Hoe voorkom je een cyberaanval op je machines?

Cyberaanvallen speelden zich in het verleden vooral af in IT-omgevingen. De laatste tijd groeit ook het aantal dreigingen in het OT-domein (operational technology): malware en bewuste aanvallen die gericht zijn op de besturingssystemen of de procesautomatisering van producerende bedrijven. Hoe kun je je hiertegen beschermen?

“Cybercrime, specifiek ontwikkeld om PLC’s in productieomgevingen aan te vallen, neemt toe”, stelt Sebastiaan Koning, cybersecurity-consultant bij Hudson Cybertec. “Denk bijvoorbeeld aan de Triton-malware. Via deze malware kregen aanvallers toegang tot de safety-systemen (Triconex Safety Instrumented System, ofwel SIS-werkstation, red.) van een chemische fabriek in Saoedi-Arabië, met het doel deze te herprogrammeren zodat ze een explosie konden veroorzaken. De aanval mislukte aangezien twee controllers in een zogenoemde “Fail-safe”-modus terechtkwamen waardoor de operationele processen automatisch werden stilgelegd.” Recentelijk zijn er meer zulke aanvallen geweest. Bij scheepvaart- en transportgigant Maersk bleken de computers vergrendeld door malware (2017). Ransomware trof de Noorse aluminiumgigant en energieconcern Norsk Hydro in 2019 terwijl dit ook Honda is overkomen afgelopen juni. Op meerdere vestigingen was de productie onderbroken. Dichter bij huis, en ook recent, was het alle hens aan dek bij Piconal in België, fabrikant van weefmachines. Een deel van het bedrijf lag begin dit jaar door ransomware volledig plat. “Het gaat niet langer om malware die naast het platleggen van het IT-systeem per toeval ook het OT-systeem bereikt. Toevalligheden zijn veranderd in doelgerichte aanvallen.”

Andere aanpak

“Gelukkig krijgt het beveiligen van OT nu – uit noodzaak – ook de aandacht die het eigenlijk al jaren eerder had moeten krijgen”, stelt Koning. Dit beveiligen van OT-systemen vergt een andere aanpak. “IT-systemen krijgen regelmatig een update waardoor mogelijke kwetsbaarheden in het systeem worden verminderd. Bij OT-systemen is dit veel complexer. Je hebt hier vaak te maken met legacy-apparatuur, die kwetsbaar is en niet altijd geüpdatet kan of mag worden. Bovendien moet er zorgvuldig met veiligheidsupdates worden omgegaan. De systemen voor de aansturing van de procesautomatisering moeten altijd blijven werken. Alle updates binnen OT-systemen moeten daarom eerst worden gevalideerd. Leveranciers van de software moeten gescreend en de updates moeten door de eigenaars van de installaties zelf worden getest, voor een productieomgeving deze in bedrijf mag nemen. Dit kost dus veel meer tijd dan een relatief eenvoudige software-update bij IT. Deze IT-updates zijn zodanig generiek en wereldwijd al uitvoerig getest dat je ze vrijwel zonder risico voor de continuïteit van een proces kunt uitrollen. Heel anders dan in een OT-omgeving.”

Ken je netwerk

Een strategie om de cyberweerbaarheid van OT-systemen te verhogen, begint bij het kennen van je netwerk. “Vanuit IT wordt vaak voor een blokkeer-aanpak gekozen. Zodra men vaststelt dat een IP-domein geïnfecteerd lijkt, wordt dit geïsoleerd en afzonderlijk aangepakt om de schade te minimaliseren. Bij OT-systemen werkt dit niet aangezien de systemen veel complexer zijn en met elkaar zijn verbonden. Bepaalde mogelijk geïnfecteerde systemen isoleren kan leiden tot grote schadelijke gevolgen voor het bedrijf. Daarom is het noodzakelijk om in een heel vroeg stadium mogelijke aanvallen te detecteren zodat snel en zonder grote gevolgen kan worden ingegrepen. Dit is mogelijk door je netwerk goed te kennen en te bepalen wat normaal is. We roepen continu: Know your network, ken je apparaten en je systemen en weet hoe deze systemen met elkaar communiceren. Dat is de basis.”

“Met anomaliedetectie op basis van machine learning wordt op een snelle en intelligente manier gedetecteerd of er afwijkend gedrag wordt vertoond.”

OT-monitoring

In de praktijk gebeurt dit vaak met monitoring. “OT-monitoringsoplossingen leggen een baseline vast van het normale gedrag. Welke assets zitten in het netwerk en hoe communiceren die met elkaar? OT-systemen produceren doorgaans veel voorspelbare data, aangezien alle gegenereerde data een specifiek doel dienen. Je kunt dus heel goed bepalen wat het normale gedrag is. Met anomaliedetectie op basis van machine learning wordt vervolgens op een snelle en intelligente manier gedetecteerd of er afwijkend gedrag wordt vertoond. Wordt bijvoorbeeld een onbekende asset op het netwerk aangesloten of wordt een asset vervangen door een malafide asset dan merkt het systeem dit meteen op en kan adequaat worden gereageerd.” Monitoring op basis van anomaliedetectie is van dermate grote meerwaarde voor de OT-omgeving, dat dit in Duitsland onderdeel wordt van aanstaande wet- en regelgeving voor kritieke infrastructuren. Steeds meer organisaties moeten aantonen dat voldaan wordt aan wet- en regelgeving. “Een aanpassing van wet- en regelgeving is er nog niet in Nederland, maar eens een lid van de Europese Unie een eerst stap zet, volgen de andere Europese landen wellicht vrij snel. Het Hudson Cybertec OT-monitoringsysteem geeft inzicht in de compliance met verschillende normen, wet- en regelgeving zoals de BIO, CSIR, IEC 62443 of ISO 27k.”

False positives

Het is belangrijk om monitoringssystemen te kiezen die specifiek zijn gericht op OT-systemen. Een tweede aspect dat de nodige aandacht verdient, is het op een juiste manier inleren van het systeem. “Het goed inleren van machine learning technologie is van belang om zogenoemde false positives te voorkomen. Deze kunnen het productieproces verstoren aangezien alarmmeldingen vaak manueel moet worden bekeken en uitgeschakeld. Een goede voorbereiding voor implementatie is van belang.”

Remote access en cybersecurity

Productiesystemen in OT-afdelingen worden alsmaar complexer. De productie moet voortdurend de aandacht verdelen tussen verschillende vakgebieden waar ze mee te maken hebben. Hierdoor wordt steeds vaker bewust beroep gedaan op externe expertise. “Het komt regelmatig voor dat leveranciers hun klanten bij de aanschaf van nieuwe machines service- of onderhoudscontracten aanbieden. Ze vragen daarbij mogelijk om toestemming om op afstand bij de machine te kunnen. Mogelijk gaat data via het OT- en IT -systeem alleen naar buiten, maar in andere gevallen heeft de leverancier een 4G-modem ingebouwd zodat ze remote, indien nodig, in de machine kunnen om problemen te verhelpen. Hoe is de veiligheid in deze gevallen geborgd? Hoe voorkom je dat een aanvaller via een leverancier toegang krijgt tot jouw machine in de productieomgeving? Daar zit een potentieel risico.”

IT versus OT

Informatietechnologie (IT) en operationele technologie (OT) zijn op fundamenteel andere uitgangspunten gebaseerd. Operationele Technologie is primair ontworpen om zo betrouwbaar mogelijk te opereren met een zo hoog mogelijke beschikbaarheid. Als het besturingssysteem uitvalt of er zijn andere calamiteiten, dan zou het proces moeten kunnen blijven draaien, no matter what. Installaties zijn vaak al jaren geleden ontworpen, zijn erg robuust en zodanig ingericht dat risico’s zoveel mogelijk worden beheerst. Bij IT is daarentegen snelheid, connectiviteit, rekenkracht en communicatie veel belangrijker. Bedrijven die menen dat een IT-afdeling ook de beveiliging van de industriële automatisering en control systems erbij kan nemen, komen er daarom al snel achter dat die combinatie niet zo goed is te maken is. Het gaat om twee totaal andere werelden die op een hele andere manier zijn opgebouwd.

Scenario’s

“Als er remote toegang is ingericht of wordt gevraagd, is de eerste vraag die je je als productie-omgeving altijd moet stellen: Is remote toegang echt nodig? Is het antwoord op deze vraag JA, dan zal vervolgens op basis van de risico-inventarisatie moeten worden nagegaan wat is toegestaan, hoe dit op een veilige manier mogelijk is en hoe dit zal worden geborgd. Is er een mogelijke backdoor, dan zal moeten worden nagegaan hoe je kunt voorkomen dat dit impact heeft op de restvan de productie. Aan te bevelen is om voor alle mogelijke scenario’s te onderzoeken wat wanneer welke impact op welke systemen kan hebben. Door de situatie te inventariseren en in kaart te hebben hoe je datastromen eruit zien en hoe je dataflow eruit ziet, kun je vooraf al de nodige maatregelen nemen en meteen inspringen als er iets afwijkend gebeurt.”

Techniek – mens – organisatie

Voor een fabriekseigenaar is het verstandig om specifieke eisen rond cybersecurity op te stellen waaraan opdrachtnemers of toeleveranciers moeten voldoen. “Je moet daarbij niet alleen bepalen waaraan systemen die ze leveren moeten voldoen. Ook randvoorwaarden opstellen voor medewerkers die mogelijk op bezoek komen is van belang.” Cybersecurity beperkt zich niet alleen tot technische oplossingen. “Zowel voor de eigen werknemers als samenwerking met third parties geldt dat er een balans moet zijn tussen mens, organisatie en techniek. Het is aan te bevelen procedures op menselijk en organisatorisch niveau in te richten zodat de kans dat iemand iets mee naar binnen brengt en in het OT-systeem terechtkomt kleiner wordt. Houdt de mensen ook periodiek bewust zodat ze altijd alert blijven en onregelmatigheden opmerken. Daarnaast blijven technische maatregelen om de risico’s te beperken, voortdurend aan de orde.”

Geen eenmalige exercitie

De theorie is eenvoudiger dan de praktijk. “Wat we constateren is dat de organische groei van bedrijven en hun systemen niet altijd goed is gedocumenteerd waardoor er blinde vlekken in het systeem ontstaan. Is er bijvoorbeeld een machine aan het machinepark toegevoegd, met een 4G-verbinding naar buiten om op afstand service te laten meekijken, en dit is niet goed gedocumenteerd, dan is dit mogelijk een zwakke plek. Cybersecurity is met andere woorden geen eenmalige exercitie, maar iets om altijd bij te houden en periodiek te toetsen. Stel jezelf voortdurend de vragen: Waar staan we nu op security-gebied met betrekking tot mens, organisatie en techniek? Heb ik alle maatregelen genomen of moet ik weer nieuwe maatregelen nemen? Pas je dit systematisch toe, dan is het risico op onaangename verrassingen veel kleiner.”

Bron: PT Industrieel Management, editie 4, september 2020

In de spotlight

Monitoring van uw OT omgeving is essentieel. U weet wat er gebeurt op uw netwerk, en u ziet in welke mate u compliant bent aan verschillende cybersecuritynormen en wet- en regelgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© 2021 Hudson Cybertec