91,1% van de Industrial Control Systems staat mogelijk bloot aan cyberaanvallen

Het aan internet blootstellen van ICS-componenten biedt veel mogelijkheden, maar ook veel zorgen over de veiligheid. Enerzijds zijn met internet verbonden systemen flexibeler wat betreft het snel kunnen reageren op kritieke situaties en de implementatie van updates. Anderzijds geeft de uitbreiding van internet cybercriminelen de kans om op afstand kritische ICS-componenten te besturen, wat kan leiden tot fysieke schade aan de apparatuur en potentieel gevaar voor de hele kritische infrastructuur.

Geavanceerde aanvallen op ICS-systemen zijn niet nieuw. In 2015 voerde een georganiseerde groep van hackers, genaamd BlackEnergy APT, een aanval uit op een energiebedrijf in Oekraïne. In hetzelfde jaar vonden nog twee, vermoedelijk met cyberaanvallen in verband staande incidenten plaats in Europa: op een staalfabriek in Duitsland en op de Frederic Chopin luchthaven in Warschau.

In de toekomst zullen meer aanvallen van deze aard plaatsvinden aangezien het aanvalsoppervlak groot is. Deze 13.698 in 104 landen vormen slechts een klein gedeelte van het totaal aantal hosts met ICS-componenten aan boord die beschikbaar zijn via internet.

Om met ICS werkende organisaties hun eventuele zwakke plekken te helpen identificeren, produceerden deskundigen van Kaspersky Lab een rapport over ICS-dreigingen. Hun analyse was gebaseerd op OSINT (Open Source Intelligence) en informatie uit openbare bronnen zoals ICS CERT, waarbij de onderzoeksperiode werd beperkt tot het jaar 2015.

De belangrijkste bevindingen van het rapport over het Industrial Control Systems dreigingslandschap zijn:

• In totaal zijn 188.019 hosts met ICS-componenten die beschikbaar zijn via internet geïdentificeerd in 170 landen.
• De meeste van de op afstand beschikbare hosts waarop ICS-componenten zijn geïnstalleerd, bevinden zich in de Verenigde Staten (30,5% – 57.417) en Europa. In Europa is Duitsland koploper (13,9% – 26.142 hosts), gevolgd door Spanje (5,9% – 11.264 hosts) en Frankrijk (5,6% – 10.578 hosts). Nederland staat op de 11^e plaats met 1,9%.
• 92% (172.982) van de op afstand beschikbare ICS hosts heeft kwetsbaarheden. 87% van deze hosts bevat kwetsbaarheden van gemiddeld risico, terwijl het bij 7% ervan gaat om kritische kwetsbaarheden.
• Het aantal kwetsbaarheden in ICS-componenten is de afgelopen vijf jaar vertienvoudigd. Dit aantal ging van 19 kwetsbaarheden in 2010 naar 189 in 2015. De meest kwetsbare ICS-componenten waren Human Machine Interfaces (HMI), elektrische apparaten en SCADA-systemen.
• Van alle extern beschikbare ICS-apparaten maakt 91,6% (172.338 verschillende hosts) gebruik van zwakke internet-verbindingsprotocollen, wat voor aanvallers de mogelijkheid opent om ‘man in the middle’ aanvallen uit te voeren.

“Ons onderzoek toont aan: hoe groter uw ICS-infrastructuur, hoe groter de kans op ernstige veiligheidslekken. Het is niet de schuld van een enkele software- of hardwareleverancier. Gezien zijn aard is de ICS-omgeving een mix van verschillende onderling samenhangende componenten, waarvan vele zijn verbonden met internet en voor veiligheidsvraagstukken zorgen. Er is geen 100% garantie dat een bepaalde ICS-installatie op een gegeven moment niet ten minste één kwetsbaar onderdeel heeft. Dit betekent echter niet dat er geen manier is om een fabriek, een elektriciteitscentrale of zelfs een blok in een ‘smart city’ te beschermen tegen cyberaanvallen. Eenvoudigweg zich bewust zijn van beveiligingsproblemen in componenten die binnen een bepaalde industriële faciliteit worden gebruikt, is de basisvoorwaarde voor het veiligheidsbeheer van de faciliteit. Dat was een van de doelstellingen achter ons rapport: om een geïnteresseerd publiek hiervan bewust te maken”, aldus Andrey Suvorov, Head of Critical Infrastructure Protection bij Kaspersky Lab.

Teneinde de ICS-omgeving te beschermen tegen mogelijke cyberaanvallen, adviseren Kaspersky Lab-veiligheidsdeskundigen het volgende:

• Voer een security audit uit: nodig deskundigen uit die zijn gespecialiseerd in industriële beveiliging. Dit is waarschijnlijk de snelste actie die in het rapport wordt beschreven om veiligheidslekken te identificeren en te verwijderen.
• Vraag om inlichtingen van buitenaf: moderne IT-beveiliging is gebaseerd op kennis over potentiële aanvalsvectoren. Hierover inlichtingen krijgen van gerenommeerde leveranciers helpt toekomstige aanvallen op de industriële infrastructuur van een bedrijf te voorspellen.
• Bescherming binnen en buiten de perimeter: fouten kunnen en zullen gebeuren. Een goede beveiligingsstrategie moet aanzienlijke middelen wijden aan het detecteren van en reageren op aanvallen, om aanvallen te kunnen blokkeren voordat deze kritisch belangrijke objecten bereiken.
• Evalueer geavanceerde beveiligingsmethoden: Default Deny (Standaard Weigeren) scenario voor SCADA-systemen, regelmatige integriteitscontroles voor controllers, gespecialiseerde netwerkbewaking om de algehele beveiliging van een bedrijf te verbeteren en de kans op een succesvolle inbreuk te verkleinen, zelfs als enkele inherent kwetsbare knooppunten niet kunnen worden gepatcht of verwijderd.

Lees het volledige rapport over het Industrial Control Systems dreigingslandschap op Securelist.com.