Securityspecialisten luiden de noodklok:
Industriële automatisering zo lek als een mandje?


Door: Mirjam Hulsebos

“Hole found in protocol handling vital national infrastructure”, zo kopten diverse Amerikaanse kranten en websites onlangs nadat het Spaanse beveiligingsbedrijf Neutralbit een lek in procesautomatisering naar buiten bracht. Terwijl bedrijven bakken geld uitgeven aan het beveiligen van hun front en back office, zijn machines en installaties vaak relatief eenvoudig toegankelijk voor iedereen die kwaad wil.

Het Amerikaanse adviesbureau Byres Security heeft becijferd dat er alleen in Amerika al zo’n vier- tot vijfhonderd aanvallen per jaar plaatsvinden op procesautomatiseringssystemen. Een greep uit zijn incidentendatabase leert dat het Australische Merseyshire afvalwaterreinigingsbedrijf te maken kreeg met een hacker die inbrak in SCADA, een systeem voor het uitwisselen van meet- en regelsignalen van verschillende machines in industriële systemen. Hij wilde op die manier de lokale autoriteiten onder druk zetten om hem 100.000 dollar per jaar te betalen. Bij een Amerikaans bedrijf in dezelfde sector zijn hackers erin geslaagd om de procesautomatiseringssystemen binnen te dringen en zo vervuild water in het drinkwatersysteem te brengen. Behalve voor hackers zijn SCADA-systemen ook een relatief makkelijke prooi voor virussen. Het Amerikaanse beveiligingsbedrijf Byres Security heeft er weet van dat de Slammer worm is binnengedrongen in de industriële systemen van een energieleverancier, een kernenergiecentrale en een boorplatform in de Golf van Mexico. En het Blaster-virus legde delen van de productie van Corus plat (zie kader). Als hackers en virussen erin slagen om deze systemen te saboteren, dan kunnen terroristen dat ook. Een overzicht van de oorzaken en gevaren.

Van veldbus naar Microsoft
Wat is er aan de hand? Tot het eind van de vorige eeuw waren de meeste procesautomatiseringssystemen maatwerk: veldbusnetwerken die zo ‘vreemd’ waren dat geen virus of hacker er iets mee kon. Ze waren bovendien geheel gescheiden van de rest van de automatisering. Daarom wordt er van oudsher geen encryptie toegepast voor de communicatie tussen verschillende devices en wordt kritische informatie zoals wachtwoorden en netwerkadressen gewoon in plain text opgeslagen. Om de toegang tot het systeem in de fabriek zo gemakkelijk mogelijk te maken, hebben sommige systemen helemaal geen authenticatie, en andere een groepsauthenticatie waarbij alle operators gebruikmaken van dezelfde username en wachtwoord. Het bijhouden van logs is in veel industriële omgevingen geen gewoonte, niet van de personen die toegang hebben gehad en evenmin van incidenten.
Tegenwoordig draaien de meeste SCADA-systemen op een Microsoft-platform en zijn gekoppeld aan het LAN en dus via via aan internet. Dat is handig, want daardoor is het mogelijk om op afstand processen te monitoren en waar nodig bij te sturen.
“Iedere eerstejaars student informatica kan zien dat er dan additionele beveiligingsmaatregelen nodig zijn, maar toch worden die in de praktijk zelden getroffen”, zo zegt Henk van der Heijden, managing director Benelux bij beveiligingsadviesbureau Comsec. “Wij komen bij veel grote Nederlandse bedrijven over de vloer en merken dat ze zich nauwelijks bewust zijn van de gevaren. En zijn ze zich dat wel, dan zijn er heel weinig producten op de markt om standaardproblemen op te lossen.”
Over de oorzaken is hij duidelijk: informatiebeveiliging was domweg nooit een issue voor SCADA-specialisten. Van der Heijden: “Je ziet dat bedrijven die grote risico’s lopen – de chemische en petrochemische industrie, energiebedrijven et cetera – hun fysieke beveiliging over het algemeen goed op orde hebben: toegangscontrole, camerabewaking, noem maar op. Daar liepen ze van oudsher gevaren. Ze zijn zich alleen niet bewust dat door de koppeling van hun procesautomatisering aan andere bedrijfssystemen deze nu indirect ook met internet verbonden zijn. Daarmee hebben ze de achterdeur wagenwijd open gezet.”

Onzorgvuldig
Naast SCADA vormt OPC een groot gevaar, een protocol dat overal in onze vitale infrastructuur wordt gebruikt: energiecentrales, chemische en petrochemische bedrijven, afvalverwerkingsinstallaties, kernreactoren, de spoorwegen, maar ook in vrijwel alle industriële bedrijven. OPC regelt de uitwisseling van gegevens tussen verschillende procesautomatiseringsapplicaties die op Microsoft-platformen draaien. Velen denken dat OPC alleen het dataverkeer op de fabrieksvloer aanstuurt. Daar is het in essentie wel voor ontworpen, maar in de praktijk gaat de invloed verder. Byres Security heeft samen met onderzoeks- en consultancyfirma Digital Bond een onderzoek gedaan onder 113 OPC-gebruikers bij Fortune 500-bedrijven. Meer dan een kwart van de respondenten gaf aan dat als OPC zou uitvallen, de fabriek plat komt te liggen. Ongeveer 20% zegt dat OPC in het gehele bedrijfsnetwerk (LAN) wordt gebruikt (en daardoor dus indirect is verbonden met internet). 12% gebruikt OPC zelfs via internet. Vrijwel geen van de bedrijven past daarbij encryptie toe.
Ook blijkt dat in 51% van de gevallen meerdere operators dezelfde gebruikersnaam en wachtwoord gebruiken. Sterker, dit wordt in de meeste installatiehandleidingen van leveranciers aanbevolen om het gebruiksgemak te vergroten. In 53% van de implementaties draait een OPC-server op een hostplatform dat gebruikmaakt van ofwel een verouderd operating system (Windows NT, SP4) ofwel op een OS waarop niet alle patches zijn uitgevoerd, zoals Windows XP SP2.

Wat is het risico?
Niet gek dus dat een hacker of worm vrij eenvoudig kan binnendringen en productieprocessen kan stilleggen. Nico van Veen van Control-IT Industrial Automation predikt dan ook vooral het motto ‘bezint eer ge begint’: “Je moet met de beveiliging van de systemen die operators gebruiken net zo omgaan als met die van de financieel directeur. Als je omwille van gemak beveiligingsmaatregelen gaat omzeilen, dan moet je natuurlijk ook niet vreemd opkijken dat er vroeg of laat iets mis gaat.”
Nu valt de schade die SCADA kan aanrichten nog enigszins mee. Dat kan er hooguit voor zorgen dat een fabriek gecontroleerd plat gaat, iets dat uiteraard meteen opgemerkt zou worden.Geld kost dat natuurlijk wel, maar gevaarlijk wordt het niet. “SCADA kan bijvoorbeeld niet een ketel op vol vermogen opstarten als er geen water in zit”, zegt Van Veen. Dat is namelijk een traject dat door een process control-device wordt aangestuurd. Dat device krijgt de data van OPC, en daarom kan OPC wel voor dergelijke bedreigende situaties zorgen. “Je moet goed weten wat je doet. Als je iets niet op afstand hoeft aan te sturen, doe dat dan ook niet. Je ziet dat energiebedrijven en waterbedrijven niet heen kunnen om besturen op afstand, en dat zijn dan ook de bedrijven waar het het vaakst mis gaat.”

Conclusie
Waar security in veel branches topprioriteit is, is het besef van de risico’s tot veel industriële bedrijven nog niet doorgedrongen. Ook zien leveranciers kennelijk geen markt in dit nog relatief onontgonnen terrein. De OPC Foundation werkt met Microsoft aan een nieuwe versie van OPC dat gebaseerd is op het meer veilige .NET en SOA. Dat betekent een forse stap voorwaarts, maar het zal nog lang duren voordat alle OPC-applicaties zijn gemigreerd.
Wees u dus bewust van de gevaren en doe er iets aan.

Extra 1
Blackout door hackers?
In Amerika gaan er geruchten dat de grote energiecrisis in Californië vorig jaar is veroorzaakt door hackers die de systemen van de energiemaatschappijen zijn binnengedrongen. Van der Heijden kan deze geruchten niet bevestigen en wil geen paniek zaaien, maar zegt: “Het zou mij niet verbazen. Technisch gezien is het zeker mogelijk. Het uitvallen van de energievoorziening is natuurlijk heel ernstig, maar wat denk je van de risico’s in een gebied als de Botlek. Als terroristen kwaad willen, kunnen ze daar heel wat ellende aanrichten. Ik vraag me af of de overheid dit soort gevaren ziet. Ik denk het niet, of ze houden het bewust onder de hoed. We spelen met vuur, de risico’s zijn heel groot, ook in Nederland.”

Extra 2
Corus scheidt industriële IT van KA
Richard van den Hoogen is informatiemanager IT-infrastructuur bij CORUS IJmuiden: “In de jaren ’90 was onze productieomgeving volledig gescheiden van de kantooromgeving, maar doordat integratie van deze netwerken technisch mogelijk werd en voor eindgebruikers wenselijk was, gebeurde dat begin deze eeuw ook meer en meer. Totdat in 2003 het Blaster-virus delen van onze productie stillegde. We zijn toen gestart met een programma om productie- en kantooromgeving volledig te ontkoppelen. Daar zijn we nu een heel eind mee op dreef. In een aantal fabrieken is die scheiding al gerealiseerd, in een aantal andere zijn we druk doende dit op eenzelfde manier in te richten. De scheiding wordt gerealiseerd door tussen de beide netwerken een datawarehouse te plaatsen waar alle data in staat. Vanuit de kantooromgeving kun je niet verder dan het datawarehouse, vanuit de fabrieksomgeving evenmin. In de fabrieken staan op de werkplekken dan twee pc’s: eentje voor de industriële systemen en eentje voor applicaties als e-mail en Office.”

Extra 3
Risico-analyses en heldere procedures kern van beveiligingsbeleid DSM
Luc Dupuits is Corporate ICT Security Officer bij DSM: “In theorie is het niet zo moeilijk: je moet met de beveiliging van industriële systemen net zo omgaan als je doet met je financiële omgeving of met researchresultaten. In de praktijk zie je dat de technische mensen in fabrieksomgevingen van oudsher niet gewend zijn om met externe risico’s om te gaan. Dat moeten ze nog leren. Ik geloof daarom vooral in goede procedures en risico-analyses om de zwakke plekken inzichtelijk te maken, en niet in het toevoegen van ‘meer ijzer’, zoals veel Amerikaanse bedrijven doen. Natuurlijk is het belangrijk om aan de techniekkant maatregelen te treffen, en dat doen we ook door zo min mogelijk verbindingen tussen beide omgevingen te leggen en verkeer van beide richtingen met firewalls streng te controleren. Maar verder zit het vooral in procedures: we geven mensen alleen vanuit huis toegang tot het industriële netwerk als dat noodzakelijk is en dan alleen via VPN met een laptop van DSM. Bovendien kunnen we dat verkeer loggen zodat we er controle op hebben. Uiteindelijk is het – net als met de beveiliging van kantoorsystemen – een balanceeract. We bepalen per segment de risicoklasse en nemen afhankelijk daarvan beveiligingsmaatregelen.”

Dit artikel verscheen in juli 2007 in het tijdschrift IT Executive.
Licentie: cc by nc