Aanvallen op Industrial Control Systems (ICS) nemen halsoverkop toe. En organisaties binnen kritieke infrastructuursectoren moeten zich beschermen tegen deze steeds sneller om zich heen grijpende aanvallen die desastreuze gevolgen kunnen hebben voor mens en gemeenschap.
In tegenstelling tot ‘traditionele’ aanvallen op zakelijke IT-netwerken die voornamelijk gebaseerd zijn op financieel gewin of datadiefstal, richten door de staat gesponsorde kwaadwillenden zich op infrastructuursystemen met de bedoeling operaties te verstoren, fysieke schade toe te brengen of zelfs catastrofale incidenten in gang te zetten. Hierdoor staan zelfs mensenlevens op het spel.
Begin februari drongen twee subcommissies van het Amerikaanse Huis er bij het U.S. Energy Department op aan informatie te verstrekken over nucleaire onderzoekslaboratoria die afgelopen zomer het doelwit waren van een Russische hackgroep. Een meer spraakmakend voorbeeld: bij een door de Russische staat ‘gesponsord’ incident in 2016 werd ICS-apparatuur gemanipuleerd door misbruik te maken van industriële controlesysteemprotocollen om zo het Oekraïense energienetwerk te ontregelen. Gevolg: een deel van Kiev kwam zonder stroom te zitten.
Incidenten als deze onderstrepen het belang van getraind securitypersoneel die ICS-netwerken effectief monitoren en actief kunnen handelen. Een zwakke ICS/OT-beveiliging vormt immers een risico op verschillende fronten. Zowel voor de volksgezondheid, het milieu als de nationale veiligheid. Stel je voor dat het elektriciteitsnet van Rotterdam opeens wordt platgelegd als gevolg van een ICS-aanval? Dat zou ingrijpende gevolgen hebben voor ziekenhuizen, (lucht)havens, en vele miljoenen euro’s aan (economische) schade kunnen toebrengen.
Organisaties met kritieke infrastructuren dragen daarom de morele verantwoordelijkheid een robuust ICS/OT-beveiligingsraamwerk op te zetten. Dit is niet een kwestie van louter voldoen aan de verplichte nalevingsminima om wettelijke boetes te voorkomen. Het gaat erom geen middel onbeproefd te laten om mens en dier tegen de reële impact van cybercriminaliteit te beschermen.
Vijf componenten
Preventie is een veel voorkomend thema binnen de cybersecuritygemeenschap. Tussen de 60 en 95% van de meest gebruikte securityraamwerken zijn preventief van aard. Echter: zij lopen tegelijkertijd achter op het gebied van detection and response. Als gevolg hiervan investeren veel organisaties slechts 5% van hun budget om aanvallen op te sporen, erop te reageren en te herstellen. Omdat het aantal en de snelheid van ICS-gerelateerde aanvallen toeneemt, kunnen zelfs de strengste voorzorgsmaatregelen worden omzeild. Organisaties moeten voorbereid zijn op niet als, maar op wanneer dat gebeurt.
Een ICS/OT-securityraamwerk met de volgende vijf controles kan de sleutel zijn.
- ICS Incident Response
Een incidentresponsplan is ontworpen om de complexiteit van het reageren op aanvallen tot een minimum te beperken. Deze oefeningen versterken risicoscenario's en cases die zijn afgestemd op de beveiligingsomgeving. Ze verbeteren ook de operationele veerkracht door analyse van de voornaamste oorzaak van mogelijke storingsgebeurtenissen te vergemakkelijken.
- Verdedigbare architectuur
Een verdedigbare ICS-architectuur helpt de kloof tussen technologie en mens te overbruggen door zo veel mogelijk risico’s te verkleinen door systeemontwerp en -implementatie, terwijl efficiënte securityteamprocessen worden gestimuleerd.
- Visibility Monitoring
Omdat ICS-aanvallen zich profileren als ‘systeem der systemen’ is het van belang continue netwerkbeveiligingsbewaking van de ICS-omgeving te implementeren met protocolbewuste toolsets en analyse van systemen van systeeminteractie. Deze mogelijkheden kunnen worden gebruikt om securityteams te informeren over mogelijke kwetsbaarheden.
- Externe toegangsbeveiliging
Als gevolg van het cloudgebaseerde (hybride) werken worden steeds vaker externe toegangen misbruikt. Kwaadwillenden kunnen nu ook toeslaan bij kwetsbaarheden van het IT-netwerk van leveranciers, onderhoudspersoneel en fabrikanten. Op zijn beurt is het ‘op afstand’ regelen van veilige toegangscontroles voor industriële activiteiten onbespreekbaar.
- Risk-based beheer van kwetsbaarheden
Met een incidentenresponsplan kan men ICS-kwetsbaarheden met het grootste risico definiëren. Vaak zijn het kwetsbaarheden waardoor toegang wordt verkregen tot het ICS of een nieuwe functionaliteit wordt toegevoegd om zo operationele problemen te veroorzaken. Om risk-based beheer van kwetsbaarheden toe te passen, moeten er controles en bedrijfsomstandigheden van het apparaat aanwezig zijn die op risk-based beslissingen nemen tijdens preventie, respons en herstel.
Dean Parsons
CEO ICS Defence Force
SANS Certified ICS Instructor