Volgens twee Nederlandse protocolhackers zal de scherpe scheiding tussen IT- en functionele technologie (OT)-netwerken in industriële omgevingen in de toekomst niet permanent zijn.
Don Keeper En Dieven Alchemie Onlangs won hij een internationale hackercompetitie vanwege de ernstige kwetsbaarheden die ze aantroffen in verschillende systemen die in industriële omgevingen worden gebruikt.
Thema van dit jaar Pwn2Own Internationale hacker De concurrentie in Miami was industriële regelgevende instanties. Naarmate de digitalisering in de maakindustrie toenam, werden hackers ingeschakeld om te zoeken naar kwetsbaarheden in verschillende soorten industriële software en systemen.
Alkemade en Keuper runnen samen de onderzoeksdivisie Sector 7 van het Nederlandse adviesbureau Computest, waar ze worden ondergedompeld in de veiligheid van de digitale wereld met een focus op sociale impact. “In het dagelijkse beheer van Compudest hebben we gemerkt dat er niet altijd genoeg tijd en prioriteit is om de effecten van sociale verandering te onderzoeken,” zei Keeper. “Daarom hebben we een eigen afdeling opgezet die dit kan zonder deadline en een eigen onderzoeksagenda van opdrachtgevers.”
Alkemade en Keuper wonnen vorig jaar ook een hackerwedstrijd, met kwetsbaarheden die ze ontdekten op de teleconferentiesite Zoom. “Voor ons onderzoek kijken we naar de huidige ontwikkelingen in de wereld en in Nederland”, aldus Keeper. “Tijdens lockdowns, toen iedereen ineens met Zoom begon te werken, hebben we de veiligheid van dat project verkend.”
Ze hebben ook kritisch getest Coronacek-appNederlanders gebruiken hun vaccinatie- en herstelcertificaat om een QR-code om te zetten voor een nationaal of internationaal ticket.
“We wilden al een tijdje samenwerken met brancheorganisaties”, zei Keeper. “We krijgen regelmatig verzoeken van klanten om hun fabrieksbases te testen, maar in OT-systemen staat de beschikbaarheid voorop. Het is echt moeilijk om de veiligheid van de omgeving te zien.”
De wedstrijd in Miami was een welkome kans voor Keuper en Alkemade om de impact van industriële automatisering te onderzoeken zonder werk van de klant – en ze identificeerden vijf kwetsbaarheden. Alkemade zei: “Ik kan nog niet in details treden, omdat ze niet allemaal door de leverancier worden opgelost, maar ze zijn kwetsbaar voor applicaties die worden gebruikt om systemen te beheren of communicatie te regelen.
Keuper voegde toe: “We zien dat productiebedrijven er alles aan doen om te voorkomen dat aanvallers het OT-netwerk binnendringen. Er is een scherpe scheiding tussen het OT-netwerk en het IT-netwerk in bijna elke branche, maar met de kennis die we hebben opgedaan, denk ik dat dit model zal in de toekomst niet houdbaar zijn.
Alles zal met elkaar verbonden zijn
De industrie wordt slimmer – de vierde industriële revolutie is digitaal. Vrijwel alle machines en apparaten zijn aangesloten op het internet of zullen dat in de toekomst zijn. Verbinding is belangrijk, niet verwonderlijk, want het is veel goedkoper om 30 bruggen vanaf een centrale plek te besturen dan 30 brugoperators te gebruiken.
“Deze groeiende verbinding betekent dat mensen meer analyse en inzicht verwachten”, zei Keeper. “Het is onvermijdelijk dat IT en OT steeds meer met elkaar verweven raken. Dit vraagt om een nieuwe strategie voor je beveiliging.
De meeste machines en andere apparatuur die in fabrieken worden gebruikt, zijn oud of verouderd en zijn niet ontworpen om te worden aangesloten op internet of om te voldoen aan de huidige beveiligingsmaatregelen. De primaire beveiliging zit dus in het IT-netwerk en dit netwerk creëert een extra buffer voor het OT-netwerk in de meeste industriële omgevingen.
“We zien dat veel industriële bedrijven hun IT-netwerk goed onderhouden”, zegt Alkamet. “De kwetsbaarheden die we detecteren zijn niet gemakkelijk te misbruiken. Je moet eerst toegang krijgen tot het netwerk, wat vaak niet eenvoudig is. Maar als je dat doet, maken deze kwetsbaarheden het relatief eenvoudig om machines te verwerven, processen aan te passen of de hele zaak te lamleggen – met verstrekkende gevolgen.
Keuper zei dat de huidige strategie van gescheiden IT- en OT-netwerken geen toekomstige bron is. “Het is alsof je een oud kasteel hebt, met een stadsmuur, poorten en een gracht. Je moet ervoor zorgen dat niemand naar je kasteel kan komen. Je hebt duizend laden die onmogelijk te controleren of te beveiligen zijn.
De beveiliging van de OT- en IT-netwerken is nu in handen van verschillende individuen, die dit allemaal samenbrengen met Kooper advocaten. “Als je het verschil wilt maken, moet je samenwerken”, zei hij. “IT- en OT-beveiliging zijn nog steeds twee verschillende werelden. Als ik iemand ontmoet op een IT-beveiligingsconferentie en vraag of ze naar de komende OT-beveiligingsconferentie gaan, is het antwoord altijd nee.
“Meestal is de beveiliging van het IT-netwerk de verantwoordelijkheid van één persoon en de beveiliging van de OT de verantwoordelijkheid van een ander. Ze praten waarschijnlijk met elkaar, maar ze hebben heel verschillende belangen. Verantwoordelijk zijn voor het netwerk is ook essentieel.
De uitdaging voor de toekomst
Dit is niet echt een Nederlands probleem, ethische hackers – industriële bedrijven over de hele wereld vechten ertegen. “Er is een cultuuromslag nodig om IT en OT bij elkaar te brengen”, zegt Keuper. “Dit is een heel complexe kwestie, het is niet makkelijk en snel. De interesses zijn heel divers.
Alkemade voegt toe: “Ik denk dat alleen nieuwe installaties deze uitdaging volledig kunnen oplossen. Wanneer je een nieuwe fabriek maakt, kun je IT en OT in je infrastructuur verweven en het netwerk opzetten in de veronderstelling dat alles met internet zal worden verbonden.
Voor bestaande industrieën en andere industriële omgevingen is dit lastiger omdat de veranderingen direct van invloed zijn op de beschikbaarheid. Alkemade en Keuper hebben hun expertise op dit gebied bewezen en willen netwerken en installaties veiliger maken voor industriële bedrijven.
“We hebben aangetoond dat industriële toepassingen het meest kwetsbaar zijn, maar de kwetsbaarheden die we hebben geïdentificeerd zijn laaghangend fruit”, voegde ze eraan toe. “Ze zijn heel gemakkelijk te vinden en te misbruiken. Er is dus nog een wereld te veroveren.
“Reisliefhebber. Razend bescheiden lezer. Ongeneeslijke internetspecialist.”
More Stories
Nederland roept Israël op om het UNRWA-embargo te heroverwegen en dringt aan op een staakt-het-vuren
Bizar… Nederlands veldrittalent maakt het uit met Belgisch team, dat woedend reageert: ‘Ik hoop dat je faalt’
De Asieldienst kreeg in april een boete van 50.000 euro per dag opgelegd