De 3 grootste security uitdagingen in de vitale infrastructuur en hoe jij ze op kunt lossen

Gekeken naar de informatiebeveiligingsincidenten is er al een langere tijd een trend te zien. Vaak gaat in eerste instantie fout bij:

1. Verouderde software;
2. Slechte wachtwoorden en hergebruik;
3. Handelingen van eindgebruikers.

De oorzaak van de meeste securityincidenten zijn vaak te herleiden tot één van deze drie punten.

Het ligt voor organisaties dus het meest voor de hand om te investeren in deze punten om zo de effectiviteit van hun informatiebeveiliging te vergroten. Je wilt de problemen op deze gebieden zo goed mogelijk oplossen of voorkomen, maar dat is makkelijker gezegd dan gedaan.

“The basics are hard” geldt voor informatiebeveiliging als een waarheid als een koe. Zeker als je naar de systemen kijkt die te maken hebben met de vitale infrastructuur. Dit komt omdat de systemen, netwerken en applicaties voor de vitale infrastructuur niet met hetzelfde idee ontworpen worden als kantoornetwerken- en applicaties. Denk hierbij aan IoT (Internet of Things), SCADA (Supervisory Control of Data Acquisition) en ICS (Industrial Control Systems) systemen.

Voor de vitale infrastructuur moeten de (industriële) systemen, netwerken en applicaties tien tot dertig jaar operationeel kunnen zijn zonder grote wijzigingen en investeringen. Ook moet er rekening gehouden worden met de kosten. Het feit dat iets tot de vitale infrastructuur behoort, betekent niet dat er ongelimiteerde budgetten zijn.

Een windpark, kerncentrale, centraal treinstation, waterkering en/of sluis wil je niet iedere paar jaar moeten vervangen; die ontwerp, bouw en exploiteer je voor vele jaren. Maar de techniek gaat snel en mensen en organisaties steken het liefst zo min mogelijk energie en geld in iets als dit niet als noodzakelijk gezien wordt. Met dit gegeven in combinatie met de eerder benoemde ‘drie oorzaken’ kom je al snel uit op een aantal unieke uitdagingen voor de vitale infrastructuur.

Bedrijven gaan door met de ontwikkeling van hun producten, terwijl de vitale ‘industriële’ hardware die bestuurd moet worden in een installatie hetzelfde blijft. Bedrijven gaan failliet of worden overgenomen en producten worden uitgefaseerd. Het is al lastig genoeg om je mobiele telefoon regelmatig van updates te voorzien, laat staan een turbine besturingssysteem dat gebouwd is op hardware van twintig jaar geleden.

Om een lang verhaal kort te maken; wanneer je een installatie ontwerpt voor tien tot dertig jaar, is het gewoon niet realistisch dat je de software die gebruikt wordt al die tijd up-to-date kan houden. Ondertussen gaat de techniek wel verder en zie je dus ook dat oude systemen op nieuwe techniek worden aangesloten. Soms zonder goed na te denken over de gevolgen en dat het de complexiteit van het hele systeem vergroot.

Een monteur die op zeven verschillende systemen moet inloggen die samen een sluis besturen, welke kapot is en de scheepvaart negatief beïnvloed, wil niet voor ieder los systeem een uniek wachtwoord van zeventien karakters moeten invoeren. Overal, ook binnen de vitale infrastructuur, willen mensen uiteindelijk gewoon en zo eenvoudig mogelijk hun werk kunnen doen.

Iedereen snapt dat wachtwoorden nodig zijn om de toegang tot systemen te beveiligen. Echter, als je dagelijks tientallen keren unieke complexe wachtwoorden moet invoeren om gewoon je werk te kunnen doen, gaan mensen manieren zoeken om de opgeworpen drempel te verlagen. Men gebruikt dan slechte wachtwoorden die het eenvoudiger maken om snel aan het werk te kunnen, maar het daarmee ook eenvoudiger te raden maken; bedrijfs-, onderdeel-, locatie of functienaam zijn voorbeelden van wachtwoord types die het voor de gebruikers maar ook voor een aanvaller erg makkelijk maken.

Mensen die werkzaam zijn in de vitale infrastructuur hebben over het algemeen een enorm groot verantwoordelijkheidsgevoel. Ze weten als géén anders dat hun werk impact heeft op anderen. Het zijn echter vaak geen mensen met een security achtergrond en ze missen daardoor de ‘security’ kijk op hun rol en activiteiten.

Een voorbeeld van gebruikers die werkzaam zijn in de vitale infrastructuur en zeer belangrijk werk doen zijn monteurs. Deze mensen staan dag en nacht gereed om bij uitval of problemen van zeer belangrijke installaties direct aan de slag te gaan. Op dat moment is het voor de monteur vooral belangrijk dat het probleem zo snel mogelijk wordt hersteld. Als je dan drie keer opnieuw moet inloggen op locatie omdat je VPN-verbinding uitvalt door de slechte ontvangst, raak je snel gefrustreerd en genegen om ‘shortcuts’ te gebruiken om je werk te kunnen doen.

Daarnaast is de vitale infrastructuur een gewild doelwit voor kwaadwillende die gretig gebruik maken van het feit dat mensen vaak eenvoudiger en goedkoper te manipuleren zijn dan een technisch systeem. Een goed geformuleerde e-mail op de laptop van een monteur kan een kwaadwillend persoon al snel toegang verschaffen tot de vitale infrastructuur, wanneer de gebruiker verleid wordt om een bestand te openen en uit te voeren of zijn inloggegevens af te staan. Hoe beter een omgeving technisch afgeschermd is, hoe groter de kans is dat een kwaadwillende zich zal richten op een gebruiker van die omgeving.

Zoals H.L. Mencken al zei: “For every complex problem there is an answer that is clear, simple and wrong.”

Complexe problemen zoals hierboven beschreven, zeker als je deze ook nog combineert, kennen helaas geen eenvoudige antwoorden. De échte uitdaging zit hem dus in het situationeel en tijdig nemen en toepassen van de juiste maatregelen en middelen en het constant opnieuw beoordelen van de actuele risico’s om te kijken of er nieuwe, extra maatregelen getroffen moeten worden of niet. Met een focus op proportionaliteit en effectiviteit.

Scheiden van functionaliteiten

Hoe meer er in het eerste ontwerp en tijdens de implementatie van een systeem rekening is gehouden met deze uitdagingen, hoe beter de risico’s beheerst kunnen worden; vooral met een focus op (system) live cycle management en onderhoudbaarheid. Dat maakt ontwerpen en bouwen van vitale installaties een bijzonder en specialistische aangelegenheid. Gelukkig zijn hier standaarden voor gemaakt, zodat een architect dit zelf niet hoeft uit te zoeken. Standaarden als de ISA99 en IEC-62443 zorgen ervoor dat verschillende functionaliteiten gescheiden worden, zodat systemen die minder vaak geüpdatet kunnen worden zoveel mogelijk gescheiden worden van systemen waar ‘gewone’ eindgebruikers gebruik van maken. Denk hierbij dan wederom aan IoT (Internet of Things), SCADA (Supervisory Control of Data Acquisition) en ICS (Industrial Control Systems) systemen.

Gebruik van specifieke apparatuur

Ook het gebruik van specifieke apparatuur, gescheiden van risicovolle netwerken, zoals internet en kantoor-wifi is een goed idee, maar niet altijd realistisch. Het lastige is het vinden van de juiste combinatie tussen gebruikersgemak en veiligheid, want deze staan vaak tegenover elkaar.

Kwetsbaarheidsscans

Kwetsbaarheidsscans om inzicht te krijgen in waar de risico’s zitten is een goed idee, maar daar moet je in dit soort omgevingen ook erg voorzichtig mee omgaan. Het is mogelijk dat een scan een belangrijk stuk software of systeem overstuur maakt, waardoor een systeem ineens niet meer, of niet goed meer functioneert. Met alle mogelijke gevolgen van dien.

Aandacht

Daarnaast is het constant aandacht besteden aan de gebruikers, zoals technici en monteurs, nodig. Deze medewerkers werken onder hoge druk aan deze vitale systemen, vooral als er iets aan de hand is. Dit maakt hen dan ook een ideaal doelwit. Bewustzijn is belangrijk zodat deze medewerkers snappen waarom bepaalde zaken op deze manier werken.

Door de dialoog aan te gaan kan men behalve begrip kweken ook kijken of er zaken aangepast kunnen worden zodat werkzaamheden minder complex en frustrerend gemaakt kunnen worden. Ook dat is een proces dat constant herhaald zou moeten worden, want bewustzijn en begrip voor maatregelen zakken snel weg, vooral als er incidenten optreden in kritische systemen.

Vitale systemen vragen om specialistische hulp

De complexiteit van al deze verschillende onderdelen en vraagstukken maakt dat het afdoende beveiligen van deze systemen zeker geen eenvoudige zaak is. Dit vraagt specialistische kennis en die is lang niet altijd aanwezig in de organisatie die de vitale infrastructuur beheerd. Conclusion Mission Critical heeft de benodigde specialisten in huis om deze organisaties te kunnen ontzorgen. Als dienstverlenende partij kunnen we bemiddelen tussen de eisen van de medewerkers, de risico acceptatie van het management en de actualiteiten met betrekking tot security die zich in de wereld afspelen. Wil je hier meer over weten of graag met ons sparren? Neem dan contact op met ons via