Een gehackt SCADA-systeem, waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd, kan grote gevolgen hebben. En de problemen nemen toe, zeggen cybersecurityexperts. Het duurt te lang voordat patches gereed zijn voor gaten in de soms decennia oude systemen. Dat blijkt uit onderzoek van AG Connect en Binnenlands Bestuur.
Het ‘SCADA-probleem’ speelt al jaren, maar maar tussen alle spectaculaire ransomware en DDOS-aanvallen te weinig prioriteit lijkt te hebben. SCADA is de afkorting voor Supervisory Control and Data Acquisition. Ze staan bij provincies, waterschappen en ook gemeenten. Met de SCADA-systemen houden overheden toezicht houden op kritieke industriële processen, zoals voor het bedienen van bruggen, sluizen en verkeerslichten. De gevolgen van een gehackt SCADA-systeem kunnen dan ook groot zijn.
Inmiddels zijn hierover Kamervragen gesteld
De achterstand bij overheden is groot en veel systemen werden nog voor de komst van internet gebouwd.
Binnenlands Bestuur en AG Connect hoorden van een CISO van een grote gemeente dat een hacker via de IoT-zoekmachine SHODAN toegang kreeg tot het rioleringssysteem. Alles werd gedaan om het gat te dichten, maar daarvoor bleek een ‘patch’ nodig van de leverancier. Die had deze niet gereed. Om de juiste patch te leveren moest de leverancier deze eerst ontwikkelen en naar de locatie komen. De ethische hacker werd na het tekenen van een geheimhoudingscontract bedankt voor zijn werk, maar het duurde nog een half jaar voordat het gat is gedicht.
CISO’s, experts en wetenschappers van gemeenten en waterschappen en de rijksoverheid herkennen het zojuist genoemde voorbeeld. Het probleem zit hem met name in de vrijgave van patches die niet tijdig voorhanden zijn. De achterstand bij overheden is groot en veel systemen werden nog voor de komst van internet gebouwd. Ze zijn daardoor een blok aan het been voor de verantwoordelijke ambtenaren geworden.
Sommige systemen zijn 20 of misschien wel 30 jaar geleden gebouwd, toen koppeling aan het internet niet vanzelfsprekend was. ‘In die tijd was de beveiliging nog niet zo belangrijk, want je moest er fysiek bij kunnen om in te breken’, vertelt ethisch hacker Wouter van Dongen. Later werden dit soort systemen toch gekoppeld.
Beveiligingsproblemen
Vroeger werden de systemen niet met beveiligingssoftware verscheept. ‘Nu vaak wel’, zegt Van Dongen, ‘maar die wordt vaak niet geüpdatet.’ Hij heeft het meegemaakt dat bij een waterschap een SCADA-systeem op Windows XP draaide, waarbij ook de firewall en virusscan al meer dan tien jaar waren uitgeschakeld. Het is overduidelijk dat dit systeem geüpdatet moest worden, maar om dat te doen moest het systeem offline. En dat is lastig. Verder wist men niet hoe een en ander precies was geconfigureerd en waarom bijvoorbeeld zaken waren uitgeschakeld.
Aantal systemen groeit
CISO’s merken dat het doorvoeren van updates erg traag gaat en lastig is. ‘De problemen worden door de Internet of Things-beweging, waarbij steeds meer systemen op internet worden aangesloten, groter’, zegt Jeroen Schipper, CISO van gemeente Den Haag. Door de komst van onder meer sensoren, laadpalen en camera’s in de openbare ruimte groeit het aantal ICS/SCADA-systemen bij overheden.
Het verhaal van Schipper wordt herkend door andere CISO’s, maar organisaties willen hierbij vanwege veiligheidsredenen meestal niet bij naam genoemd worden. ‘Het is algemeen bekend dat de bedrijven die zich ICS en SCADA-systemen aanbieden een achterstand hebben als het gaat om informatieveiligheid. Dat is simpelweg nooit hun corebusiness geweest. Ook wij hebben daarmee te maken’, vertelt CISO Leon Post van gemeente Hardenberg.
‘Gebouwbeheerssystemen, met daarin diverse SCADA-systemen, gaan vaak langer mee dan software die hierbij geleverd wordt. Dit kunnen onder meer klimaatinstallaties zijn, maar ook veiligheidssystemen, pompen en parking- en laadpaalinfrastructuur.’ Wat Post betreft, hebben overheden een taak om hierover goede afspraken te maken en standaarden af te dwingen. ‘Ook moeten we ons afvragen of deze systemen wel aan het internet moeten worden gehangen.’
Leveranciers en fabrikanten
Een CISO werkzaam bij de rijksoverheid spreekt van een groot probleem dat met name niet voldoende prioriteit krijgt bij leveranciers en fabrikanten. ‘Het is vaak te duur om een proces af te sluiten voor een update. Daarnaast zijn veel systemen niet ingericht om veelvuldig te worden voorzien van nieuwe firmware. Vaak is ook fysieke toegang nodig en in grote processystemen is dat niet altijd mogelijk zonder hoge kosten.’
Siemens, één van de grootste leveranciers op gebied van SCADA-systemen bij de overheid, merkt dat updates en patches voor SCADA-systemen vaak trager worden uitgevoerd in vergelijking met die voor ict-systemen. ‘Siemens stelt de patches in meeste gevallen kosteloos beschikbaar’, schrijft het bedrijf in een reactie. Maar vanwege eisen zoals continue beschikbaarheid ‘worden patches en updates in de praktijk niet altijd op regelmatige basis uitgevoerd’. Ook wordt er over het algemeen minder geïnvesteerd in vergelijking met ict-systemen. Siemens adviseert om een duidelijk beleid hiervoor te definiëren.
Door ransomware kan een organisatie stilliggen, maar als bij waterschappen alle systemen verkeerde lezingen geven dan is er meteen fysieke schade.
Er is werk aan de winkel, concludeert ethisch hacker Van Dongen. Hij heeft verschillende testen uitgevoerd bij waterschappen en het is hem altijd gelukt om de volledige controle te krijgen. ‘Als het misgaat met SCADA-systemen dan is het misschien wel een groter probleem dan ransomware. Door ransomware kan een organisatie stilliggen, maar als bij waterschappen alle systemen verkeerde lezingen geven dan is er meteen fysieke schade.’
Dit artikel werd ook gepubliceerd op BinnelandsBestuur.nl en AGconnect.nl