Het is geen geheim dat het aanvalsoppervlak voor industriële besturingssystemen, afgekort als ICS (Industrial Control Systems), snel toeneemt. De toenemende digitalisering van bedrijven, adoptie van IoT en convergentie van IT en OT (information en operational technology), plus de gevolgen van escalerende geopolitieke spanningen, betekenen dat organisaties uit sectoren met kritieke infrastructuur in staat moeten zijn de steeds frequentere ICS-aanvallen te bestrijden. Die kunnen niet alleen tot langdurige operationele downtime leiden, maar ook mensen en gemeenschappen ernstig in gevaar brengen.
Er is dezer dagen namelijk een duidelijk verschil in de aard van ICS/OT-dreigingen. In tegenstelling tot traditionele aanvallen op IT-netwerken van ondernemingen, die vooral gericht zijn op geldelijk gewin of gegevensdiefstal, richten door de staat gesteunde aanvallers zich vaak op kritieke infrastructuursystemen, met bewuste intenties om de bedrijfsvoering te verstoren, fysieke schade toe te brengen of zelfs catastrofale en potentieel fatale incidenten te faciliteren.
Dit is geen fictie, maar de realiteit van vandaag. Zo werden vorig jaar in de VS drie nucleaire onderzoekslabo’s belaagd door de Russische hackersgroep Cold River. In 2016 al was er het CRASH OVERRIDE incident waarbij de stroom uitviel in een deel van Kiev, opnieuw door (staatsgesponsord) stoorwerk uit Russische hoek. Daarbij werden legitieme ICS-protocollen misbruikt om apparatuur te manipuleren, om zo de stroomverdeling op het Oekraïens netwerk te verstoren.
Het incident was een voorafspiegeling van het cyberrisico-tijdperk waarnaar we vandaag geëvolueerd zijn, en onderstreept het belang van getrainde verdedigers met een ingenieursachtergrond die ICS-netwerken doeltreffend kunnen bewaken en actief kunnen reageren op het opzetten van aanvallen vóór ze gevolgen hebben. Want, een zwakke ICS/OT- beveiliging kan een risico vormen voor de volksgezondheid, maar ook het leefmilieu en zelfs de nationale veiligheid – denk bijvoorbeeld aan stroompannes in grootsteden, die voor onherstelbare schade kan zorgen en honderdduizenden levens in gevaar kan brengen.
Organisaties met kritieke infrastructuur hebben dus een inherente verantwoordelijk om een robuust ICS/OT-beveiligingsframework op te zetten dat hun operationele activa doeltreffend beschermt tegen gesofisticeerde aanvallen. Dit is geen kwestie van louter te voldoen aan verplichte minimumeisen om kostelijke boetes of andere sancties te voorkomen. Het gaat erom het maximale te doen om mensen te beschermen tegen de reële, fysieke gevolgen van cybercriminaliteit – en dan bedoelen we niet enkel hun eigen personeel, maar ook de mensen die wonen en werken in de wijde omgeving.
De vijf componenten van doeltreffende ICS/OT security
Een balans in prioritering is essentieel voor effectieve ICS/OT-beveiliging, zoals duidelijk gemaakt wordt in een recente whitepaper van SANS over de vijf ‘critical controls’ in ICS cybersecurity. ‘Prevention bias’ is een bekend thema in de cybersec-gemeenschap: tussen 60 en 95% van de bekendste en meest gebruikte security frameworks zijn preventief van aard, maar blijven tegelijk achter op het gebied van detectie en respons. Als gevolg daarvan investeren veel organisaties slechts 5% van hun middelen in detectie, reactie, continuïteit tijdens een aanval en herstel na inbreuken.
Gezien zowel het volume als de snelheid van ICS-gerelateerde aanvallen snel toenemen, zullen zelfs de strengste preventiemaatregelen onvermijdelijk omzeild worden. Organisaties moeten dus voorbereid zijn voor wanneer – niet als – dat gebeurt. Dit kan door AI-gedreven detectie- en responsmethoden te integreren, die zorgen voor agile mitigatie en herstel. De implementatie van een ICS/OT-beveiligingsframework dat de volgende vijf ‘critical controls’ omvat is essentieel om dat evenwicht te bereiken.
- ICS incidentrespons: Een operations-georiënteerd incident-responsplan dient ontworpen te worden met gerichte mogelijkheden voor systeemintegriteit en herstel, om het reageren op aanvallen in een operationele context minder complex te maken. Deze oefeningen zorgen voor sterkere risicoscenario’s en use cases, afgestemd op hun beveiligingsomgeving, waarbij prioriteit wordt gegeven aan acties op basis van de potentiële operationele impact en de manier waarop het systeem moet worden gepositioneerd om een aanval te doorstaan. Ze vergroten ook de operationele veerkracht door root cause analysis van potentiële failure events te vergemakkelijken.
- Verdedigbare architectuur: Een doeltreffend verdedigbare ICS-architectuur ondersteunt zichtbaarheid, logboekverzameling, assetidentificatie, segmentatie, gedemilitariseerde industriële zones en het handhaven van procescommunicatie. Het helpt de kloof tussen mens en technologie te overbruggen, door risico’s zoveel mogelijk te beperken via systeemontwerp en -implementatie en tegelijkertijd efficiënte processen in het veiligheidsteam te sturen.
- ICS network visibility monitoring: Vanwege het ‘systemen van systemen’-karakter van ICS-aanvallen is het van vitaal belang de netwerkbeveiliging van de ICS-omgeving voortdurend te monitoren met protocolbewuste toolsets en systems-of-systems- interactieanalyse. Deze mogelijkheden kunnen benut worden om operationele teams te informeren over mogelijke kwetsbaarheden die aangepakt dienen te worden, om zo de algemene veerkracht en het herstel te bevorderen en kostbare of gevaarlijke operationele uitval te voorkomen.
- Remote access security: Volgend op de maatschappijbrede adoptie van cloudgebaseerde hybride werkstructuren maken aanvallers steeds vaker gebruik van remote access om OT-netwerken te infiltreren. In het verleden ging het primaire aanvalspad naar een OT-netwerk via het IT-netwerk van die organisatie, maar nu kunnen malafide spelers ook het volledige ecosysteem van de toeleveringsketen exploiteren, door in te spelen op de zwakke plekken in het IT-netwerk van hun verkopers, onderhoudspersoneel, integrators en fabrikanten van apparatuur. Daar staat tegenover dat het voor moderne industriële activiteiten onontbeerlijk is om veilige toegang vanop afstand te verzekeren.
- Risk-Based Vulnerability Management: Een risicogebaseerd vulnerability management-programma stelt organisaties in staat de ICS-kwetsbaarheden met het grootste risico te definiëren en te prioriteren. Vaak zijn dit kwetsbaarheden waarmee tegenstanders toegang kunnen krijgen tot de ICS of nieuwe functionaliteiten kunnen introduceren, die vervolgens gebruikt kunnen worden om operationele problemen te veroorzaken zoals het verlies van zicht, controle of veiligheid in een industriële omgeving. Het adopteren van een risicogebaseerd vulnerability management vereist controles en operationele omstandigheden die risicogebaseerde besluitvorming mogelijk maken tijdens preventie, respons, mitigatie en herstelacties.
Een veiligere toekomst
Voor organisaties en faciliteiten die worstelen met hun ICS/OT-beveiligingsprogramma raad ik aan deze vijf essentiële controls als uitgangspunt te nemen. De vijf bovenvernoemde pijlers kunnen dienen als een traject voor kritieke-infrastructuurspelers om een ICS security- programma op te stellen dat specifiek afgestemd is op hun eigen risicoprofiel. En hoewel deze controls van onschatbare waarde zijn voor ICS/OT-beveiliging, is hun kracht nog steeds afhankelijk van een eensgezinde organisatiecultuur waarin de ernst van cyberrisico’s op elk niveau wordt begrepen en geprioriteerd – van de raad van bestuur en de uitvoerende leiding tot de frontlinies van hun veiligheidsteams.
ICS/OT security moet een teamsportbenadering volgen, waarbij de kracht van agile controls en goed gedefinieerde processen gecombineerd wordt om gelijke tred te houden met de steeds vaker voorkomende ICS-aanvallen. Met het juiste kader kunnen kritieke infrastructuur- organisaties proactieve stappen ondernemen om hun eigen verdediging tegen malafide aanvallers te verbeteren.