Wat hebben we geleerd van de hack in Oekraïne?

Voor zover we weten heeft de hack van het elektriciteitsnetwerk in de Oekraïne, vlak voor de kerstdagen 2015, meer dan 700.00 huishouden in het donker gezet. Een gebeurtenis die ons doet afvragen hoe wij dit soort kritieke infrastructuren kunnen beschermen tegen kwaadaardige hackers.

Het is een aanname dat veel bedrijven hun kritieke infrastructuur als veilig en hoogwaardig beschouwen, wat ze direct een doelwit maakt voor de buitenwereld om het tegendeel te bewijzen. Doelgerichte Phising aanvallen, spear phishing, werd gebruikt om uiteindelijk op het SCADA-systeem in te breken. Vervolgens werd een eenvoudige routine herschreven en werden 700.00 huishoudens in het donker gezet.

Waarom was het niet mogelijk deze aanval te stoppen? De bovengenoemd methode is geen onbekende manier om op systemen in te breken en had minimaal opgemerkt dienen te worden of eigenlijk helemaal voorkomen te worden. Maar hoe kon dit dan gebeuren en wat is de kern van de problematiek?

Werken in Silo’s’

Het gevaar voor veel bedrijven is dat de IT afdeling geen goede afspraken heeft met de system integrator(SI) of de vendor. Wat is rolverdeling, wat is het gezamenlijke doel?

IT afdelingen hebben relatief minder kennis van techniek en zijn onvoldoende opgeleid in de nieuwste technieken die de SI of de vendor heeft geïmplementeerd. De SI en de vendor hebben relatief meer kennis, maar begrijpt soms de IT afdeling niet en dan zal de SI uiteindelijk keuzes implementeren zonder de IT voldoende geïnformeerd en getraind te hebben.

Training

Training is essentieel voor IT afdelingen. Veel klassieke IT mensen op de afdeling komen nog uit het ‘systeembeheerders tijdperk’. Die kunnen niet meer op tegen de nieuwe generatie ‘whizz kids’ die SI’s in dienst hebben. Direct gevolg is dat IT’ers de bewakers worden van systemen die zij onvoldoende begrijpen, en indirect dat IT afdelingen mensen plaatsen met minder IT kennis omdat het alleen maar om een beheerfunctie gaat. Controle van de eigen systemen en processen is verdwenen.

Single vendor

In zijn algemeenheid hebben vendors nogal de neiging om overtuigd te zijn van hun oplossingen en technologieën. De wens van de IT afdeling ten opzichte van wat de vendor kan en wil bieden zijn vaak niet in balans. Geen acceptatie van andere technologieën en de keuze voor een single vendor oplossing. Vendors zien hun groei in de markt en hun oplossingen als primair doel. Daarbij wil men snel de nieuwste oplossingen implementeren zonder goed doordacht de risico’s voor veiligheid te analyseren. Gevolg: door IT afdelingen en vendors worden contracten aangegaan zonder dat partijen goed te begrijpen wat de gevolgen zijn.

Maar wat is dan de oplossing voor de beveiliging van kritieke infrastructuren, of zijn we in de veronderstelling dat dit in Nederland niet kan gebeuren? Met de wetenschap het voorval in de Oekraïne kan men gerust stellen dat ook in Nederland genoeg doelwitten zijn voor dit soort aanvallen. Maar hoe nu verder, wat moet er beter?

Lead by example

Succesvolle ondernemingen worden geleid door management teams met passie en betrokkenheid voor de onderneming. Om gezond te leven dien je je lichaam te onderhouden: goed eten, rusten en bewegen. Niets meer en minder is van toepassing op een organisatie. Open staan voor verandering, educatie bieden, kritisch zijn naar de buitenwereld en onzin niet accepteren. Je kunt als organisatie ook achterover leunen en zien waar het schip strandt, je zelf overleveren aan een ander en de waarschuwingsborden negeren. De keuze is aan het bedrijf, openstaan voor verandering of….

Intelligente gedreven systemen

Je kunt pas over iets oordelen of een mening vormen als je alle data voor handen hebt en de analyse kan doen van de gevaren, maar ook de mogelijkheden. Intelligent gedreven systemen dienen onderdeel te zijn van het veiligheidslandschap. Dat is niet eenvoudig, maar absoluut niet onmogelijk. Het implementeren in de organisatie van intelligente risk analyse zal een investering zijn, maar de downside is de schade te herstellen als het te laat is. Niet een signaal als er iets is mis gegaan, maar een monitoring systeem waarin de risico analyse op voorhand gemaakt kan worden en er actie kan worden genomen voor het te laat is.

Vendormanagement

Voor een IT afdeling is het cruciaal om eigen voorwaarden te stellen aan de beveiliging van de infrastructuur. Niet alleen afgaan op wat de vendor wil en kan, maar contractueel de eisen vastleggen die de IT afdeling noodzakelijk acht. Wanneer dat in duidelijke SLA’s wordt vastgelegd zal de vendor ook meer en meer gedreven worden om te voldoen aan de eisen. Feitelijk zou er voor cruciale ICT-infrastructuur een overkoepelend eisenpakket dienen te zijn vanuit bijvoorbeeld de overheid. Denk aan ISO certificering die van tevoren is ingeregeld om constante, kwalitatief hoogstaande beveiligingsomgevingen te hebben.

Opdelen

Het opdelen van de ICT-infrastructuur om de reikwijdte van mogelijke schade te beperken ligt voor de hand; resellers en vendoren streven hiernaar. Maar werkelijke opdeling is een kostbare zaak. Een inbreuk op de infrastructuur met alle gevolgen van dien kan weliswaar niet altijd voorkomen worden, maar bij een opdeling van de infrastructuur is er dan wel de – veel eenvoudiger – mogelijkheid om volledig om te schakelen.

Vanuit IT afdelingen, lees: afnemers van de oplossing, is dit alles zeker relevant. Steeds meer is off-premise en in handen van derde partijen. Lees vendors, resellers datacenters, cloud aanbieders enz.. En let wel: veel cruciale infrastructuren, van overheden, banken, instellingen in de gezondheidszorg, energieleverancier en anderen zijn al in handen van derden. Uiteraard allemaal partijen met veel kennis en kunde, maar tevens instellingen die bewust of onbewust binnen de eerdergenoemde risicogroepen zouden kunnen vallen

Voor het vermijden van risico’s is intelligentie nodig, data-analyse die opties voor de infrastructuur beter inzichtelijk kan maken en zodat van daaruit de juiste keuzes gemaakt kunnen worden. Het continue trainen van de IT-afdeling en zelf in controle zijn van wat er binnen het bedrijf gebeurt is essentieel. Het streven naar (of opleggen van) een ‘ICT ISO- normering’ voor bedrijf kritische infrastructuren is een zaak voor de overheid, of zou de IC-branche hier zelf een stap in kunnen zetten? In the end…100% garantie zal niemand kunnen geven, wat mensen kunnen maken kunnen ze ook breken. Maar zeker is wel dat niets of onvoldoende doen geen optie meer is!

Jhony Stalman

bron; www.networkworld.com