Aanvallen op Industrial Control Systems (ICS) nemen halsoverkop toe. Organisaties binnen kritieke infrastructuursectoren moeten zich beschermen tegen deze steeds sneller om zich heen grijpende aanvallen die grote gevolgen kunnen hebben.
In tegenstelling tot ‘traditionele’ aanvallen op zakelijke IT-netwerken die voornamelijk financieel gewin of datadiefstal als doel hebben, zijn er ook aanvallen die gericht zijn op infrastructuursystemen met de bedoeling om operaties te verstoren, fysieke schade toe te brengen of zelfs catastrofale incidenten in gang te zetten.
Begin februari drongen twee subcommissies van het Amerikaanse Huis van afgevaardigden er bij het U.S. Energy Department op aan om informatie te verstrekken over nucleaire onderzoekslaboratoria die afgelopen zomer het doelwit waren van een Russische hackgroep. Een ander spraakmakend voorbeeld: bij een door de Russische staat ‘gesponsord’ incident in 2016 werd ICS-apparatuur gemanipuleerd door misbruik te maken van industriële controlesysteemprotocollen om zo het Oekraïense energienetwerk te ontregelen. Het gevolg: een deel van Kiev kwam zonder stroom te zitten.
Incidenten als deze onderstrepen het belang van getrainde ICS-security-specialisten die ICS-netwerken effectief monitoren en actief kunnen handelen. Een zwakke ICS/OT-beveiliging vormt immers een risico op verschillende fronten. Zowel voor de volksgezondheid, het milieu als de nationale veiligheid. Stel je voor dat het elektriciteitsnet van Rotterdam opeens wordt platgelegd als gevolg van een ICS-aanval. Dat zou ingrijpende gevolgen hebben voor ziekenhuizen, (lucht)havens, en vele miljoenen euro’s aan (economische) schade kunnen toebrengen.
Organisaties met kritieke infrastructuren dragen daarom de morele verantwoordelijkheid een robuust ICS-security-raamwerk op te zetten. Dit is niet een kwestie van louter voldoen aan de verplichte nalevingsminima om wettelijke boetes te voorkomen. Het gaat erom geen middel onbeproefd te laten om de maatschappij tegen de reële impact van cybercriminaliteit te beschermen.
Vijf componenten
Preventie is een veelvoorkomend thema binnen de cybersecuritygemeenschap. Tussen de 60 en 95% van de meest gebruikte securityraamwerken zijn preventief van aard. Zij lopen echter tegelijkertijd vaak achter op het gebied van detection and response. Als gevolg hiervan investeren veel organisaties slechts 5% van hun budget om aanvallen op te sporen, erop te reageren en te herstellen. Omdat het aantal en de snelheid van ICS-security-gerelateerde aanvallen toeneemt, kunnen zelfs de strengste voorzorgsmaatregelen worden omzeild. Organisaties moeten voorbereid zijn, niet op als, maar op wanneer dat gebeurt.
Vijf controles
Een ICS-security-raamwerk moet de volgende vijf kern-controlemechanismen bevatten:
ICS Incident Response
Een incidentresponsplan is ontworpen om de complexiteit van het reageren op aanvallen tot een minimum te beperken. Deze oefeningen versterken risicoscenario’s en cases die zijn afgestemd op de beveiligingsomgeving. Ze verbeteren ook de operationele veerkracht door analyse van de voornaamste oorzaak van mogelijke storingsgebeurtenissen te vergemakkelijken.
Verdedigbare architectuur
Een verdedigbare ICS-architectuur helpt de kloof tussen technologie en mens te overbruggen door zo veel mogelijk risico’s te verkleinen door systeemontwerp en -implementatie, terwijl efficiënte securityteamprocessen worden gestimuleerd.
Visibility Monitoring
Omdat ICS-aanvallen zich profileren als ‘systeem der systemen’ is het van belang continue netwerkbeveiligingsbewaking van de ICS-omgeving te implementeren met protocolbewuste toolsets en analyse van systemen van systeeminteractie. Deze mogelijkheden kunnen worden gebruikt om securityteams te informeren over mogelijke kwetsbaarheden.
Externe toegangsbeveiliging
Als gevolg van het vaak cloudgebaseerde (hybride) werken, worden steeds vaker externe toegangen misbruikt. Kwaadwillenden kunnen nu ook toeslaan bij kwetsbaarheden van het IT-netwerk van leveranciers, onderhoudspersoneel en fabrikanten. Op zijn beurt is het ‘op afstand’ regelen van veilige toegangscontroles voor industriële activiteiten onbespreekbaar.
Risk-based beheer van kwetsbaarheden
Met een incidentenresponsplan kan men ICS-kwetsbaarheden met het grootste risico definiëren. Vaak zijn het kwetsbaarheden waardoor toegang wordt verkregen tot het ICS of een nieuwe functionaliteit wordt toegevoegd om zo operationele problemen te veroorzaken. Om risk-based beheer van kwetsbaarheden toe te passen, moeten er controles en bedrijfsomstandigheden van het apparaat aanwezig zijn die op risk-based beslissingen nemen tijdens preventie, respons en herstel.
Dean Parsons
CEO ICS Defence Force
Dean Parsons is de CEO en hoofdconsultant van ICS Defense Force en Certified ICS Instructor bij het SANS Institute. Hij brengt meer dan 20 jaar technische en managementervaring mee. Hij heeft zowel in informatietechnologie als in industriële besturingssystemen (ICS) cyberdefensie gewerkt in kritieke infrastructuursectoren zoals telecommunicatie, en elektriciteitsopwekking, -transmissie en -distributie, en olie- en gasraffinaderijen, -opslag en -distributie. Dean is een ambassadeur voor de verdediging van industriële systemen en een pleitbezorger voor de veiligheid, betrouwbaarheid en cyberbescherming van kritieke infrastructuur.
