Gevaar van binnenuit – Cyberaanvallen uit onverwachte hoek

Bij cyberaanvallen wordt meestal direct gedacht aan aanvallen van buitenaf. Aan vreemde naties, terroristen of criminele organisaties. Veel minder vaak zijn de gevaren van binnenuit in beeld: medewerkers die bedoeld of onbedoeld schade aanrichten. De Algemene Rekenkamer luidde onlangs de alarmklok over de slechte beveiliging van vitale waterwerken en stuurde aan op betere screening van medewerkers op sleutelposities.

Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat neemt alle aanbevelingen uit het rapport ‘Digitale dijkverzwaring: cybersecurity en vitale waterwerken’ van de Algemene Rekenkamer over en gaat medewerkers van het Security Operations Center (SOC), het centrale veiligheidshart van Rijkswaterstaat, beter screenen. Nu is voor deze medewerkers alleen nog een Verklaring Omtrent het Gedrag (VOG) vereist, terwijl de medewerkers wel in aanraking komen met gevoelige systeeminformatie van vitale waterwerken. En dat is geen kattenpis. Bij het keren en beheren van water staat de fysieke veiligheid van Nederland op het spel. Het kan gaan om leven of dood.

Procesautomatisering

Algemeen directeur Marcel Jutte van Hudson Cybertec is ook niet verbaasd over het vernietigende rapport van de Algemene Rekenkamer. “Wij hebben jaren geleden al aangegeven dat er nodig iets moet gebeuren om de cyberweerbaarheid in de watersector te verhogen.” Volgens Jutte is een belangrijk euvel dat cybersecurity nu nog vooral gericht is op informatietechnologiesystemen (IT) en niet op Operationele Technologie (OT), de zogenaamde procesautomatiseringssystemen.

Jutte is ook blij met de aandacht van de Algemene Rekenkamer voor het menselijke aspect. “Op het gebied van de cybersecurity is de mens vaak de zwakste schakel. Het screenen van medewerkers is een goed begin, maar er is zeker nog meer nodig. Zodra mensen in dienst zijn, mag het monitoren van de handelingen en activiteiten op het netwerk met een uitgebreid detectiesysteem niet ontbreken. Iemand kan door de jaren heen veranderen. Er kunnen frustraties ontstaan of de aandacht voor veiligheid kan simpelweg verslappen.”

Gehackte rioolinstallatie

Een goed voorbeeld van hacks door een gefrustreerde medewerker, vond onlangs plaats in de gemeente Lopik. Na zijn ontslag brak een ex-medewerker met admin- en test-accounts in op een ‘stand alone’ computer die een rioolinstallatie aanstuurde. Hij wiste daarbij ruim 8000 bestanden, waardoor de installatie drie dagen lang niet goed werkte. In januari 2018 zette hij de afsluiters van het riool dicht en de pompen aan. Dat had grote schade kunnen veroorzaken en de rechtbank veroordeelde hem daarom tot 240 uur werkstraf.

Trainingen

Hudson Cybertec heeft samen met het Nederlands Normalisatie Instituut een cybersecuritytraining ontwikkeld voor iedereen die betrokken is bij productie- en procesinstallaties. Gezien het grote aantal aanmeldingen voor deze training, constateert Marcel Jutte dat er in de watersector steeds meer aandacht is voor cyberveiligheid. Toch blijft hij bezorgd, omdat hij vindt dat het invoeren van de ‘digitale dijkverzwaring’ voor vitale waterwerken niet snel genoeg gaat. “En dat terwijl de risico’s juist toenemen. Bijvoorbeeld door het Internet of Things (IoT). Steeds meer installaties maken gebruik van IoT-apparaten, maar als dat niet goed wordt georganiseerd, brengt dat extra veiligheidsrisico’s met zich mee.”

Detectie

Volgens Rijkswaterstaat is het technisch te uitdagend en te kostbaar om de oudere systemen te moderniseren. Daarom richt de organisatie zich met name op de signalering van een cyberaanval en een adequate reactie om die aanval onschadelijk te maken. Gedurende het onderzoek van de Algemene Rekenkamer is in samenwerking met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd bij een van de vitale waterwerken. Daarbij verschaften de ingehuurde hackers zich toegang tot de controlekamer. De aanvallers werden echter direct opgemerkt door het SOC, toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.

Met dit soort pentesten wil de minister de veiligheid van de waterwerken de komende jaren verder verbeteren. Het gaat dan om hackers die het systeem van buitenaf op de proef stellen. Voor het beperken van de gevaren van binnenuit lijken echter meer maatregelen nodig. Er moet meer worden geïnvesteerd in screening, monitoring en software waarmee ongebruikelijke handelingen van medewerkers worden gesignaleerd. Alleen zo kan de dreiging van binnenuit worden beperkt.

“Wat betreft cybersecurity is de mens vaak de zwakste schakel. Het screenen van medewerkers is een goed begin, maar er is zeker nog meer nodig.”

Bron: ‘Waterforum (editie 3), juni 2019’ door ‘Esther Rasenberg’

Lees hier het volledige artikel.

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.