In augustus 2015 worden de SCADA-supervisie en HMI’s van een meubelfabriek in Brazilië geïnfecteerd met RSA-4096 Ransomware. Ze besluiten $ 3.061 losgeld niet te betalen, en moeten 15 dagen lang de productie stoppen. Het resultaat is $ 100.000 schade door uitval van productie en daarnaast de aandacht van televisie en de krant .
Incidenten zoals Ransomware zullen in de toekomst steeds vaker voorkomen, en de procesautomatisering zal hierbij niet gespaard blijven.
Het opkomende Internet of Things (IoT) zorgt ervoor dat IT en OT (Operationele Technologie) steeds dichter bij elkaar komen. Deze trend zorgt voor nieuwe mogelijkheden op het gebied van efficiëntie, integratie en productie binnen de industriële automatiseringsbranche.
De behaalde resultaten zijn een sterke motivatie voor verdere IIoT (Industrial Internet of Things) adoptie en integratie.
Het gebruikt van IIoT werpt duidelijk haar vruchten af, de toename van IIoT is alleen niet in samenloop gegaan met een toenemende investering in security. In 2016, IIoT systemen zijn volgens bronnen gemiddeld binnen 360 seconden, na het online gaan, gecompromitteerd.
Het toegenomen risico wordt nog duidelijker wanneer we naar de laatste ontwikkelingen kijken op het gebied van cybercriminaliteit. Kritische infrastructuren, die vergaand zijn geautomatiseerd worden steeds meer gezien als een interessant doelwit voor cybercriminelen die een politiek statement willen maken of voor financieel gewin. Waar in het verleden Ransomware nog werd gezien als iets dat exclusief toebehoorde aan de IT-sector, is 2016 het jaar waarin Ransomware ook de overstap heeft gemaakt naar industriële systemen. 2016 heeft over het geheel een toename van 17.000% van Ransomware aanvallen gezien. Hiervan is was 15% direct gericht op de mechanische en industriële sectoren
De penetratie van draadloze technieken zoals WirelessHART, ISA100 en LoRaWAN binnen de industriële automatisering en het toepassen van generieke IT-technologieën binnen OT, opent de deur voor nieuwe manieren om industriële omgevingen aan te kunnen vallen die voorheen niet mogelijk waren. De drempels op het gebied van kennis en ervaring nodig voor een succesvolle aanval vervagen tegelijkertijd vanwege het feit dat IT en OT steeds meer overeenkomsten vertonen. In het verleden waren industriële systemen namelijk vaak exotische systemen die communiceren via door leveranciers ontwikkelde eigen protocollen, en was OT geïsoleerd van de rest van het bedrijf. Aanvallen op een dergelijke infrastructuur waren erg kostbaar en vereisten specifieke kennis en kunde om succesvol te zijn. De huidige ontwikkelingen zoals IIoT zorgen ervoor dat de scheiding tussen traditioneel onafhankelijke systemen steeds onduidelijker wordt en aanvallen hierdoor al snel een bredere impact en hogere kans op succes hebben. Als we dit ook nog eens combineren met de toenemende mate van technische complexiteit van de huidige aanvallen, wordt het duidelijk dat het speelveld drastisch veranderd is.
Eén van de onderzoeken uit 2016 laat ons bijvoorbeeld zien dat het mogelijk is om via het variëren van de snelheid van een pc-ventilator informatie zoals passwoorden te versturen . Het doel van het onderzoek was om aan te tonen dat ook van niet verbonden (zogenaamde ‘air-gapped’) systemen wel degelijk informatie kan worden gestolen.
Begin dit jaar is er nog een significante ontwikkeling op het gebied van Ransomware geweest die direct betrekking heeft op de industriële automatisering. Onderzoekers van Georgia Institute of Technology hebben op de RSA-conferentie aangetoond dat het mogelijk is voor een aanvaller om Ransomware te ontwikkelen die via een aangepast de besturing van een waterzuiveringsinstallatie kan overnemen en dat er gedreigd kan worden om het water te vergiftigen als er niet betaald wordt. Een dergelijke aanval is mogelijk vanwege een gebrek aan goede authenticatiemechanismes in PLC’s, waardoor het mogelijk is voor een buitenstaander om, zonder veel moeite, via PLC’s een aanpassing te maken in de programmatuur. Als dit wordt gecombineerd met een directe verbinding van 1 van de PLC’s met het internet, is het mogelijk voor een aanvaller om op afstand het gehele proces over te nemen.
Op de ICS Cyber Security Conference in Singapore is door Applied Risk de mogelijke impact van een kwetsbaarheid aangetoond die binnen veel industriële apparatuur aanwezig is. Het betreft hier de toegankelijkheid via internet van de firmware van dergelijke apparatuur en de beperkte controles op de integriteit hiervan. Het onderzoek toont aan dat het mogelijk is om de firmware van industriële controllers op afstand te overschrijven met een aangepaste versie. Vervolgens wordt gedreigd de configuratie te verwijderen en het proces uit te schakelen indien er niet binnen een korte termijn betaald wordt. Het resetten van de systemen is hierbij geen optie, omdat dit geen effect heeft op de firmware.
foto1In het bovenstaande onderzoek is de initiële aanvals-vector via het internet, maar het probleem is breder dan alleen de apparatuur die verbonden is met het internet. De complete supply chain is namelijk kwetsbaar en de aanvallers weten dit. In het verleden zijn er meerdere incidenten geweest waarbij staatshackers en cybercriminelen de toeleveringskanalen hebben misbruikt voor eigen gewin door de integriteit van systemen aan te tasten voordat deze aankwamen bij de klant.
Om dergelijke aanvallen te voorkomen is het van groot belang om betere controles uit te voeren op de integriteit van de systemen, hiervoor moeten een aantal zaken gebeuren;
1. De OT-omgeving dient in een veilig ontworpen netwerk te zijn opgedeeld, welke gebruikt maakt van segregatie en zonering (volgens de IEC-62443 richtlijn).
2. Systemen moeten een veilig mechanisme hebben om te kunnen controleren of de software en hardware niet is aangepast door derden. Dergelijke mechanismes moeten worden gespecificeerd en producten moeten worden getest voor ze in productie worden genomen.
3. Er moet een gedegen wachtwoordpolicy aanwezig zijn, die zowel technisch wordt afgedwongen, als procedureel wordt nageleefd.
4. Er moeten goede afspraken worden gemaakt met de leveranciers over wat er wordt geleverd en hoe er precies wordt aangeleverd. Dergelijke afspraken betreffende industriële apparatuur moet worden geborgd binnen het beveiligingsbeleid. Bij FAT en SAT zou standaard Cyber Security een vast onderdeel moeten uitmaken.
5. Het (technisch) personeel moet worden getraind om bewust te zijn van de (cyber)dreigingen en kennis hebben hoe er op een veilige manier kan worden gewerkt. Uiteindelijk is het van belang een Cyber Security Cultuur te ontwikkelen zoals dat ook geldt voor een ‘Safety’ cultuur.
Applied Risk helpt u graag met de uitdagingen op het gebied van het beveiligen van uw industriële automatisering tegen het hedendaagse dreigingslandschap doormiddel van device assessments, awareness trainingen en advies bij het implementeren van een informatiebeveiligingsbeleid.
Tekst: Robin Massink, Senior ICS Security Consultant
Robin Massink is een ICS Cyber Securityspecialist met 8 jaar ervaring in industriële omgevingen en SCADA-protocollen. Hij heeft een achtergrond in SCADA-protocol conformance testen en heeft ervaring met cyber incident response en malware analysis. Binnen Applied Risk is hij actief met Cyber Security Assessments, ontwerp en implementatie adviezen voor de procesindustrie. Robin heeft een Bachelor in Elektrotechniek en is actief lid binnen diverse consortia zoals Industrial Internet Consortium (IIC), ISA99, NEN.
