Attracties van zwembad door hackers te beheren

Ben je al klaar met het nadenken over 31 maart en de gevolgen die het platleggen van het internet allemaal kunnen hebben? Lees dan vooral nog even door.

Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht (bron).

Zo zie je maar dat er meer gekoppeld is aan het internet dan je denkt.

Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. “Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde”, vertelt een van de onderzoekers tegen Webwereld. “Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een ‘grapje’ wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is.”

Achteraf bleek het gelukkig niet mogelijk te zijn om de chloortoevoer te kunnen regelen en de “onderzoekers” vonden het ook niet ethisch om dit uit te proberen. Je moet je niet indenken wat de gevolgen kunnen zijn van dergelijke SCADA-systemen die niet beveiligd zijn. Als je de chloortoevoer wel kunt beïnvloeden wordt het ineens een stuk serieuzer genomen door de maatschappij. Nu pikt een deel het berichtje op, heeft daar misschien zelfs een glimlach bij en gaat weer rustig verder.

Datzelfde gebeurde met het bericht over de sluizen en bruggen die niet/onvoldoende beveiligd zijn. Veel mensen zullen daar iets van hebben meegekregen, maar gaan vervolgens weer rustig verder met waar ze mee bezig zijn.

Zo langzamerhand wordt het toch echt tijd om de verantwoordelijken ter verantwoording te roepen. Daarmee moeten we niet wachten tot het een keer echt verkeerd gaat, want dan zijn we te laat. Nee, tijd dat er serieus sancties komen op het niet voldoen aan (minimale) beveiligingseisen voor dergelijke systemen.

Genoeg boeken geschreven over beveiliging die het in ieder geval een stukje lastiger maken. Laten we beginnen met een standaard of minimaal beveiligingsniveau dat we aanvullen met specifieke beveiligingsmaatregelen die we op basis van een goede risico analyse bepalen.

De term cyberwar lijkt inmiddels een beetje weggezakt uit de populariteit. Maar cyberwar is dichterbij dan we denken. Als er steeds meer berichten naar buiten komen over “beveiligingsonderzoekers” die met een paar klikken een heel systeem plat kunnen leggen dan moeten we ons serieus zorgen gaan maken. Niet zozeer voor die onderzoekers, die weten wat ze doen en willen het (hopelijk) alleen maar aantoonbaar maken. Nee, maak je meer zorgen om die scriptkiddies die het dus ook kunnen. Zij zullen de gevolgen niet inschatten voor ze ergens de verkeerde knop omzetten (en bijvoorbeeld het westen van Nederland hele natte voeten krijgt). Dan hebben we het nog niet eens over de vreemde mogendheden die hier natuurlijk al lang van op de hoogte zijn. Nee, die komen daarna wel weer een keer in beeld.

Aan de BV Nederland: neem je verantwoordelijkheid en zorg ervoor dat het basis beveiligingsniveau van Nederland, haar vitale en minder vitale infrastructuur op orde komt.

En ik wil je niet ongerust maken maar: SCADA systemen worden (samen met een DCS) onder andere ingezet voor:
Verkeersregeling
Attracties (bijvoorbeeld Vogel Rok Efteling)
Chemische industrie
Papierfabrieken
Klimaatregelsystemen
Sluizen, gemalen en bruggen
Parkeergarages
Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
Supervisie en regeling van windturbines

Basis beveiligingsniveau

We zijn inmiddels een aardig stuk onderweg en zijn al goed bezig om beveiliging ook echt werkend en geborgd te krijgen in de organisatie. We doen aan risico analyse en bepalen wat ons risicogedrag is. Voor die risico’s die we niet kunnen accepteren gaan we op onderzoek uit om de beheersingsmaatregelen te bepalen.

Hierbij komen we al snel tot de conclusie dat een aantal van die maatregelen toch minimaal geïmplementeerd moeten zijn en dat we iedere keer terug komen op diezelfde maatregelen (een deur in een gebouw is toch wel handig om buitenstaanders buiten te houden). Om te voorkomen dat we iedereen afzonderlijk deze basis maatregelen laten bepalen, gaan we op zoek naar de grote gemene deler.

De vraag die we daarom stellen is:
Is er een vastgesteld basis beveiligingsniveau waaraan alle informatiesystemen (maar ok gebouwen, processen, etc.) minimaal moeten voldoen?

Door de hele organisatie heen kunnen we een basis leggen waaraan we minimaal moeten voldoen. We nemen steeds dezelfde maatregelen en proberen die zo uniform mogelijk te maken. Waarom zouden we het wiel iedere keer opnieuw uitvinden als we toch weten dat een wiel dat rond is, het beste rolt?

Gelukkig kunnen we gebruik maken van allerlei standaarden die er op de markt te verkrijgen zijn. Neem bijvoorbeeld de Code voor Informatiebeveiliging waar we het basis beveiligingsniveau uit af kunnen leiden. Met common sense, of gewoon boeren verstand, kunnen we echt wel bepalen wat we als standaard zouden moeten hanteren.

We moeten echter wel even stil staan bij het abstractieniveau waarop we het basis beveiligingsniveau bepalen. Willen we bijvoorbeeld als standaard opnemen dat we iets aan logische toegangsbeveiliging moeten doen of nemen we expliciet op dat er gebruik moet worden gemaakt van een inlognaam, pincode en toegangspas? Dat laatste is misschien wel concreet, maar gaat het voor ieder systeem werken? We zijn natuurlijk niet op zoek naar papierentijgers maar naar een aanpak die ook echt de risico’s afdekt.

De kunst is juist om het optimum te vinden in het abstractieniveau en vervolgens de detaillering of specifieke invulling over te laten aan degene die we verantwoordelijk hebben gemaakt voor het informatiesysteem, maar net zo goed voor het fysieke gebouw en processen natuurlijk, want ook daarvoor kunnen we basis beveiligingsniveaus opstellen.

Het voordeel is dat we uniform maatregelen kunnen implementeren en dat we niet iedere keer opzoek hoeven naar zaken die standaard al ingeregeld zijn. Een juiste omgang met een basis beveiligingsniveau ondersteund dus het lijnmanagement, zorgt ervoor dat we aan de minimale eisen voldoen die passend is voor onze bedrijfsstrategie en kan er ook nog eens voor zorgen dat we schaalvoordelen bereiken bij de aanschaf van maatregelen.

Nog niet nagedacht over het basis beveiligingsniveau? Dan is dat nu een mooi moment om te doen voordat we verzanden in allerlei dubbele of onzinnige maatregelen die uiteindelijk veel meer kosten dan ze opleveren.