cybersecurity Archieven - Utilities

Verregaande digitalisering, remote control en meer autonomie van fabrieken kunnen de veiligheid, efficiëntie, flexibiliteit en verduurzaming enorm verbeteren. Maar zoals bij zoveel innovatieve technologieën leveren ze ook nieuwe uitdagingen op. Op het vlak van cybersecurity bijvoorbeeld. Hoe houd je ongewenste bezoekers of cyberaanvallen buiten de deur als er steeds meer ingangen mogelijk zijn?

We spraken er in Industrielinqs LIVE over met Marinus Tabak (RWE), Marcel Jutte (Hudson Cybertec) en Carlo Totté (Emerson). Bij Kiwa in Apeldoorn. Kijk de aflevering nu terug.

De wereld is in de ban van het coronavirus. Helaas maken cybercriminelen hier misbruik van. Veel bedrijven weten nog onvoldoende hoe ze zich moeten wapenen tegen cyberdreigingen. Hierdoor zijn hun bedrijfsprocessen en waardevolle data kwetsbaar voor cybercriminelen. De subsidieregeling Cyberweerbaarheid moet bedrijven stimuleren om op het gebied van cybersecurity te gaan samenwerken.

Het doel van de regeling is om nieuwe netwerken te creëren. Daar kunnen leden kennis en kunde op het terrein van cyberweerbaarheid gaan toepassen. Ondernemers kunnen zo samen met andere organisaties werken aan het vergroten van de cyberweerbaarheid, binnen en tussen niet-vitale branches, sectoren en regio’s.

Ondernemingen die actief zijn in vitale sectoren, mogen ook onderdeel zijn van het netwerk. Deze ondernemingen vormen weliswaar niet de doelgroep van deze subsidieregeling, maar met hun kennis en expertise kunnen zij de slagingskans van het netwerk vergroten.

Bedrijven kunnen via mijn.rvo.nl hun aanvraag indienen tot en met 14 mei 2020.

Onderzoekers van de Universiteit Twente ontdekten zwakke punten in zestig vitale infrastructuren. Of beter gezegd: in de besturingssystemen ervan. De zwakke punten kunnen zogenaamde honeypots zijn, die hackers in de val moeten lokken. Toch opteert hoogleraar Aiko Pras voor meer aandacht voor cybersecurity bij beheerders van vitale systemen zoals elektriciteitscentrales, ziekenhuizen, bruggen en sluizen.

Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Aiko Pras is hoogleraar internetveiligheid aan de Universiteit Twente. Pras en zijn onderzoeksgroep kregen opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen.

Vitale infrastructuren

Pras: ‘Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken? We vonden zestig vitale systemen met meerdere zwakke punten die te hacken zijn. Daarbij gaat het veelal om relatief kleine systemen die worden gebruikt voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.’

Honeypots

Pras en zijn collega’s beschrijven in het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands dat hun ontdekking twee dingen kunnen betekenen. ‘Allereerst kan je denken: dit is schokkend. Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiele aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.’

Politieke keuze

Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. ‘Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet worden gehangen zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag.’

Apart internet

Pras pleit voor een apart stukje internet dat losstaand te beheren is. ‘Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.’

U kunt het rapport downloaden op de site van de TU Twente.