Als de brug spontaan op hol slaat

Controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd, blijken zeer kwetsbaar. Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect. De problemen nemen alleen maar toe, zeggen securityexperts.

Controlesystemen eenvoudig te hacken

Met speels gemak krijgt de hacker via de zoekmachine SHODAN op het Internet of Things toegang tot een rioleringssysteem van een grote gemeente. De chief information security officer (ciso) van de desbetreffende gemeente schrikt zich een hoedje. Er wordt direct van alles in werking gesteld om het gat te dichten, maar daarvoor is een ‘patch’ nodig van de leverancier. Die moet eerst nog ontwikkeld worden. De ethische hacker wordt na het tekenen van een geheimhoudingscontract bedankt voor zijn werk, maar het duurt uiteindelijk nog een half jaar voordat het gat is gedicht.

Ciso’s, experts en wetenschappers herkennen het zojuist genoemde voorbeeld dat door één van de ciso’s met Binnenlands Bestuur en AG Connect wordt gedeeld. Het merendeel stelt zelfs dat dat problemen met dit soort controlesystemen bij overheden groter worden. Dat zit hem met name in de vrijgave van patches die niet tijdig voorhanden zijn. De achterstand bij overheden is groot en veel systemen werden nog voor de komst van internet gebouwd. Ze zijn daardoor een blok aan het been voor de verantwoordelijke ambtenaren geworden.

Het ‘SCADA-probleem’ is groot maar wordt tussen alle spectaculaire ransomware en DDOS-aanvallen onderschat. SCADA, kort voor Supervisory Control and Data Acquisition Software, is software waarmee bijvoorbeeld makkelijk meetgegevens worden uitgewisseld. Een overkoepelende term voor verschillende van deze controlesystemen is ICS (Industrial Control Systems oftewel industriële controlesystemen). Bij alle overheden zijn SCADA-systemen te vinden die toezicht houden op kritieke industriële processen. Bij een gemeente gaat het al gauw om duizenden systemen zoals verkeerslichten en de besturing van bruggen en sluizen.

Ernstig
Provincies hebben er vermoedelijk nog meer, zegt Jeroen Schipper van gemeente Den Haag. De gevolgen van een hack kunnen bij zo’n systeem ernstig zijn. Rioolgemalen die buiten werking treden, bruggen die op hol slaan of verkeerslichtsystemen die door kwaadwillenden worden bestuurd. Met name de oudere systemen geven problemen. Sommige zijn twintig of misschien wel dertig jaar geleden gebouwd. Wat ciso’s merken is dat het doorvoeren van updates daardoor erg traag gaat en lastig is. ‘Er is niet altijd rekening gehouden met een regelmatige update. In het geval van ICS en SCADA-systemen zal deze soms op locatie moeten worden gepatcht’, zegt Schipper.

Het verhaal van Schipper wordt herkend door andere ciso’s. Om veiligheidsredenen willen organisaties meestal niet bij naam worden genoemd. ‘Het is algemeen bekend dat de bedrijven die deze systemen aanbieden een achterstand hebben als het gaat om informatieveiligheid’, vertelt Leon Post, ciso bij de gemeente Hardenberg. ‘Dat is simpelweg nooit hun core business geweest. Ook wij hebben daarmee te maken. Gebouwen en de beheerssystemen gaan vaak langer mee dan software die hierbij geleverd wordt.’ Wat Post betreft hebben overheden een taak om veiligheidsmaatregelen te nemen, goede afspraken te maken en standaarden af te dwingen.

‘Ook moeten we ons afvragen of deze systemen wel aan het internet moeten worden gehangen.’ Een andere ciso vertelt dat er momenteel hard wordt gewerkt om een achterstand weg te werken: bij een inventarisatie kwamen diverse kwetsbaarheden bovendrijven.

Groot probleem
Een ciso werkzaam bij de rijksoverheid spreekt van een groot probleem dat met name niet voldoende prioriteit krijgt bij leveranciers en fabrikanten. ‘Het is vaak te duur om een proces af te sluiten voor een update. Daarnaast zijn veel systemen niet ingericht om veelvuldig te worden voorzien van nieuwe firmware. Vaak is ook fysieke toegang nodig en in grote processystemen is dat niet altijd mogelijk zonder hoge kosten.’

Vroeger werden de systemen niet met beveiligingssoftware verscheept. ‘Nu vaak wel’, aldus ethisch hacker Wouter van Dongen, ‘maar die wordt niet geüpdatet.’ Hij heeft het meegemaakt dat bij een waterschap een SCADA-systeem op Windows XP draaide waarbij de firewall al meer dan tien jaar was uitgeschakeld. Het systeem moest offline voor een update, wat lastig is, en niemand wist hoe het geconfigureerd was. ‘Tegenwoordig zijn er wel schaduwsystemen, die op zo’n moment de taken even kunnen overnemen, maar in de praktijk groeien die systemen uit elkaar. Misschien wordt er niet goed gedocumenteerd. En dan hebben mensen zoiets van: laten we er maar vanaf blijven want dan wordt het probleem nog groter.’

Cybersecurityadviseurs proberen het onderwerp meer bij bestuurders op de kaart te krijgen. Zo ook Berenschot-adviseurs Reterink en Kenter, die in 2019 een whitepaper erover schreven. Volgens Reterink groeien de risico’s rondom industriële controlesystemen omdat met het Internet of Things (IoT) steeds meer apparaten op internet worden aangesloten. ‘Er komen meer IoT-toepassingen en de industrie groeit steeds meer toe naar gekoppelde systemen. Cv-installaties, laadpalen en dergelijke zijn straks overal verbonden met backoffices die negen van de tien keer op internet staan en dus kunnen worden gehackt. De afhankelijkheid van deze systemen wordt steeds groter en daarmee ook de mogelijkheid voor hackers om er financiële voordelen mee te behalen door middel van ransomware.’

Gevolgen
Wanneer hackers SCADA-systemen in handen krijgen, kan dit grote gevolgen hebben. Ethische hackers Wesley Neelen en Jeroen van Duijn lieten de wereld in 2020 tijdens een demonstratie op hackersevenement DEF CON zien hoe zij toegang wisten te krijgen tot de bediening van verkeerslichten van een Nederlandse gemeente. Helaas een behoorlijk reëel scenario. KPN Nederland nam de situatie rondom ICS en SCADA-systemen in maart 2021 nog onder de loep. Daarbij werden zo’n drieduizend kwetsbaarheden in industriële omgevingen aangetroffen, waarvan tweehonderd zeer ernstig van aard.

Jordi Scharloo, security researcher bij KPN, blikt daarop terug. ‘De aanleiding van ons onderzoek was een gehackte waterzuiveringsinstallatie in de VS. Hackers konden daarmee al bijna een gevaarlijke dosis van een bepaald goedje in het water opschroeven. Het is één van de vele voorbeelden van gehackte industriële controlesystemen. De schrikbarende zaken zoals deze komen bovendrijven, maar heel veel blijft onder de radar.’

Het gaat niet alleen om de kwetsbaarheid van een SCADA-systeem zelf. Via een kwetsbaar systeem kan een hacker verder komen. De beveiliging van de airco in een gemeentehuis biedt mogelijkheden tot volgende stappen. Zoals een medewerker, die kan worden misleid, en zo toegang geeft tot andere systemen. Zo bouwt een hacker het stapje voor stapje op. Deze problemen komen overal ter wereld voor. Eén van de bekendste gevallen rondom gehackte SCADA-systemen stamt uit 2010, toen het kernprogramma van Iran ernstige vertraging opliep omdat centrifuges van een kerncentrale in Iran op hol sloegen nadat aanvallers toegang kregen met behulp van de Stuxnet-malware. Een ander bekend en actueler voorbeeld is een via een SCADA-systeem lamgelegde Amerikaanse oliepijplijn waarmee 2,5 miljoen vaten olie worden vervoerd.

Volgens Scharloo geldt over het algemeen: hoe welvarender het land, hoe meer er geïnvesteerd wordt in beveiliging en hoe meer deze op orde is. Maar ook in Nederland zijn er volgens Scharloo voorbeelden van systemen die makkelijk online zijn te vinden. ‘Voorbeelden waarvan ik denk: jongens, jongens, jongens. Je zou deze systemen heel makkelijk in ieder geval online ontoegankelijk kunnen maken. En dan heb ik het nog niet over de standaardwachtwoorden en de vaak verouderde versies die nog draaien.’

Lastig
Volgens Scharloo is het lastig om een generieke oplossing te vinden voor problematiek rondom SCADA en ICS. ‘Er zijn in Nederland systemen op internet te vinden die daar niet te vinden zouden mogen zijn. Met striktere wetgeving en normering kan nog meer winst behaald worden. Ik kijk dan onder meer naar de ISO-normering 2760. Nu zijn protocollen vaak ongeautoriseerd, de informatie wordt online al weggegeven en is soms zelfs te vinden in Google of met SHODAN.

Een overheid die zo’n kwetsbaarheid heeft moet deze in ieder geval uit het zicht halen van internet. Dat scheelt al een hoop. Zorg ook dat iedereen die een kwetsbaarheid vindt het makkelijk kan melden: responsible disclosure. En wat ik helaas nog vaak tegenkom zijn standaardwachtwoorden. Bij inkoopgesprekken kunnen overheden tegenwoordig afdwingen dat deze niet mogen worden gebruikt.’

Maar inkoopgesprekken met SCADA- en ICS-leveranciers zijn geen een-tweetje. Een bemoeilijkende factor is volgens CISO Schipper de beperkte markt. ‘Er zijn één of twee grote leveranciers die bijvoorbeeld verkeerssystemen leveren. Uiteraard kun je met leveranciers afspraken maken over ISO-normeringen of de Baseline Informatiebeveiliging Overheid (BIO), maar wanneer je wil overstappen is er niet snel een andere leverancier gevonden die van de ene op de andere dag even alle verkeerssystemen van een gemeente vervangt. Dat maakt het probleem complexer.’

Patchen en updaten van systemen gaat vaak moeilijk, constateren ook Reterink en Kenter. ‘Men installeert de systemen en vergeet ze daarna een beetje. Bij bepaalde machines wordt nog steeds Windows XP gebruikt, bijvoorbeeld. Vaak vinden mensen het doodeng om eraan te komen. Upgraden kan enorm veel gevolgen hebben. Meestal geldt: als je ervan afblijft, werkt het wel. Eigenlijk zou iedere organisatie moeten beginnen met patchen naar een hogere versie van Windows en een beveiligde communicatie met SCADA. Maar dit wordt vaak onhandig gevonden: je moet vanaf dat moment extra handelingen gaan verrichten bij het beheer.’

Kenter vult aan: ‘Wat het ook lastig maakt is dat de systemen vaak niet kunnen worden uitgezet omdat het gaat om kritieke processen voor het bedrijf. Bij een patch is een korte periode uitzetten vaak nodig. En dat kan hele grote gevolgen hebben.’

Fysieke schade
Siemens, één van de grootste leveranciers is op gebied van SCADA-systemen bij de overheid, merkt dat updates en patches voor SCADA-systemen vaak trager worden uitgevoerd in vergelijking met die voor ict-systemen. ‘Siemens stelt de patches in meeste gevallen kosteloos beschikbaar’, schrijft het bedrijf in een reactie. Maar vanwege eisen zoals continue beschikbaarheid ‘worden patches en updates in de praktijk niet altijd op regelmatige basis uitgevoerd’. Ook wordt er over het algemeen minder geïnvesteerd in vergelijking met ict-systemen. Siemens adviseert om een duidelijk beleid hiervoor te definiïeren (net als in de ict-wereld gebruikelijk is), met risicoanalyses, heldere verantwoordelijkheden, beschikbare budgetten en een duidelijk plan.

Er is werk aan de winkel, concludeert ethisch hacker Van Dongen. Hij heeft verschillende testen uitgevoerd bij waterschappen en het is hem altijd gelukt om de volledige controle te krijgen. ‘Als het misgaat met SCADA-systemen dan is het misschien wel een groter probleem dan ransomware. Door ransomware kan een organisatie stilliggen, maar als bij waterschappen alle systemen verkeerde lezingen geven dan is er meteen fysieke schade.’

Binnenlands Bestuur en AG Connect spraken voor dit achtergrondverhaal de afgelopen maanden met wetenschappers, cybersecurityexperts van KPN en Berenschot en dertien ciso’s van diverse overheden.