Beveiliging industriële automatisering zorgenkind

Terwijl organisaties bakken met geld uitgeven aan het beveiligen van hun front- en backoffice, zijn machines en installaties vaak relatief eenvoudig toegankelijk. Dat is een gevaarlijk gegeven nu industriële netwerken in veel gevallen direct of indirect op internet zijn aangesloten. Door Mirjam Hulsebos

Nadat het Spaanse beveiligingsbedrijf Neutralbit dit voorjaar diverse zwakke plekken in een veel gebruikt protocol uit de procesautomatisering naar buiten bracht kopten diverse Amerikaanse kranten en websites dat veiligheid van de nationale infrastructuur in het geding is. Het Amerikaanse adviesbureau Byres Security heeft becijferd dat er in de VS zo'n vier- tot vijfhonderd aanvallen per jaar plaatsvinden op procesautomatiseringssystemen. Een greep uit zijn incidentendatabase leert dat het Australische Merseyshire afvalwaterreinigingsbedrijf te maken kreeg met een hacker die inbrak in het softwaresysteem voor meet- en regelsignalen van machines Scada (Supervisory control and data acquisition). Hij wilde op die manier de lokale autoriteiten onder druk zetten om hem een groot bedrag aan losgeld te betalen. Bij een Amerikaans bedrijf in dezelfde sector zijn hackers erin geslaagd om de procesautomatiseringssystemen binnen te dringen en zo vervuild water in het drinkwatersysteem te brengen.

Behalve voor hackers zijn Scada-systemen ook een relatief gemakkelijke prooi voor virussen. Volgens Byres Security is de Slammer-worm uit 2003 terecht gekomen in de industriële systemen van een energieleverancier, een kernenergiecentrale en een boorplatform in de Golf van Mexico. Het Blaster-virus uit hetzelfde jaar legde delen van de productie van Corus plat (zie kader). Als hackers en virussen erin slagen om deze systemen te saboteren, dan kunnen terroristen dat ook. Een overzicht van de oorzaken en gevaren.

Direct leesbaar
Wat is er aan de hand? Tot het eind van de vorige eeuw waren de meeste procesautomatiseringssystemen maatwerk. De veldbusnetwerken waren zo ‘vreemd' dat geen virus of hacker er iets mee kon. Ze waren bovendien geheel gescheiden van de rest van de automatisering. Door deze gescheiden opzet wordt er van oudsher geen encryptie toegepast bij de communicatie tussen de verschillende apparaten en systemen. Gevoelige informatie zoals wachtwoorden en netwerkadressen zijn bovendien vaak gewoon direct leesbaar opgeslagen. Om de toegang tot het systeem in de fabriek zo gemakkelijk mogelijk te maken, hebben sommige systemen helemaal geen authenticatie of hooguit groepsauthenticatie waarbij alle operators gebruikmaken van dezelfde gebruikerscode en wachtwoord. Het bijhouden van logs is in veel industriële omgevingen geen gewoonte, niet van de personen die toegang hebben tot de systemen noch van incidenten die plaatsvinden.

Deze op zijn zachtst gezegd twijfelachtige beveiligingsmethoden zijn een gevaarlijk gegeven nu bij veel organisaties Scada-systemen op een Microsoft-platform draaien en onderdeel uitmaken van het bedrijfsnetwerk dat direct of indirect aan internet gekoppeld is. De integratie in het bedrijfsnetwerk en internet is weliswaar handig, want daardoor is het mogelijk om op afstand processen te monitoren en waar nodig bij te sturen. Maar het is ook gevaarlijk nu blijkt dat veel gebruikte industriële protocollen kwetsbaarheden bevatten waarmee hackers zonder al te veel problemen toegang kunnen krijgen tot de infrastructuur. "Iedere eerstejaars student informatica kan zien dat er dan additionele beveiligingsmaatregelen nodig zijn, maar toch worden die in de praktijk zelden getroffen", stelt Henk van der Heijden, managing director Benelux bij beveiligingsspecialist Comsec Consulting. "Wij komen bij veel grote Nederlandse bedrijven over de vloer en merken dat ze zich nauwelijks bewust zijn van de gevaren. Als dat bewustzijn er wel is, dan is er nog een probleem. Er zijn momenteel heel weinig producten op de markt om deze beveiligingsproblemen goed op te lossen."

Over de oorzaken is Van der Heyden duidelijk. "Informatiebeveiliging was domweg nooit een issue voor Scada-specialisten. Gevolg is nu dat organisaties die een vitaal onderdeel uitmaken van onze economie en samenleving grote risico's lopen. Bedrijven uit de chemische industrie, energiebedrijven en drinkwaterleveranciers hebben hun fysieke beveiliging bijna altijd goed op orde. Er is een strenge fysieke toegangscontrole, camerabewaking, noem maar op. Daar liepen deze organisaties van oudsher ook het grootste gevaar. Lang niet iedereen is zich ervan bewust dat door de koppeling van procesautomatisering aan andere bedrijfssystemen deze nu indirect ook met internet verbonden zijn. Daarmee staat de achterdeur naar deze processystemen wagenwijd open, ook voor mensen die kwaad in de zin hebben."

Onzorgvuldig
Naast Scada is ook het OPC-protocol (open connectivity via open standards) vatbaar voor misbruik. OPC regelt de uitwisseling van gegevens tussen verschillende procesautomatiseringsapplicaties die op Microsoft-platformen draaien. Velen denken dat OPC alleen het dataverkeer op de fabrieksvloer aanstuurt. Daar is het in essentie wel voor ontworpen, maar in de praktijk gaat de invloed veel verder. Byres Security heeft samen met onderzoeks- en consultancyfirma Digital Bond een onderzoek gedaan onder ruim honderd OPC-gebruikers bij grote beurs genoteerde concerns. Meer dan een kwart van de respondenten gaf aan dat als OPC zou uitvallen, de fabriek plat komt te liggen. Ongeveer 20 procent gaf toe dat OPC in het gehele bedrijfsnetwerk gebruikt wordt, hetgeen impliceert dat het dus indirect is verbonden met internet. Een klein deel, 12 procent, gaf toe dat OPC zelfs via internettechnologie gebruikt werd. Vrijwel geen van de bedrijven paste daarbij encryptie toe. Uit hetzelfde onderzoek kwam naar voren dat in 51 procent van de gevallen meerdere operators dezelfde gebruikersnaam en wachtwoord gebruiken. Sterker, dit wordt in de meeste installatiehandleidingen van leveranciers aanbevolen om het gebruiksgemak te vergroten. In 53 procent van de installaties draait een OPC-server op een hostplatform dat gebruikmaakt van ofwel een verouderd besturingssysteem (Windows NT, SP4) ofwel op een recent systeem als Windows XP dat niet van de laatste updates voorzien is.

Groot risico
Deze steekproef laat zien dat industriële systemen gemakkelijk aan te vallen zijn. Organisaties die een belangrijk onderdeel uitmaken van de vitale infrastructuur zoals energiecentrales, drinkwatervoorzieningen, afvalverwerkingsinstallaties, maar ook vrijwel alle industriële bedrijven lopen hierdoor grote risico's. Dat een hacker of een computervirus vrij eenvoudig binnendringt en en vervolgens productieprocessen kan stilleggen is dus een heel realistisch scenario. Nico van Veen van Control-IT Industrial Automation predikt dan ook vooral het motto ‘bezint eer ge begint'. "Je moet met de beveiliging van de systemen die operators gebruiken net zo omgaan als met die van de financieel directeur. Als je omwille van gemak beveiligingsmaatregelen gaat omzeilen, dan moet je natuurlijk ook niet vreemd opkijken dat er vroeg of laat iets mis gaat."

Nu valt de schade die met het compromitteren van Scada-systemen aangericht kan worden nog enigszins mee. In het ergste geval gaat een fabriek gecontroleerd plat, iets dat uiteraard meteen opgemerkt zou worden. Dat kost natuurlijk geld, maar het leidt niet tot gevaarlijke situaties. "Scada kan bijvoorbeeld niet een ketel op vol vermogen opstarten als er geen water in zit", zegt Van Veen. "Dat is namelijk een traject dat door een process control-device wordt aangestuurd. Dat apparaat krijgt zijn gegevens alleen wel via OPC. Dit maakt OPC wel tot een instrument dat in verkeerde handen voor bedreigende situaties kan zorgen. Je moet daarom goed weten wat je doet. Als je iets niet op afstand hoeft aan te sturen, doe dat dan ook niet. Je ziet dat energiebedrijven en waterbedrijven niet heen kunnen om besturen op afstand. Dit zijn dan ook de organisaties waar de meeste incidenten optreden."

Conclusie
De OPC Foundation werkt met Microsoft aan een nieuwe versie van het protocol dat zijn werk gaat doen op het meer veilige .NET-systeem van Microsoft in een service oriented architecture. Dat betekent een forse stap voorwaarts, maar het zal nog lang duren voordat alle OPC-applicaties zijn gemigreerd. Toch zal in deze toekomstige installaties ook weer gelden dat de beveiliging niet beter is dan de zwakste schakel. Bestaande praktijken van een slecht patch-beleid en gedeelde wachtwoorden zullen ook in deze nieuwe omgeving hun tol eisen.