Er zijn veel verschillende organisaties en bedrijven die elk op hun eigen manier SCADA / ICS systemen gebruiken of toepassen in hun primaire (productie)proces of producten. Denk hierbij onder meer aan (massa)productiebedrijven, bediening van bruggen en sluizen, elektrische auto’s, apparatuur op de intensive care, maar ook pacemakers en draadloze insulinepompen. Ook IoT (Internet of Things) gaat hierin een steeds grotere rol spelen.
Het verschil met risico’s bij kantoorautomatisering is dat het risico op onjuist aansturen van deze apparaten, bijvoorbeeld door een hack, daadwerkelijk slachtoffers kan geven. Dat dit geen fictie is hebben we inmiddels kunnen zien aan hacks op energiebedrijven, auto’s, robots en andere SCADA omgevingen. Het is niet meer de vraag of hierdoor slachtoffers gaan vallen maar wanneer als gevolg van een hackaanval.
Dat is ook wat mijn visie ‘waar de fysieke en digitale wereld samenkomen’ uitdraagt. Geen uitval van kantoorcomputers meer, of dataverlies, maar daadwerkelijke risico’s bij opzettelijk foutieve aansturing van fysieke machines waarbij slachtoffers kunnen vallen. Ik verwacht dat ons dat binnen afzienbare tijd gaat overkomen.
In de praktijk zien we dat er nog veel nodig is om SCADA omgevingen beter beveiligd te krijgen. De wereldwijde aanval met ransomware waarbij in de Rotterdamse haven overslagsystemen stil kwamen te liggen hebben wij nog scherp op het netvlies. Afgelopen week vermeldde Binnenlands Bestuur in een artikel dat de beveiliging van sluizen en gemalen van de waterschappen nog te wensen overlaat.
Veel partijen ontbreekt het aan inzicht in de complexiteit van de problematiek. Ook weten ze vaak niet welke stappen ze moeten nemen om op een kostenefficiënte manier de dreigingen op SCADA omgevingen het hoofd te bieden.
Wij hebben dit uit onze eigen praktijkervaring onderkend en hebben daarom een poster ontwikkeld die als praatplaat kan dienen om cybersecurity voor SCADA omgevingen te bespreken. De poster schetst een beeld van de risico’s voor SCADA en de gevolgen voor de organisatie, maar ook een aantal eenvoudige stappen die je kunt nemen om die risico’s weg te nemen. Tenslotte geeft de poster een beeld van toekomstige ontwikkelingen zodat partijen daar tijdig op kunnen anticiperen met passende beveiligingsmaatregelen.
In de poster hebben wij onze praktische ervaringen die wij bij verschillende partijen hebben opgedaan verwerkt. Eén van deze partijen is Rijkswaterstaat die wij in het project IMPAKT de afgelopen drie jaar hebben ondersteund bij het beter op orde krijgen van cybersecurity voor bruggen, sluizen, keringen, verkeersposten en tunnels.
Deze bijdrage is geschreven door Koos van der Spek MSc CISSP CPP CISA, management consultant bij VKA en verscheen eerder op https://www.vka.nl/blog/scada-systemen-kwetsbaar-cybersecurity-aanvallen.