Het ‘internet of things’ is geen toekomstscenario, het is er al lang. En dat brengt behoorlijk wat beveiligingsproblemen met zich mee.
Een Zeeuwse polder onder water laten lopen zonder dat je ooit in Zeeland bent geweest blijkt bijvoorbeeld kinderlijk eenvoudig, onthulde EenVandaag drie jaar geleden in een reportage. De gemalen en rioleringspompen in de kustgemeente Veere zijn verbonden met het internet, maar slecht beveiligd. Met een paar simpele handelingen kunnen kwaadwillenden inbreken en de controle overnemen, zonder dat iemand dat doorheeft. Met alle gevolgen van dien.
Inmiddels heeft de gemeente, die een buitenlands bedrijf inhuurde voor de aanleg van het systeem, de beveiliging verbeterd. Maar volgens internetonderzoeker Chris van ‘t Hof laat de hack uit 2012 zien hoe kwetsbaar het ‘internet of things’ nu al is.
Meer dan slimme koelkasten
Want dat is geen toekomstscenario, zoals de Amerikaanse denktank RAND deze maand suggereert in een rapport (pdf). Het gevaar is er al. Alleen gaat het dan niet om slimme koelkasten of smart-tv’s, maar om industriële toepassingen. Twee niet zo sexy afkortingen daarvoor zijn SCADA (Supervisory Control And Data Acquisition) en ICS (Industrial Control Systems).
Het principe is hetzelfde als bij de term internet of things. Steeds meer machines en apparaten praten met elkaar en zijn verbonden via het internet. Of het nu de beamer op kantoor is, de thermostaat thuis, de informatieborden boven snelwegen of een hoogoven in een staalfabriek, allemaal staan ze in contact met internet. Zo zijn de apparaten handiger in gebruik en op afstand te bedienen.
“Aan de ene kant zijn ze minder kwetsbaar dan een pc”, zegt Van ‘t Hof, socioloog en schrijver van acht boeken over internet en technologie. “Veel 'internet of things'-dingen zijn gemaakt om één ding te doen. Een pc kan veel meer. Als een hacker daar inbreekt, kun je leuke grappen uithalen.” Maar aan de andere kant zijn die ‘domme’ apparaten volgens Van ‘t Hof veel kwetsbaarder, omdat het lastig is om de software up to date te houden.
Vervangingscyclus
Dat heeft een drietal redenen. Allereerst is de houdbaarheid van ICT-producten veel korter dan de vervangingscyclus van apparaten in zakelijke of industriële omgevingen. Zo moet een beetje printer vijf jaar meegaan en een gasturbine in een elektriciteitscentrale zeker twintig jaar.
De fabrikant levert support voor een bepaalde periode, maar trekt er daarna zijn handen vanaf. Hij wil door met het maken van nieuwe producten en niet over tien jaar nog zwaar verouderde apparaten ondersteunen. Toch moet er wel onderhoud gepleegd worden.
In het geval van printers of beamers is de support zelfs minimaal. “Ooit heeft de leverancier dat ding neergezet, iemand de inlogcode gegeven en is weggegaan”, zegt Van ‘t Hof.
Wat als er een kwetsbaarheid in de software wordt ontdekt, zoals vier jaar geleden bij printers van HP? Onderzoekers van Columbia University toonden aan dat het mogelijk was om kwaadaardige software op LaserJet-printers te installeren. Weliswaar bracht HP binnen twee maanden een beveiligingsupdate uit die het probleem verhielp, maar ze kwamen de patch niet installeren. Dat was aan de eigenaren zelf.
“Vaak gaat het bij securityproblemen om een keten van onveiligheden”, aldus Van ‘t Hof. “Je hebt een leverancier, een gebruiker, een externe gebruiker. Niemand is verantwoordelijk voor de hele keten.”
Clash tussen ICT en productiemanager
Een andere reden waarom software-updates niet altijd geïnstalleerd worden, is de voortdurende strijd tussen de operationele kant van een bedrijf en de ICT-tak. Bij ziekenhuizen zijn scans en operaties weken, zo niet maanden van tevoren ingepland. Het behandelen van patiënten gaat continu door. Dan is er geen tijd om de hele zaak stil te leggen om de software van een Röntgenapparaat of het systeem met patiëntdossiers bij te werken. Hetzelfde geldt in een fabriek. Elke minuut dat de productie stilligt, kost geld.
“De techneut wil het proces door laten gaan. De beveiliging kan het raam uit”, zegt Del Rodillas van beveiligingsbedrijf Palo Alto Networks. “Dus wordt besloten om de antivirus-update uit te stellen met zes maanden. Of een jaar. Soms wel meerdere jaren.” Het hoofd van het productieproces neemt in enkele gevallen ook de beslissingen over de beveiliging. “Wat denk je hoe zijn kennis van security is? Die is erg laag.”
Legacy software
Soms is het updaten van de software simpelweg niet mogelijk. In fabrieken, energiecentrales en ziekenhuizen staat apparatuur waar speciale programma’s voor zijn geschreven. Het upgraden van bijvoorbeeld Windows XP naar Windows 7 kan vaak niet, omdat daardoor de software en dus het apparaat niet meer werkt.
“Eén van onze klanten in de VS, een energiebedrijf, gebruikt Windows XP en Windows Server 2003 en ze zijn niet van plan om dat de komende drie jaar te veranderen”, zegt Rodillas. Microsoft brengt sinds vorig jaar geen beveiligingsupdates meer uit voor XP en vanaf volgende maand wordt Server 2003 ook niet meer ondersteund.
“In sommige sectoren zoals in de gezondheidszorg of bij kerncentrales mag je de software niet eens bijwerken”, zegt Christian Hentschel, collega van Rodillas bij Palo Alto Networks en vice-president van Europa, het Midden-Oosten en Afrika. De overheid certificeert een bepaalde configuratie en daar kan vervolgens niet meer aan gesleuteld worden. Of je moet de boel opnieuw certificeren, een tijdrovende en kostbare klus.
Grote aanvallen
Hackers hebben inmiddels door dat er iets te halen valt bij industriële systemen. Bedrijven vertrouwen leveranciers als Siemens en ABB vaak volledig. Hackers weten dat, stelt Rodillas. “De aanvallers zijn steeds slimmer. Die gaan nu achter Siemens aan en proberen zo bij een bedrijf binnen te komen.”
Russische hackers wisten vorig jaar binnen te dringen bij westerse bedrijven in de energiesector door industriële besturingssystemen te infecteren met een virus. En een half jaar geleden liep een hoogoven in een Duitse staalfabriek grote schade op na een cyberaanval.
Hoe kun je dergelijke aanvallen voorkomen? Door al het in- en uitgaande verkeer tot in detail in de gaten houden, meent Rodillas. In feite komt het neer op het meegluren met je werknemers en partners. En door de toegang van gebruikers tot bepaalde delen van het netwerk nauwkeurig te regelen. Zo krijg je verdachte bewegingen meteen in het vizier en kun je eventuele dreigingen onschadelijk maken.
Offline halen
Is offline halen niet de simpelste oplossing, zoals de Zeeuwse gemeente Veere onmiddellijk deed met de gemalen en rioleringspompen? Nee, zegt Rodillas. Dat is niet praktisch. “De fabrieken van bedrijven die wereldwijd actief zijn moeten met elkaar communiceren om de productie op elkaar af te stemmen. Ook moeten leveranciers van machines meekijken om support te leveren.”
En zelfs als je niet verbonden bent met het internet, ben je nog kwetsbaar. De dreiging kan ook van binnenuit komen. Rodillas wijst op het Stuxnetvirus, dat via een usb-stick op Iraanse computers terechtkwam en een aanval was op het nucleaire programma van het land. “Ook al heb je geen verbinding met de buitenwereld, iemand hoeft maar een usb-stick naar binnen te smokkelen en je zit in de problemen.”