Attracties van zwembad door hackers te beheren

Ben je al klaar met het nadenken over 31 maart en de gevolgen die het platleggen van het internet allemaal kunnen hebben? Lees dan vooral nog even door.

Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht (bron).

Zo zie je maar dat er meer gekoppeld is aan het internet dan je denkt.

Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. “Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde”, vertelt een van de onderzoekers tegen Webwereld. “Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een ‘grapje’ wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is.”

Achteraf bleek het gelukkig niet mogelijk te zijn om de chloortoevoer te kunnen regelen en de “onderzoekers” vonden het ook niet ethisch om dit uit te proberen. Je moet je niet indenken wat de gevolgen kunnen zijn van dergelijke SCADA-systemen die niet beveiligd zijn. Als je de chloortoevoer wel kunt beïnvloeden wordt het ineens een stuk serieuzer genomen door de maatschappij. Nu pikt een deel het berichtje op, heeft daar misschien zelfs een glimlach bij en gaat weer rustig verder.

Datzelfde gebeurde met het bericht over de sluizen en bruggen die niet/onvoldoende beveiligd zijn. Veel mensen zullen daar iets van hebben meegekregen, maar gaan vervolgens weer rustig verder met waar ze mee bezig zijn.

Zo langzamerhand wordt het toch echt tijd om de verantwoordelijken ter verantwoording te roepen. Daarmee moeten we niet wachten tot het een keer echt verkeerd gaat, want dan zijn we te laat. Nee, tijd dat er serieus sancties komen op het niet voldoen aan (minimale) beveiligingseisen voor dergelijke systemen.

Genoeg boeken geschreven over beveiliging die het in ieder geval een stukje lastiger maken. Laten we beginnen met een standaard of minimaal beveiligingsniveau dat we aanvullen met specifieke beveiligingsmaatregelen die we op basis van een goede risico analyse bepalen.

De term cyberwar lijkt inmiddels een beetje weggezakt uit de populariteit. Maar cyberwar is dichterbij dan we denken. Als er steeds meer berichten naar buiten komen over “beveiligingsonderzoekers” die met een paar klikken een heel systeem plat kunnen leggen dan moeten we ons serieus zorgen gaan maken. Niet zozeer voor die onderzoekers, die weten wat ze doen en willen het (hopelijk) alleen maar aantoonbaar maken. Nee, maak je meer zorgen om die scriptkiddies die het dus ook kunnen. Zij zullen de gevolgen niet inschatten voor ze ergens de verkeerde knop omzetten (en bijvoorbeeld het westen van Nederland hele natte voeten krijgt). Dan hebben we het nog niet eens over de vreemde mogendheden die hier natuurlijk al lang van op de hoogte zijn. Nee, die komen daarna wel weer een keer in beeld.

Aan de BV Nederland: neem je verantwoordelijkheid en zorg ervoor dat het basis beveiligingsniveau van Nederland, haar vitale en minder vitale infrastructuur op orde komt.

En ik wil je niet ongerust maken maar: SCADA systemen worden (samen met een DCS) onder andere ingezet voor:
Verkeersregeling
Attracties (bijvoorbeeld Vogel Rok Efteling)
Chemische industrie
Papierfabrieken
Klimaatregelsystemen
Sluizen, gemalen en bruggen
Parkeergarages
Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
Supervisie en regeling van windturbines