ICS Security, Medical Devices and the Accidental Bogeyman

Gehackte pacemakers, insulinepompen, auto's, industriële faciliteiten, satellieten en doorbroken elektriciteitsnetten... Al jaren waarschuwen cybersecurity-onderzoekers voor de mogelijkheid dat black hat-hackers mensen pijn doen of doden door hun exploits - vaak met demonstraties over hoe ze dit zouden kunnen doen.

Maar de mate van sensatiezucht die het onderwerp vaak vergezelt, kan het werkelijke risiconiveau verdoezelen, terwijl het weinig doet om het risiconiveau van veelvoorkomende aanvalsvectoren en kwetsbaarheden zoals verouderde besturingssystemen, niet-gepatchte software of software met fouten, verkeerd geconfigureerde netwerken en dergelijke te onderstrepen.

Over het algemeen is het cyberrisico hoog met industriële controlesystemen, die worden gebruikt voor een scala aan toepassingen, van het besturen van satellieten tot olie- en gasapparatuur tot automatiseringsapparatuur in fabrieken. Er zijn berichten over computersabotage die decennialang chaos veroorzaakt. Het is waar dat bijvoorbeeld moeilijk te verifiëren is of de Verenigde Staten Trojaanse malware hebben ingezet op computerapparatuur die wordt gebruikt om de gasstroom in een Trans-Siberische pijpleiding te regelen, wat een enorme explosie veroorzaakte. Thomas C. Reed, een voormalig luchtmachtsecretaris in de regering-Reagan, beweerde hetzelfde in het boek "At the Abyss".

[ Internet of Things Wereld is het kruispunt van industrieën en IoT-innovatie. Boek uw conferentiepas en bespaar $ 350, ontvang een gratis expo-pas of bekijk de IoT-beveiligingsluidsprekers bij het evenement.]

Maar aanvallen op aangesloten industriële systemen komen nu veel voor. Een aantal leveranciers van cyberbeveiliging, van IBM Managed Security Services tot Kaspersky Lab, hebben de afgelopen jaren een toename van ICS-beveiligingsaanvallen waargenomen. Pas in maart worstelde Norsk Hydro, een van de grootste aluminiumproducenten ter wereld, met cybergeïnduceerde productie in zowel Europa als de Verenigde Staten.

Om het probleem aan te pakken, hebben industriële gigant Siemens en TÜV SÜD, het internationale test-, inspectie- en certificeringsbedrijf, hun krachten gebundeld in wat zij 'een nieuwe benadering van digitale veiligheid en beveiliging' noemen. "Aanvallen op industriële omgevingen nemen exponentieel toe", zegt Leo Simonovich, vice-president en global head voor industriële cyber- en digitale beveiliging bij Siemens. "In tegenstelling tot IT, waar de belangrijkste zorg gegevensverlies is, kunnen cyberaanvallen gericht op operationele technologie echter leiden tot een mogelijke sluiting of erger." De twee bedrijven zullen dus samenwerken om wat zij "digitale veiligheids- en beveiligingsbeoordelingen" noemen, aan te bieden om met name energieklanten te helpen bij het beoordelen en beheren van cyberrisico's.

Simonovich wees op de potentieel catastrofale Triton-malware, die het cyberbeveiligingsbedrijf Dragos in 2017 in Saoedi-Arabië ontdekte. Onderzoekers vonden de code onlangs bij een tweede faciliteit.

"Wat opmerkelijk was aan [de Triton]-aanval, was het gemak waarmee aanvallers van IT naar OT naar veiligheidssystemen gingen", zei Simonovich.

Dit is inderdaad een terugkerend thema in sectoren waar inbreuken op de cyberbeveiliging een potentieel veiligheidsrisico vormen. Ondanks al het onderzoek dat esoterische en vaak onwaarschijnlijke soorten aanvallen bij cyberbeveiligingsevenementen aantoont, is het gemakkelijk om het risico over het hoofd te zien van bijvoorbeeld een "air-gapped" Windows XP-computer of gedateerde malware zoals Kwampirs, een ontdekte trojan in 2015 of Conficker, voor het eerst ontdekt in 2008. Hoewel hackers bijvoorbeeld CT-scans zouden kunnen aanpassen om nepkankercellen te creëren, zoals onderzoekers hebben aangetoond, is de kans groter dat een ziekenhuis wordt getroffen door een soort aanval of een pacemakerpatiënt wordt het doelwit van een cyber-hitman. "Mensen lachen altijd als ik zeg:'Ook al beschouw ik mezelf als een cyberbeveiligingsexpert, er zijn eenvoudigere manieren om mensen pijn te doen', zegt Stephanie Preston Domas, vice-president onderzoek en ontwikkeling bij MedSec. "Al deze fraaie, op maat gemaakte exploits die zijn ontworpen tegen medische apparaten, wijzen niet op het echte probleem. Het echte probleem is dat dingen als Kwampirs nog steeds werken. Dingen als Conficker werken nog steeds.”

En dan is er WannaCry, de ransomware-aanval van 2017 die volgens Europol ongekend was in zijn omvang. WannaCry had gevolgen voor zo'n 200.000 computers en voor industriële en medische voorzieningen. Nissan moest de productie in een fabriek in het Verenigd Koninkrijk stopzetten. Renault moest de productie op meerdere locaties stopzetten. Het Duitse treinbedrijf Deutsche Bahn was het slachtoffer. Een soortgelijk stukje malware, Notpetya, veroorzaakte miljoenen dollars aan schade aan scheepvaartgigant Maersk.

Maar hoe groot de impact van de ICS-beveiliging ook was, WannaCry had ook een buitensporige impact op de Britse National Health Service, resulterend in een schade van bijna £ 100 miljoen, terwijl het leidde tot de annulering van 19.000 medische afspraken.

Het is mogelijk dat WannaCry, of een vergelijkbare aanval met goederen, kan leiden tot de dood of letsel door bijvoorbeeld een hartoperatie uit te stellen, hoewel het over het algemeen moeilijk is om een ​​direct verband te bewijzen, zei Leon Lerman, CEO van Cynerio.

Aanvallen zoals WannaCry illustreren ook het risico dat door natiestaten ontwikkelde exploits lekken en onbewust tegenstanders machtigen om de VS en bondgenoten aan te vallen. WannaCry en NotPetya gebruikten beide een exploit die bekend staat als EternalBlue en die waarschijnlijk is ontwikkeld door de Amerikaanse National Security Agency. De New York Times meldde onlangs dat Chinese inlichtingenagenten "belangrijke onderdelen van het cyberbeveiligingsarsenaal van de Verenigde Staten" gebruikten om aanvallen uit te voeren. Overigens meldt het stuk ook dat de geavanceerde door de NSA ontwikkelde Stuxnet-malware die werd gebruikt om Iraanse nucleaire centrifuges aan te vallen, schade heeft toegebracht aan Amerikaanse bedrijven, waaronder Chevron.

Domas maakt zich meer zorgen over generieke malware of simpele onvoorzichtigheid die een rol speelt bij cyberaanvallen met gevolgen voor de veiligheid. "Ik zie nog steeds te veel sensatiezucht gericht op slechteriken die patiënten schade toebrengen", zei ze. “Ik zou graag een verschuiving zien naar het inzicht dat als er schade aan de patiënt is toegebracht [als gevolg van een cyberaanval], dit waarschijnlijk per ongeluk is gebeurd. Het is waarschijnlijk een bijwerking van iets anders dat ze op het systeem probeerden te doen.”

Onderzoekers die cyberaanvallen op industriële controlesystemen onderzoeken, zien een soortgelijk patroon, zei Simonovich. "De meeste hebben een bepaald niveau van menselijke fouten in verband met de inbreuk."

Overigens is defecte softwarecode op industriële systemen en medische apparaten een onderwerp dat nauw verband houdt met zowel veiligheid als cyberbeveiliging. De recente saga over de Boeing 737 MAX onderstreept dit punt. Beveiligingsexpert Bruce Schneier schreef over het probleem:“Technisch gezien is dit veiligheid en geen beveiliging; er was geen aanvaller. Maar de velden zijn nauw verwant.”

Domas is het met dat sentiment eens en haalt bijvoorbeeld het geval aan van een ziekenhuismedewerker die een anesthesieapparaat abnormaal liet vastlopen nadat hij er een mobiele telefoon op had aangesloten. Het is gemakkelijk om het risico van dergelijke alledaagse gebeurtenissen, waarbij geen cyberaanvallers betrokken zijn, over het hoofd te zien.

Evenzo maken de soorten krantenkoppen over ICS-beveiligings- en medische apparatuurverhalen die de meeste media-aandacht krijgen, het gemakkelijk om het risico van dreiging van binnenuit over het hoofd te zien. Maar "bedreiging van binnenuit vormt de overgrote meerderheid van [aanvallen in de industriële sector]", zei Simonovich.

Om de risico's in steeds meer verbonden industriële en medische omgevingen aan te pakken, moeten de mensen die erin werken uiteindelijk duidelijk het risico begrijpen dat dergelijke verbonden systemen kunnen vormen, of ze nu opzettelijk of onopzettelijk worden misbruikt. "Ik denk dat de mensen die technisch onderlegd zijn zich bewuster worden, maar ik zie echt geen enorme toename in begrip of waardering voor de mensen die dat niet zijn."

En dan kan het onderwerp van het meten van risicobeheer duivels moeilijk zijn. Een van de bedreigingsmodellering, die een onderdeel is van risicobeheer. "Maar omdat er zoveel cyberrisico's zijn in elk systeem en je ze niet allemaal kunt oplossen", zei Domas. "Dus daarom moet je het combineren met zaken als dreigingsmodellering en uitzoeken waar je je het meest zorgen over moet maken", voegde ze eraan toe. "Eerlijk gezegd kom je vaak dingen tegen die door je rankingsysteem druppelen en je zei:'Weet je wat? Ik ben in orde met dat risico' en je doet niets om het op te lossen, ook al weet je dat er een cyberbeveiligingsprobleem is', zei Domas. “Je moet een strategie bedenken. Je kunt niet alles oplossen."