Veel systemen bij energie- en waterbedrijven kwetsbaar

Blootgestelde Human Machine Interface-systemen (HMI) in duizenden cruciale water- en energiebedrijven wereldwijd kunnen worden uitgebuit door kwaadwillenden. Dit kan wereldwijd aanzienlijke gevolgen hebben, zoals besmetting van de watervoorziening.

Dit blijkt uit het onderzoeksrapport 'Exposed and Vulnerable Critical Infrastructure' van Trend Micro. HMI’s zijn een belangrijk onderdeel van industriële IT-systemen die menselijke operators laten communiceren met Supervisory Control And Data Acquisition-omgevingen (SCADA). Een grote meerderheid van de ontdekte, blootgestelde systemen behoort tot kleinere energie- en waterbedrijven. Zij leveren aan de overkoepelende supply chain-leverancier die het grote publiek bedient. Met toegang tot een blootgesteld HMI-systeem kan een aanvaller zowel alle informatie van de cruciale systemen bekijken alsmede communiceren met (en misbruik maken van) deze interfaces.

'Apparaten worden onnodig blootgesteld'

“Cruciale infrastructuur is een nationaal focuspunt voor cybersecurity en voor cybercriminelen die de zwakste schakel in deze verbonden systemen kunnen identificeren en uitbuiten,” zegt Mark Nunnikhoven, vice president van cloud research bij Trend Micro. “Dit is problematisch omdat Trend Micro Research steeds weer cruciale apparaten vindt die, net als de netwerken waarmee zij verbonden zijn, onnodig blootgesteld zijn. Deze blootstelling, in combinatie met het recordaantal ICS-kwetsbaarheden dat dit jaar gevonden werd door het Zero Day Initiative, onderstreept een groeiend risico dat zich uitstrekt tot in elke gemeenschap.”

Veel van deze HMI’s zijn legacy-systemen die niet ontworpen zijn om op deze manier verbonden te zijn met een netwerk. Tegenwoordig wordt connectiviteit toegevoegd aan veel legacy operationele technologiesystemen. Deze hebben een lange levensduur en zijn moeilijk te patchen, wat het risico op aanvallen verergert.

Aanvalsscenario's

In het onderzoeksrapport gaan onderzoekers van Trend Micro gedetailleerd in op mogelijke aanvalsscenario’s die wereldwijde substantiële impact kunnen hebben door gebruik te maken van gevonden informatie in blootgestelde systemen. Deze informatie omvat ook apparaattype, fysieke locatie en andere informatie op systeemniveau die gebruikt kan worden voor een mogelijke aanval.

Door het groeiende aantal nieuwe kwetsbaarheden dat dit jaar is gevonden kunnen aanvallers deze blootgestelde systemen uitbuiten. Trend Micro’s Zero Day Initiative heeft in 2018 tot dusver bijna 400 SCADA-gerelateerde adviezen gepubliceerd over kwetsbaarheden, een stijging van 200 procent in vergelijking met dezelfde periode vorig jaar.

Wie is verantwoordelijk?

Uit recent onderzoek van Trend Micro blijkt tevens dat operationele technologieën zoals deze doorgaans niet worden beheerd door IT- of security-teams. De voortdurende discussie rondom wie er binnen een organisatie verantwoordelijk is voor het beveiligen van verbonden apparaten zorgt meestal voor nóg meer risico.

Om HMI-systemen te beschermen tegen het risico op een aanval moeten security-leiders ervoor zorgen dat interfaces goed beveiligd zijn wanneer zij verbonden moeten worden met het internet. Daarnaast moet er zoveel mogelijk isolatie gerealiseerd worden tussen deze apparaten en het bedrijfsnetwerk, waarmee operationele werkzaamheden door kunnen blijven gaan terwijl het risico op blootstelling en uitbuiting wordt weggenomen.

Rapport

Lees het gehele Engelstalige onderzoeksrapport 'Exposed and Critical Exposed Infrastructure'. Bekijk ook de Engelstalige video van het Forward-Looking Threat Research Team.