Cyberaanvallen speelden zich in het verleden vooral af in IT-omgevingen. De laatste tijd groeit ook het aantal dreigingen voor het OT-domein (operational technology) malware en bewuste aanvallen die gericht zijn op de besturingssystemen of de procesautomatisering van producerende bedrijven. Hoe kun je je hiertegen beschermen?
Herprogrammeren zodat een explosie kan plaatsvinden
“Cybercrime, specifiek ontwikkeld om PLC’s in productieomgevingen aan te vallen, neemt toe”, stelt Sebastiaan Koning, cybersecurity-consultant bij Hudson Cybertec. “Denk bijvoorbeeld aan de Triton-malware. Via deze malware kregen aanvallers toegang tot de safety-systemen (Triconex Safety Instrumented System, ofwel SIS-werkstation, red.) van een chemische fabriek in Saoedi-Arabië, met het doel deze te herprogrammeren zodat ze een explosie konden veroorzaken. De aanval mislukte aangezien twee controllers in een zogenoemde “Fail-safe”-modus terechtkwamen waardoor de operationele processen automatisch werden stilgelegd.”
Recentelijk zijn er meer zulke aanvallen geweest. Bij scheepvaart- en transportgigant Maersk bleken de computers vergrendeld door malware (2017). Ransomware trof de Noorse aluminiumgigant en energieconcern Norsk Hydro in 2019 terwijl dit ook Honda is overkomen afgelopen juni. Op meerdere vestigingen was de productie onderbroken. Dichter bij huis, en ook recent, was het alle hens aan dek bij Piconal in België, fabrikant van weefmachines. Een deel van het bedrijf lag begin dit jaar door ransomware volledig plat.
“Het gaat niet langer om malware die naast het platleggen van het IT-systeem per toeval ook het OT-systeem bereikt. Toevalligheden zijn veranderd in doelgerichte aanvallen.”
Eerst valideren dan pas updaten
“Gelukkig krijgt het beveiligen van OT nu – uit noodzaak – ook de aandacht die het eigenlijk al jaren eerder had moeten krijgen”, stelt Koning. Dit beveiligen van OT-systemen vergt een andere aanpak. “IT-systemen krijgen regelmatig een update waardoor mogelijke kwetsbaarheden in het systeem worden verminderd. Bij OT-systemen is dit veel complexer. Je hebt hier vaak te maken met legacy-apparatuur, die kwetsbaar is en niet altijd geüpdatet kan of mag worden. Bovendien moet er zorgvuldig met veiligheidsupdates worden omgegaan. De systemen voor de aansturing van de procesautomatisering moeten altijd blijven werken. Alle updates binnen OT-systemen moeten daarom eerst worden gevalideerd. Leveranciers van de software moeten gescreend en de updates moeten door de eigenaars van de installaties zelf worden getest, voor een productie-omgeving deze in bedrijf mag nemen. Dit kost dus veel meer tijd dan een relatief eenvoudige software-update bij IT. Deze IT-updates zijn zodanig generiek en wereldwijd al uitvoerig getest dat je ze vrijwel zonder risico voor de continuïteit van een proces kunt uitrollen. Heel anders dan in een OT-omgeving.”
Isoleren kan leiden tot grote schadelijke gevolgen
Een strategie om de cyberweerbaarheid van OT-systemen te verhogen, begint bij het kennen van je netwerk. “Vanuit IT wordt vaak voor een blokkeer-aanpak gekozen. Zodra men vaststelt dat een IP-domein geïnfecteerd lijkt, wordt dit geïsoleerd en afzonderlijk aangepakt om de schade te minimaliseren. Bij OT-systemen werkt dit niet aangezien de systemen veel complexer zijn en met elkaar zijn verbonden. Bepaalde – mogelijk geïnfecteerde systemen – isoleren kan leiden tot grote schadelijke gevolgen voor het bedrijf. Daarom is het noodzakelijk om in een heel vroeg stadium mogelijke aanvallen te detecteren zodat snel en zonder grote gevolgen kan worden ingegrepen. Dit is mogelijk door je netwerk goed te kennen en te bepalen wat normaal is. We roepen continu: 'Know your network', ken je apparaten en je systemen en weet hoe deze systemen met elkaar communiceren. Dat is de basis.”
Monitoren op gedrag
In de praktijk gebeurt dit vaak met monitoring. “OT-monitoringsoplossingen leggen een baseline vast van het normale gedrag. Welke assets zitten in het netwerk en hoe communiceren die met elkaar? OT-systemen produceren doorgaans veel voorspelbare data, aangezien alle gegenereerde data een specifiek doel dienen. Je kunt dus heel goed bepalen wat het normale gedrag is. Met anomaliedetectie op basis van machine learning wordt vervolgens op een snelle en intelligente manier gedetecteerd of er afwijkend gedrag wordt vertoond. Wordt bijvoorbeeld een onbekende asset op het netwerk aangesloten of wordt een asset vervangen door een malafide asset dan merkt het systeem dit meteen op en kan adequaat worden gereageerd.”
Monitoring op basis van anomaliedetectie is van dermate grote meerwaarde voor de OT-omgeving, dat dit in Duitsland onderdeel wordt van aanstaande wet- en regelgeving voor kritieke infrastructuren. Steeds meer organisaties moeten aantonen dat voldaan wordt aan wet- en regelgeving. “Een aanpassing van wet- en regelgeving is er nog niet in Nederland, maar eens een lid van de Europese Unie een eerst stap zet, volgen de andere Europese landen wellicht vrij snel. Het Hudson Cybertec OT-monitoringsysteem geeft inzicht in de compliance met verschillende normen, wet- en regelgeving zoals de BIO, CSIR, IEC 62443 of ISO 27k.”
Inleren van systemen noodzakelijk
Het is belangrijk om monitoringssystemen te kiezen die specifiek zijn gericht op OT-systemen. Een tweede aspect dat de nodige aandacht verdient, is het op een juiste manier inleren van het systeem. “Het goed inleren van machine learning technologie is van belang om zogenoemde false positives te voorkomen. Deze kunnen het productieproces verstoren aangezien alarmmeldingen vaak manueel moet worden bekeken en uitgeschakeld. Een goede voorbereiding voor implementatie is van belang.”
Bron: ptindustrieelmanagement.nl | Evi Husson