Wam Voster (Gartner): ‘IT-hack kost geld, OT-hack kan levens kosten’

Het grootste probleem met betrekking tot cybersecurity heeft niets met Russen, Chinezen, Iraniërs of de NSA (lees: PRISM) te maken. Het grootste probleem is momenteel een tekort aan geschoolde IT-mensen. Wereldwijd zijn er drie miljoen onvervulde security-functies. Dát is de grootste bedreiging voor het security-landschap. En niet alleen het IT-landschap, want dat is slechts de helft van het probleem, stelde Gartner-analist Wam Voster tijdens de Dutch IT Security Day, begin december in de Rijtuigenloods in Amersfoort. “De andere helft gaat om OT – operationele technologie. Vroeger vaak stand alone, maar tegenwoordig bijna allemaal connected. En waar IT-problemen impact hebben op de digitale omgeving, heeft OT dat op de fysieke omgeving.”

Het klonk vrij alarmerend, de presentatie van Voster. De vaak eenzijdige bescherming van de IT-omgeving ten koste van de OT-omgeving is vergelijkbar met het aanleggen van een slotgracht aan de voorzijde van het huis, en de achterdeur open laten staan. “En waar een incident in de IT kan leiden tot verlies van data, kan het in OT leiden tot verlies van levens.”

Controle overnemen

Voster schetst meerdere incidenten waarbij door het falen van OT een incident tot doden leidde. Zoals in 2013 als gevolg van een stikstoflek in West-Texas, een plaatsje in de Lone Star State dat inmiddels niet meer bestaat. Of met een vat vol vloeibaar ijzer in een Chinese fabriek dat te vroeg omkiepte. “Deze gevallen waren niet het gevolg van een OT-hack. Maar ik kan bij wijze van spreken met een laptop en wat goede hack-skills de controle overnemen over veel van dergelijke industriële controlesystemen en het mis laten gaan.”

In zijn algemeenheid worden de risico’s en de impact van cyberincidenten steeds groter, betoogt Voster. Hij verwijst onder meer naar verzekeraar Allianz, die cyberincidenten als het grootste risico van 2022 noemt. Onderzoek van Gartner koppelt dit aan de enorme economie die cybersecurity is, met 6 miljoen dollar omzet per jaar. “Toch worden veel bedrijven meermaals gehackt, dan gaat er dus iets niet goed. En het maakt niet uit of het een grote onderneming is of een mkb-bedrijf. Cybercriminaliteit is vaak een zaak van het pakken van kansen waar die te vinden zijn. En meestal gebeurt dat op een vrijdagavond, een weekeinde of gedurende feestdagen, wanneer er nog minder IT’ers dan normaal actief zijn.”

Gerichte hacks bij OT

Waar IT-hacks vaak een vorm zijn van pakken wat je pakken kan, bijvoorbeeld met ransomware geld afpersen, gaat het bij OT vaak om gerichte hacks. Dit gebeurt veel vaker door state actors of door staten of terroristen gesteunde hacks. Het doel is dan om zoveel mogelijk schade aan te richten of een gevoel van onveiligheid te creëren. Denk aan de hack van de Colonial Pipeline in de VS in mei 2021, als gevolg waarvan de hele Oostkust van de VS zonder olie dreigde te komen zitten.

“49 procent van alle aanvallen op OT-omgevingen zijn doelgericht. Zo is er tussen Iran en Israël sprake van een voortdurende cyberoorlog waarbij men elkaars vitale infrastructuren probeert te ontregelen. Daarnaast is 18 procent van de aanvallen het gevolg van een boze of ontevreden werknemer die wraak wil nemen. Zo’n interne aanval is lastiger te pareren.”

Platleggen veiligheidssysteem

En mogelijkheden om OT-hacks uit te voeren zijn er genoeg. Zo noemt Voster het zogeheten safety instrument system (SIS), een soort noodknop om op te drukken als er in een OT-omgeving iets mis dreigt te gaan. Onder meer Schneider Electric levert hiervoor een platform onder de naam Triconex. Er is online geen enkele informatie te vinden over de betrokken protocollen. Toch wisten hackers met behulp van malware onder de naam Triton meermaals bij fabrieken en energieleveranciers binnen te komen en het SIS plat te leggen, waarna het relatief eenvoudig is om iets mis te laten gaan. Denk aan het opblazen van een stikstoftank, waarvan de gevolgen al meermaals duidelijk zijn geworden.

“En dit vindt niet alleen bij grote fabrieken, havens, energieleveranciers of complexen zoals Pernis plaats. Kleinere bedrijven kunnen een stepping stone zijn naar een grotere aanval. Vaak gaat het om toeleveranciers die minder goed beschermd zijn. Zo kun je ook vanuit de vaak op oude software draaiende OT-omgeving in de IT-omgeving terecht komen. Bijvoorbeeld van een hotel waar hackers via het aquariumsysteem dat een contractor werd gemonitord, zo 16 miljoen euro wisten weg te sluizen.”

Impact fysieke wereld

Dit heeft nog relatief beperkte impact in de fysieke wereld, betoogt Voster. Maar als via internet en gebouwbeheersysteem iemand controle krijgt over een fabriek of gebouw, kunnen er dus ergere dingen gebeuren. Zoals in de Rijtuigenloods op afstand alle deuren afsluiten en vervolgens de temperatuur flink omhoog gooien, terwijl de luchtcirculatie wordt uitgeschakeld. “Dit is waar ransomware overgaat in siege ware.”

Een incident in IT leidt tot verlies van data en geld, benadrukt Voster nogmaals, in OT tot verlies van levens. Dan heb je het niet langer over malware, maar over killware. OT is dan niet meer het doel, maar het middel tot een aanval. En dit kan omdat we IT enorm beschermen, maar OT niet of nauwelijks. Patchen kan soms alleen als een fabriek stilligt, soms draaien er nog Windows XP-systemen. Als het probleem business continuity is (verlies geld), dan maakt het niet uit of je geraakt wordt door bliksem of ransomware. Gevolg is hetzelfde. Maar waar er wel alles aan veiligheid wordt gedaan voor fysieke oorzaken zoals blikseminslag, gebeurt dat nog te weinig in OT.” 

Reden voor Gartner om vorig jaar een raamwerk bestaande uit 10 onderdelen naar buiten te brengen om OT Security op orde te brengen. Dit OT Security Framework moet organisaties helpen om de beveiliging van OT in hun faciliteiten te verbeteren en voorkomen dat incidenten in de digitale wereld een negatief effect hebben op de fysieke wereld.

Lees ook deze eerder verschenen artikelen over de Dutch IT Security Day:

Hoppenbrouwers: teamwork, preventie en transparantie versus ransomware

Dutch IT Security Day: meer budget en awareness, uitdagingen blijven