Terreur van de SCADA en het IoT: gecoördineerde aanvallen op kritieke infrastructuur

Met slimme apparaten die met het IoT verbonden zijn, worden steeds meer dingen mogelijk, zoals bijvoorbeeld Supervisory Control and Data Acquisition (SCADA). Een SCADA-systeem stelt gebruikers in staat om complexe datastromen te monitoren en de bronnen van die gegevens te reguleren om de efficiëntie te maximaliseren. SCADA-systemen zijn overal. Denk hierbij aan waterkrachtcentrales, waterzuiveringsinstallaties en ziekenhuizen.

Met name de command and control features maken SCADA-systemen aantrekkelijk voor kritieke infrastructuur. Met deze systemen kun je de waterstroming in een zuiveringsinstallatie meten en deze in real time aanpassen. Ook kun je met SCADA de stroomopwekking in een kerncentrale monitoren en reguleren. SCADA-systemen zijn overal en ze zijn van cruciaal belang. Maar ze zijn ook zeer kwetsbaar. Zoals Tom Simonite zegt in het MIT Security Review, zijn degenen die er het meest vanaf weten ook het meest bezorgd. Experts maken zich zorgen dat de hyperconnectiviteit van SCADA een makkelijk doelwit is voor hackers en kwaadaardige software. Het is dan ook niet onwaarschijnlijk dat we in de toekomst te maken krijgen met gecoördineerde, gelijktijdige aanvallen op kritieke infrastructuur.

Verouderde systemen zijn een security nachtmerrie

In het tijdschrift SecurityWeek schreef Eduard Kovacs dat Verizon in maart 2016 ontdekte dat relatief onervaren hackers de SCADA-systemen van een waterzuiveringsbedrijf waren binnengedrongen. Dankzij de verouderde hardware van het bedrijf dat in 1988 voor het eerst in gebruik genomen was, kwamen de hackers erachter dat het interne IP adres en de inloggegevens van de administrator op de server stonden. Vervolgens kregen zij via de klantgegevens toegang tot betaalgegevens en daarna tot de industriële controlesystemen. Vervolgens waren ze in staat om wijzigingen aan te brengen in de snelheid van de stroming en de chemische behandeling van het water. Gelukkig zagen menselijke toezichthouders op tijd wat er aan de hand was waardoor schade voorkomen kon worden.

Maar Kovacs waarschuwt: “… de aanvallers hadden waarschijnlijk weinig kennis van de werking van de industriële controlesystemen. De aanval zou veel grotere gevolgen hebben gehad als de hackers beter op de hoogte waren geweest.” Als ze meer ervaring hadden gehad en de monitoringssystemen geautomatiseerd en digitaal waren geweest, hadden ze via de zuiveringsinstallatie ongemerkt besmet water kunnen laten verspreiden. Deze verouderde systemen zijn een security nachtmerrie, en terroristen weten dat ze hiermee een verlammende aanval kunnen uitvoeren.

Een recent voorbeeld van dit soort kwetsbaarheid is de energiecentrale in de Oekraïne die in 2015 door een groep hackers werd uitgeschakeld. Hierdoor kwamen 80.000 bewoners in het donker te zitten. Kim Zetter merkt in een artikel voor Wired op dat de aanvallers slim genoeg waren om de computerschermen van de meetstations te bevriezen waardoor de indruk werd gewekt dat alles in orde was. Het zijn dit soort slimme aanvallen waarvan security-experts slapeloze nachten krijgen. De hoge kosten voor het upgraden van deze verouderde systemen hebben ervoor gezorgd dat ze nu, lang na het verstrijken van de ‘houdbaarheidsdatum’, nog steeds in gebruik zijn. Het is voor hightech terroristen een fluitje van een cent om deze systemen te hacken, waardoor het in feite tikkende tijdbommen worden.

Gehackte waterzuiveringsinstallaties kunnen miljoenen mensen infecteren

Als deze moordenaars toegang krijgen tot een waterzuiveringsinstallatie is hun doel niet om informatie te stelen, maar om ervoor te zorgen dat het water zo lang mogelijk ongezuiverd blijft. Dit klinkt misschien onschuldig, maar het is een potentiële ramp van epische proporties. Bedenk bijvoorbeeld dat in Londen 8,7 miljoen mensen afhankelijk zijn van vijf waterzuiveringsinstallaties. Als terroristen het voor elkaar zouden krijgen om de SCADA-systemen in slechts één van deze installaties in gevaar te brengen, waardoor onbehandeld water vermengd wordt met de schone uitstroom, zouden ze miljoenen mensen met ziekten als tyfus, hepatitis A of Giardia lamblia kunnen besmetten. En niet alleen gewone burgers maar natuurlijk ook hulpverleners, artsen en verpleegkundigen zouden worden besmet. Zo’n ramp zou ziekenhuizen overweldigen en duizenden, zo niet tienduizenden mensen zouden kunnen sterven. Dit is geen huis-, tuin- en keukensabotage, dit is geavanceerde biologische oorlogsvoering. Rob Joyce van de National Security Agency zegt: “Door de problematiek rond SCADA-beveiliging doe ik ‘s nachts geen oog dicht.” Zeer vergelijkbaar zijn de gevoelens van Nicholas Weaver van het International Computer Science Institute. Hij zegt: “Ik houd me niet bezig met SCADA-onderzoek want ik hecht teveel waarde aan mijn nachtrust.”

Zelfs medische apparaten verbonden met het IoT zijn potentiële wapens

Door de vooruitgang in de medische technologie zijn we gezonder en leven we langer. Zo kunnen we diabetici nu voorzien van een continue glucosemonitor en een insulinepomp die zich aanpast aan schommelingen in de bloedsuikerspiegel, waardoor de werking van een gezonde pancreas wordt nagebootst. Hartpatiënten hebben nu pacemakers, gekoppeld aan Bluetooth-apparaten, die hun hartslag bewaken en reguleren. Net als de command and control systemen voor kritieke infrastructuur, fungeren deze medische apparaten als SCADA voor het lichaam. In de geavanceerde medische centra van de komende tien jaar, zijn controlesystemen draadloos met een centrale hub verbonden, waardoor verpleegkundigen en artsen real-time toegang hebben tot de vitale functies van hun patiënten en zijn ze zelfs in staat om hen op afstand te behandelen.

De terroristen van de toekomst houden deze ontwikkelingen nauwlettend in de gaten en de potentiële gevolgen zijn haast niet te overzien. Als een arts op afstand een dosis morfine kan toedienen of de toedieningssnelheid van intraveneuze vloeistof kan veranderen, kan een hacker dat straks ook. Volgens Kim Zetter van Wired, begon een bekende ‘white hat’ hacker en beveiligingsexpert onlangs tijdens een verblijf in het ziekenhuis te twijfelen aan de veiligheid van intraveneuze pompen. Hoewel de hardwaresystemen die toegang geven tot de pomp voor updates gescheiden zijn van de firmware die het apparaat bestuurt, staan ze toch met een seriële kabel met elkaar in verbinding. Zo kan een hacker dus toegang krijgen tot de instellingen van de pomp. Rios ontdekte dat het niet alleen mogelijk is om de hoeveelheid insuline (of antibiotica, chemotherapie, morfine, etc.) te wijzigen, maar dat ook het display van het apparaat gemanipuleerd kan worden waardoor het de oorspronkelijke, juiste dosering blijft weergeven. Al was dit een zeer verontrustende ontdekking, is het tegelijkertijd geen grote verrassing, vooral met het oog op wat we inmiddels weten over andere SCADA kwetsbaarheden en de recente aanval op de Oekraïense energiecentrale.

Hoe meer medische apparaten worden verbonden met het IoT, des te acuter wordt het gevaar

Terroristen nemen in de toekomst niet alleen de controle van SCADA-systemen over, ze zullen ook de displays en controlesystemen zo manipuleren dat niemand iets in de gaten heeft. Hierdoor kunnen ze nóg meer schade aanrichten. Kaspersky Lab bevestigde dat we in ziekenhuizen met dezelfde kwetsbaarheden te maken hebben als die Verizon ontdekte in de waterzuiveringsinstallaties. Verouderde besturingssystemen als Windows XP maken het terroristen wel heel makkelijk om toegang te krijgen tot deze apparaten en vervolgens hoge doses röntgenstraling toe te dienen. Hoe meer medische apparaten worden verbonden met het IoT, des te acuter wordt het gevaar.

Het grootste gevaar dat op de loer ligt is dat terroristen in de toekomst geavanceerde, gelijktijdige aanvallen kunnen uitvoeren op kritieke infrastructuur. Door waterzuiveringsinstallaties, elektriciteitscentrales en ziekenhuizen tegelijkertijd te hacken kunnen miljoenen mensen ziek worden en honderdduizenden sterven.

Meer weten?

Op de cursus Cyber Security leert u hoe u uw organisatie beschermt tegen cybercrime en cyberterrorisme.

Op het congres Radicalisering en terrorisme leert u hoe u misstanden veroorzaakt door (ideologische) radicaliserende groeperingen voorkomt.

Op de cursus Bestuurlijke aanpak van radicalisering en terrorisme leert u hoe u komt tot een integrale aanpak van (ideologische) radicaliserende groeperingen.

Op de opleiding risicomanager leert u hoe u uw organisatie beschermt tegen mogelijke risico’s.

Over Frank van Summeren

Congres- en opleidingsmanager veiligheid bij het Studiecentrum voor Bedrijf en Overheid.

Bekijk ook

Nieuwe werkwijze arbeidsongevallen zorgt voor meer veiligheidsbewustzijn bij bedrijven

84 procent van de bedrijven waar een arbeidsongeval is gebeurd, voert alle maatregelen die in …

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *