Cybersecurity in de industrie | Vraag niet óf, maar wanneer het mis gaat

Tekst: Harold van den Hauten

Je denkt er liever niet aan: een aanval van hackers. Maar de actualiteit laat zien dat het tegenwoordig een reële dreiging is, en zeker ook voor de voedings-middelenindustrie. De vraag lijkt niet te zijn óf het gebeurt maar wanneer het jouw bedrijf overkomt. Ligt er een noodplan klaar voor het geval dát?

Wanneer is je bedrijf voldoende ‘cybersecure’? Waar liggen de uitdagingen in de essentiële samen­werking tussen de IT-(Informatie Technologie)en OT-(Operationele Technologie) afdeling? Hoe profiteer je van digitale innovaties maar houd je tegelijkertijd grip op de informatiebeveiliging? Wat zegt de regelgeving en hoe pas je bijvoorbeeld de IEC 62443-norm toe? Tijdens het Industrial Cyber Security event werden in Nijkerk deze en andere actu­ele vraagstukken behandeld tijdens het door Federatie Het Instrument (FHI) georganiseerde congres ‘Industrial Cyber Security 2021.’

In de veevoederfabriek

Veevoederproducent For Farmers heeft onlangs een security roadmap voor de komende jaren opgesteld die is gebaseerd op de 5 meest realistische bedreigingen. Sinds 2018 is de Group Security Officer Johan Rambi bezig met het veranderen van het security-bewust­zijn binnen de organisatie; van adhoc incidentgedreven naar een risicogebaseerde aanpak. Bij deze verandering wordt een integrale Privacy (IT-OT) en Security scope gehanteerd.

Op 19 april van dit jaar werd veevoeder producent Danish Agro getroffen door een aanval op het OT-systeem. De gevolgen waren heftig. Buiten de financiële schade duurde het meer dan een week voordat de productie weer was opgestart. Het is een van de vele voorbeelden die Johan Rambi, cybersecuritystrategist van ForFarmers kan aanhalen om zijn verhaal te illustreren.

De vraag waarmee hij zijn voordracht begint is dan ook: “Wat is je ergste nachtmerrie?”. Zelf geeft hij maar meteen het antwoord: hackers vallen je beveiligingssystemen aan en leggen je productie plat. Een aanvullende zin op zijn presentatie is ook behoorlijk verontrustend: de volgende golf van aanvallen gaat niet over het stelen van data, maar om het veranderen daarvan. Behalve het compleet uitschakelen van de productie is er namelijk nog een subtieler, maar niet minder angstwekkend gevaar; dat van de mogelijkheid om de receptuur te veranderen. Het is voorstelbaar dat dat pas verder­op in de keten ontdekt wordt en behalve financiële, ook reputatie­schade veroorzaakt. Het zijn niet alleen ‘particuliere’ hack­ers, die het op de agricultuurbedrijven voorzien hebben - ook het vizier van natiestaat hackers is op de industrie gericht!

ForFarmers werkt met een matrix van de mogelijke scenario’s. De assen van de matrix zijn de waarschijnlijkheid van een gebeurtenis en de gevolgen die dat heeft. In het vak met hoge waarschijnlijkheid en grote gevolgen vinden we ontregelingen als gevolg van gijzelsoftware gericht op data en productie, maar ook aanvallen gericht op de leveringsketen, zowel leveranciers als afnemers.

ForFarmers heeft zich met een programma systematisch voor­bereid en is daar nu en in de komende tijd nog steeds mee bezig. Het programma richt zich aan de technische (OT)-kant op veiligheid en kwaliteit, aan de IT-kant de kwaliteit van de date en continu­ïteit van de bedrijfsvoering. ForFarmers gebruikt het internationale NIST Cybersecurity framework en standaards als ISO 27001/2 en IEC 62443. Rambi maakt duidelijk dat samenwerking cruciaal is voor de sector en nodi­gt ieder uit om contact te zoeken met ForFarmers.

Live hack van de pannenkoekenfabriek

Tijdens de lezingen van Actemium en Fortinet – ‘hack de snack’ – werden pannenkoeken gebakken om inzichtelijk te maken hoe een productielijn van een denkbeeldige pannenkoekenfabriek kan worden aangevallen. Mede dankzij de heerlijke lucht van versgebakken pannenkoeken bleven de toeschouwers aandachtig luisteren.

De beveiligingsrisico’s beperken zich niet tot een bepaalde industrie. Toch leuk dat Actemium en Fortinet hun verhaal ophangen aan een pannenkoekfabriek. De microfabriek staat nu in als ‘tabletop’ voor onze neus te geuren. Hun voordracht heet “Hack the snack, save the pancake.” De voordracht is interactief en de heren zullen ter plekke laten zien hoe je een productieproces hackt. Om te beginnen later ze zien dat ze tijdens ons binnenkomen de tientallen aanwezige zenders (smartphones) hebben uitgelezen en inmiddels weten ze hoe die beveiligd zijn (of niet!). Het onderdeel’ Hack the snack’ gaat over algemene beveiligingsrisico’s voor industriële regelsystemen en is een demonstratie van de kwetsbaarheid ervan. We zien hier de normale productie van de pannenkoeken en vervolgens de aanval en de gevolgen voor het regelsysteem, en dus voor de productie. We zien tot ons verdriet hoe de pannenkoekenplant tot stilstand komt en ruiken dat de geurige dampen ons verlaten.

Het vervolg van het verhaal ‘Save the pancake’ laat zien hoe we de risico’s kunnen verminderen en we zien een demonstratie van het verbeterde (veilige) proces. De micro-pannenkoeken fabriek draait weer als een zonnetje.

Het overzicht van algemene risico’s bij procesregelsystemen bevat geen nieuws; des te verontrustende dat ze nog algemeen voor­komen. Denk maar aan ‘standaard ‘wachtwoorden (admin,12345 en meer van dat fraais), niet-geüpdatete systemen, geen of in­complete back-ups en zo verder. Speciale aandacht krijgt het onder­deel remote acces(wifi). Dit is vaak niet of onvoldoende behee­rd. Het is een heel belangrijk punt van aandacht omdat de toepassingen in de maakindustrie hand over hand toenemen. Het is zaak om het bereik van de wifi-zenders fysiek te beperken tot de afstand die daadwerkelijk nodig is, en niet verder.

Natuurlijk moet de software worden onderhouden en geregeld worden geüpdatet. Dat is voor industriële systemen een extra probleem omdat de installaties vaak veel langer meegaan dan in de privé- en kantooromgevingen. Dan kan het zijn dat de software niet meer in het reguliere updateprogramma van een fabrikant wordt meegenomen en dat er individuele patches gemaakt moeten worden. In de OT-omgeving, met draaiende productie, is het patch­en een risicovolle onderneming waarbij mogelijk een herstart van het systeem nodig is. Mogelijk schrikt het af om een update direct uit te voeren, maar je blijft dan wel zitten met een minder veilig systeem.

Het beheer van deze systemen is complex, maar extra belangrijk!

Politie neemt ondergrondse site over

Het Team High Tech Crime heeft in juli van dit jaar een uniek onderzoek gedaan naar darknet-markt Hansa. Darknet-markten zijn websites op het internet, veelal bereikbaar via Tor, waarop vraag en aanbod van illegale diensten en goederen samenkomen zoals drugs, gestolen creditcardinformatie, valse documenten of hacking-tools. De val van Hansa Market is het sluitstuk van een infiltratieoperatie, waarbij de Nederlandse politie in juni het beheer van de marktplaats in handen kreeg. Dat werd mogelijk na de aanhouding van de twee beheerders van Hansa Market in Duitsland. Met de infiltrat­­ie en overname van Hansa heeft de Nederlandse politie de wereld laten zien dat je er niet zonder meer vanuit kunt gaan dat je anoniem kunt blijven op het dark web. De presentatie door een tweetal betrokken politiemannen laat zien dat de politie succes heeft behaald met deze vernieuwende technieken en tactieken.