Politieke spanningen elders in Europa kunnen ook een dreiging betekenen voor Nederlandse infrastructuur. Hackers uit het oosten hebben het steeds vaker gemunt op Westerse doelen en zijn geregeld succesvol. Data driven asset management maakt het volgens SPIE mogelijk om kwaadaardig gedrag vroegtijdig te ontdekken.
Een hackaanval op infrastructuur van Duitse windmolenfabrikant Nordex is een van de laatste wapenfeiten uit de wereldwijde cyberoorlog. Afsluiting van de bediening op afstand voorkwam veel ellende, maar een windpark op de Maasvlakte was de klos: enkele nieuwe turbines staan al maanden stil door de succesvolle hack.
Aan de hand van een analyse van het digitale patroon is de herkomst van de gebruikte aanvalsoftware te herleiden tot een hackerscollectief uit Rusland. Dat maakt het aannemelijk dat het gaat om een hack met een politieke achtergrond. Europa wil van Russisch gas af, dus laat Poetin alternatieve Westerse bronnen van energie saboteren. “Wat er precies achter zit, zullen we waarschijnlijk nooit horen, want het kan ook puur om losgeld gaan”, zegt Robbert de Ridder van SPIE. “Maar het geeft wel aan hoe kwetsbaar onze infrastructuur is. En dat we daar hoognodig meer aan moeten doen.” Dagelijks worden wereldwijd duizenden hackaanvallen uitgevoerd. Als onderdelen die zorgen voor de besturing van civiele kunstwerken zoals bruggen, sluizen en gemalen worden gehackt kan dat verregaande gevolgen hebben.
Voor de eigen organisatie gebruikt SPIE een ‘zero trust model’: alle poorten staan dicht voor onbekenden. Dat is elders zeer waarschijnlijk niet zo, verzekert Leon van der Valk, chief information security officer van SPIE Nederland. Bedrijven en organisaties als VDL, Mediamarkt, Universiteit van Maastricht en NWO werden recentelijk platgelegd: zelfs de back-upsystemen werden geïnfecteerd. “Als je dan geen losgeld betaalt, moet je feitelijk je bedrijf opnieuw digitaal opbouwen.”
Ook onder de vele objecten die SPIE beheert voor relaties, hebben de nodige niet de laatste software-updates gehad. Sommige zijn tientallen jaren oud. Vooral die zijn kwetsbaar als de bediening centraal wordt aangestuurd. Met geautomatiseerde scripts verkennen hackers voortdurend waar de zwakke plekken zijn. Achter hackaanvallen zitten vaak professionele bedrijven. “Wanneer je gehackt bent, moet je niet gek opkijken als je via een helpdesk in je eigen taal te woord wordt gestaan voor hulp bij het overmaken van geld”, zegt Van der Valk. “Afpersing of verkoop van gestolen gegevens via het darkweb is een businessmodel.”
Pomp
Kun je elke dreiging voorkomen? “Nee, honderd procent beveiliging bestaat niet. Maar je kunt wel heel veel doen om het moeilijk te maken door de cyberweerbaarheid te vergroten.” SPIE pleit voor data driven asset management van vitale infrastructuur, maar dan wel mét extra ingebouwde veiligheid tegen hacking. Nu al plaatsen monteurs bij onderhoudswerkzaamheden aan beweegbare kunstwerken vaak sensoren en software om het gedrag van bijvoorbeeld een pomp of motor te monitoren. Het maakt preventief onderhoud makkelijk.
Artificial Intelligence (AI) kan namelijk haarfijn opmerken of een pomp een ander geluid gaat produceren als gevolg van bijvoorbeeld slijtage – het kan betekenen dat een as of lager in storing kan gaan. Tijdige vervanging kan erger voorkomen. Probleem is alleen dat de miljarden ‘domme’ sensoren die in de afgelopen jaren zijn geplaatst op allerlei installaties ook hackbaar zijn.
Datadiode
Maakt het IoT en online aansturing van infrastructuur niet te riskant? Nee, zegt SPIE. De technisch dienstverlener ondervangt het probleem met firewalls én door niet direct te communiceren naar installaties, maar data te onttrekken door er bijvoorbeeld een datadiode tussen te plaatsen voor intelligente segmentering en scheiding van verkeersstromen. Intelligentie die wordt toegevoegd om het gedrag van de installatie te voorspellen, kan ook het sensorsignaal analyseren. Het zorgt voor een extra slot op de deur als iemand de bediening van een brug of sluis probeert over te nemen. De nieuwste generatie sensoren is bovendien slimmer: je kunt er zelfs IP-adressen en beveiligingssoftware op zetten. Zijn die onhackbaar? Van der Valk: “Nee, maar als je de karakteristieke signalen van die sensors begrijpt en actief monitort, is de kans veel kleiner.”
Het is natuurlijk ook belangrijk dat de beheerder een goed wachtwoord op de wifi zet en het bedrijf de maatregelen integreert in het veiligheidsbeleid. “Als dat er tenminste is”, tekent Van der Valk aan. “De meeste bedrijven of organisaties hebben wel een IT-beleid, maar geen Operational Technology (OT) securitybeleid dat alle aspecten van industriële automatisering integreert in de bedrijfsvoering. Misschien is bewustwording op alle lagen van een organisatie, van directie tot en met de werkvloer, wel de belangrijkste taak voor de toekomst.”
OT-securitybeleid
Een Operational Technology (OT)-securitybeleid beschrijft de visie van een bedrijf of organisatie op de beveiliging van systemen en omschrijft de betrokken infrastructuur en personen. Het geeft ook richting aan de aanschaf, installatie en integratie van apparatuur en onderhoud en bewaking daarvan, conform de IEC 62443 leidraad. Verder is het toegangsbeleid erin omschreven. Privacybewaking in het kader van AVG-wetgeving is ook een onderdeel, ter bescherming van persoonsgegevens.
