infrastructure Protection Business Development, wees er op dat industriële bedrijven jaarlijks verzekeringen ondertekenen met daarin clausules als CL380 of T3 LMA 3030, waarin de verzekeraar duidelijk maakt dat de polis «in geen geval schade, aansprakelijkheid of kosten dekt die rechtstreeks of onrechtstreeks veroorzaakt zijn door, te wijten zijn aan of voortkomen uit het gebruik of de bediening met het oog op het toebrengen van schade, van een computer, computersysteem, computersoftwareprogramma, kwaadwillige code, computervirus of computerproces of een ander elektronisch systeem». Met andere woorden: verzekeringen weigeren te betalen als het falen van een machine het gevolg is van een gekraakte computer of virus.

Beveiligingsstrategieën in de industrie moeten dus focussen op 'business continuïteit'. De hoogste prioriteit is het voorkomen van 'outage'. Industriële sturingssystemen bescherm je door de controllers te beschermen tegen het mogelijke gedrag van hackers. Zo’n beleid vereist tegelijk dat niet alleen operatoren maar ook elke CXO, elke ingenieur,… achter dit beleid staat. En dat er fysische maatregelen getroffen worden.

Want een van de belangrijke redenen waarom industrieën kwetsbaar zijn, is dat men er zich niet kan voorstellen zelf het slachtoffer te worden van een cyberaanval. Men neemt dus niet de nodige stappen om zich te beschermen.

«Tachtig procent van de veiligheidsincidenten vinden hun oorsprong bij mensen die niet vertrouwd zijn met het cyberveiligheidsconcept, wegens een gebrek aan training en algemeen cyberveiligheidsbewustzijn», beweert Kristen Koning, Kaspersky Cyber Safety Training.

Games voor technici en operatoren
Het gaat er dus om het gedrag van ingenieurs, technici en operatoren te veranderen. Daarvoor ontwikkelde Kaspersky games. Deelnemers leren in groep oog te hebben voor de verschillende relevante lagen van het gebeuren. En dat vanuit ieders rol en het dagelijks reilen en zeilen. Het gaat om het gebruik van USB-sticks, stevige paswoorden,…

Zo ontwikkelde de leverancier een vijftal bordspelen met dynamische scenario’s, waarin verschillende teams die informatie toegespeeld krijgen via hun iPad, het tegen elkaar opnemen in een interactieve simulatie. Naast spelen voor de technici en operatoren zijn er ook voor het management. Je bedrijf wordt aangevallen. Je hebt middelen, mensen in een team,…

Een senior engineer, senior IT, senior security. Wat doe je? Kritische infrastructuur werkt altijd samen met klassieke IT. Meestal zijn verschillende teams er verantwoordelijk voor de veiligheid. Om het gedrag en de attitudes van medewerkers inzake cyberveiligheid te analyseren, stelt Kaspersky online een enquête ter beschikking, die medewerkers op een kwartier tijd kunnen invullen.

«Het is gratis en gebruik ervan leerde ons dat na deze oefening het aantal incidenten met 90% vermindert. Dat is meetbaar»


door Luc De Smet, Engineeringnet

Kader 1:
Lancering van Kaspersky Industrial Security...
Dat Eugene Kaspersky naar de Antwerpse haven met zijn sterke petrochemische hub - één van de grootste ter wereld - afzakte, heeft zo zijn reden. Zijn bedrijf lanceerde zeer recent namelijk Kaspersky Industrial Security, de lang verwachte, meerlagige oplossing die een aantal expertdiensten bundelt om specifieke behoeften van de industriële markt aan te pakken.

Ze zal alle industriële lagen, dus inclusief SCADA-servers, PLC’s, HMI-panelen en netwerkconnecties, beveiligen tegen cyberrisico’s met de belofte dat dit gebeurt zonder de operationele continuïteit of het industriële proces te verstoren.

...maar voor slechts een handvol kritische infrastructuren
«Het vermarkten gebeurt hoe dan ook op beperkte schaal», zette Eugene meteen een domper op de vreugde. «Want de implementatie is een zeer intensief proces, met allemaal maatwerk, en bovendien is het aantal experts om industriële oplossingen te implementeren uiterst beperkt».

Daarom zal het bedrijf in het eerste stadium slechts een handvol grote infrastructuren beveiligen. Er wordt in dat verband nog gezocht naar partners. Een eerste is alvast gevonden: SYSGO integreerde de oplossing in zijn PikeOS real-time OS. Kaspersky Industrial Security mikt op het embedded niveau en zal beschikbaar zijn als OEM-oplossing die in verschillende informatiesystemen ingebouwd kan worden.


Kader 2:
Alvast Schneider Electrics plc's volledig compatibel met Kaspersky kics
Hoewel de grootschalige implementatie van Kaspersky Industrial CyberSecurity nog niet voor morgen is want «het is altijd complex maatwerk, dixit CEO Eugene», deelde Schneider Electric de technische community al mee dat zijn PLC's en industriële software volledig compatibel zijn met de gloednieuwe beveiligingssoftware. In een mededeling laten beide leveranciers namelijk weten een hele reeks strenge compatibiliteitstests uitgevoerd te hebben. Tot de testopstellingen behoorden verschillende scenario's die operators van industriële installaties op dagelijkse basis gebruiken.

De conclusie: «Kaspersky Industrial CyberSecurity (KICS) is volledig compatibel met Schneider Electric software voor SCADA- en procesbesturingssystemen». Met andere woorden: KICS kan nu worden gebruikt in verschillende industriële installaties met strenge eisen voor cyberbeveiliging die gebruik maken van Schneider Electric-software. In de mededeling schuift Kaspersky nog een belangwekkend cijfer naar voor: volgens hen maakt niet minder dan 92% van de industriële controlesystemen gebruik van open en onbeveiligde internetverbindingsprotocollen. Ondanks het feit dat stabiliteit een zeer essentiële factor voor alle ICS-organisaties.

«Sterk geautomatiseerde productieprocessen bij industriële installaties worden steeds kwetsbaarder voor cyberaanvallen. Software in deze omgevingen moet probleemloos kunnen draaien zonder onderbrekingen te veroorzaken aan de processen. Dit zijn de uitdagingen waar moderne industriële omgevingen zich mee geconfronteerd zien», aldus de cyberbeveiliger.

Maar alvast voor de klanten van Schneider Electric is er dus geen vuiltje aan de lucht om zich in alle gemoedsrust het nieuwe KICS aan te schaffen, luidt de boodschap. Vermits cybersecurity een cruciaal element is voor de integratie van het industriële Internet of Things, zullen de komende weken en maanden naar alle waarschijnlijkheid nog een hele reeks andere leveranciers van sturingen, controllers en PLC's laten weten dat ook hun software compatibel is met KICS.


(BB) (foto: Schneider Electric)