Hoe digitale transformatie elektriciteitscentrales kwetsbaar heeft gemaakt voor aanvallen

De digitale transformatie van operationele technologie (OT) voor het bewaken en besturen van fysieke processen heeft nieuwe blinde vlekken geïntroduceerd en andere vergroot, waardoor industriële controlesystemen (ICS) vatbaar zijn voor aanvallen door natiestaten.

We hebben al terroristische aanslagen gezien die prioriteit geven aan het doorbreken van een elektriciteitscentrale boven het aanvallen van een dichtbevolkt gebied met militaire wapens. Denk aan de aanval op het elektriciteitsnet in december 2015 waarbij meer dan 230.000 mensen in het westen van Oekraïne meer dan zes uur in het ongewisse bleven. Het land gaf Rusland de schuld van de aanval. Twaalf maanden later werd het elektriciteitssysteem opnieuw het doelwit, dit keer in een groot deel van de hoofdstad Kiev. Een stroomverdeler in Puerto Rico kreeg in juni te maken met een denial-of-service cyberaanval, waardoor honderdduizenden inwoners stroomstoringen kregen, voordat een brand het onderstation verwoestte.

Het is niet vergezocht om te denken dat een aanval op een natiestaat zou kunnen leiden tot een wekenlange stroomstoring in een grote stad als New York. Experts denken zelfs dat er iets in dat rijk gaat gebeuren.

Uit een door Siemens gesponsord rapport van het Ponemon Institute bleek dat 56% van de ondervraagde OT-beveiligingsprofessionals in de afgelopen 12 maanden ten minste één aanval meldde met verlies van privégegevens of een storing in hun OT-omgeving.

Hoe zijn dit soort aanvallen zo populair geworden? En wat moet er worden gedaan om een ​​veiligere OT-omgeving te creëren?

De vierde industriële revolutie

Nutsbedrijven moderniseren, op zoek naar winst in efficiëntie en productiviteit. Om die doelen te bereiken, moeten veel processen worden gedigitaliseerd en geautomatiseerd die voorheen in-house en handmatig werden gedaan. Die overgang gaat zo snel dat beveiliging een bijzaak is.

De snelle digitale revisie van industriële processen, ook wel de Vierde Industriële Revolutie genoemd, brengt meer systemen en processen online. Dit creëert inherent meer potentiële toegangspunten voor bedreigingsactoren, en met zoveel industrieën die dit tegelijk doen, is er meer kans op een meer consequente aanval.

In voorgaande decennia waren de datacenters en mainframes waarop ICS-componenten draaien 'air gapped', wat inhoudt dat de IT-systemen zich op een lokaal netwerk bevonden, maar niet verbonden waren met internet. Veel faciliteiten dachten ten onrechte dat hun systemen daardoor beschermd waren tegen aanvallen, maar ze waren nog steeds kwetsbaar voor aanvallen op locatie, zoals een 'bash bunny'-aanval die een systeem met een virus via een USB-apparaat in gevaar kon brengen.

Dit was het geval in Iran toen de kerncentrale van Bushehr werd aangevallen met de Stuxnet-worm. Geïntroduceerd in het netwerk via een flashdrive, verspreidde Stuxnet zich vervolgens om andere activa op het netwerk te infecteren, zoals de centrifuges die worden gebruikt om uraniumgas te verrijken.

Naarmate meer hulpprogramma's en OT-faciliteiten haasten om hun systemen online te krijgen, hebben ze niet de juiste middelen voor beveiliging toegewezen als een van de stappen in het proces. Hoe meer legacy-apparatuur is aangesloten en hoe meer apparaten voor het internet der dingen (IoT) worden toegevoegd, hoe groter het aanvalsoppervlak voor potentiële bedreigingsactoren.

Bedreigingsacteurs evolueren

Het probleem van lakse beveiliging wordt vergroot door de steeds creatievere en geavanceerdere manieren waarop dreigingsactoren organisaties uitbuiten. In feite zijn zij niet altijd degenen die het netwerk infiltreren.

Volgens de studie van het Ponemon Institute vertegenwoordigen bedreigingen van binnenuit de meerderheid van de OT-aanvallen. Een van de meest opvallende was lang geleden in 1999 in wat toen de Australische Shire of Maroochy was. Een ontevreden werknemer die de rioleringsbuizen beheerde, nam ontslag en maakte kort daarna misbruik van het systeem via een illegaal gekopieerd exemplaar van de controlesysteemsoftware.

Bedreigingen van binnenuit zijn niet altijd kwaadwillende werknemers; nalatige gebruikers worden vaak het slachtoffer van phishing-aanvallen, gebruiken zwakke wachtwoorden en klikken op links die hackers toegang geven. Een andere veel voorkomende vector is een derde partij of aannemer die een deur naar het netwerk opent en tot uitbuiting leidt. Bij de aanval op de toeleveringsketen van Kaseya kreeg ransomware-bende REvil via een software-update toegang tot honderden bedrijven. Derden zijn over het algemeen niet veilig en bedrijven mogen er niet vanuit gaan dat ze dat wel zijn.

Gartner is optimistisch geweest over OT-beveiliging en heeft alarm geslagen dat industriële organisaties moeite hebben om geschikte controlekaders te definiëren. Gartner zegt ook dat aanvallers tegen 2025 "OT-omgevingen zullen hebben bewapend om mensen met succes te verwonden of te doden."

Te veel bedrijven zijn de afgelopen decennia zo diep geworteld in hun processen dat ze deze hacks, inbreuken en aanvallen van krantenkoppen niet als een bedreiging voor zichzelf zien. Ze willen niet repareren wat, in hun gedachten, niet kapot is. Sterker nog, ze zien niet eens de mogelijkheid dat het kapot gaat totdat het kapot gaat.

Een nieuwe benadering voor het beveiligen van OT

Bedrijven hebben behoefte aan een goed inzicht in hun netwerken en een uitgebreid begrip tot op het niveau van de individuele activa, inclusief hoe die bronnen en gebruikers met elkaar en de netwerken als geheel in verbinding staan. Vaak zullen degenen die uiteindelijk in de details van hun netwerken graven, spookactiva vinden waarvan ze zich niet bewust waren. Dat zijn beveiligingsproblemen die je moet oplossen voordat ze worden uitgebuit.

De eerste stap die bedrijven kunnen nemen om zichzelf beter te beschermen, is door werknemers eenvoudigweg voor te lichten over de juiste beveiligingshygiëne met uitgebreide beveiligingstrainingen. Te vaak doen de bedrijven die het licht op beveiliging schijnen, dat lukraak, met een snel slide-deck en geen follow-up met werknemers over het belang van wat ze net hebben geleerd.

De hoogste prioriteit zal altijd de effectiviteit en functionaliteit van OT-machines zijn, maar als ze worden aangevallen, wat hebben ze dan voor zin? Het opleiden van werknemers over waar ze op moeten letten en hoe vaak aanvallen zijn geworden, zou een lange weg kunnen gaan.

Een oplettende medewerker heeft in maart 2021 een ramp voorkomen, toen het watersysteem in Oldsmar, Florida werd gehackt en het natriumhydroxideniveau door een bedreigingsacteur tot een gevaarlijk niveau werd verhoogd. Gelukkig was een technicus op de hoogte van de situatie, merkte de verandering op en herkende al snel dat het een aanval was en niet alleen een storing.

In oktober moesten stations in heel Iran noodgedwongen sluiten. Het land zei dat een cyberaanval de schuldige was, en gerichte door de overheid uitgegeven elektronische kaarten die de brandstofprijzen voor Iraniërs subsidiëren.

Om zich tegen dergelijke aanvallen te beschermen, hebben bedrijven volledig inzicht in hun netwerken nodig, zodat ze alle activa kunnen zien die verbonden en kwetsbaar zijn. Maar dat is slechts de eerste stap. Er zijn uitgebreide OT-beveiligingstools beschikbaar die waarschuwingen op ICS-machines geven, niet alleen voor beveiligingsacties, maar ook voor productiviteitswaarschuwingen. De juiste beveiligingscontroles bieden zichtbaarheid en reactiemogelijkheden voor het OT-netwerk zonder de dagelijkse activiteiten te beïnvloeden of substantiële wijzigingen aan het netwerk aan te brengen.

Passieve technologieën kunnen activiteit monitoren zonder op enige manier gevoelige OT-netwerken te beïnvloeden, in tegenstelling tot disruptieve, "in-line" platforms. Het juiste passieve platform kan voldoen aan hoge doorvoersnelheden en zorgen voor een minimaal aantal valse positieven.

Het gebruik van nieuwe tools kan ontmoedigend zijn voor professionele OT-managers die terughoudend zijn om bewezen processen te veranderen, maar het is beter om voorbereid te zijn dan te leven in angst voor een mogelijke aanval die wijdverbreide schade toebrengt aan zowel het bedrijf als zijn consumenten.

Elad Ben-Meir is CEO van SCADAfence.