De laatste tijd komen de Belgische kerncentrales steeds vaker in het nieuws vanwege de risico’s van fysieke schade aan de centrales, en specifieker de reactoren. Daarnaast wordt ook duidelijk hoe een saboteur in een kerncentrale slechts een pomp hoeft te saboteren om de hele centrale voor ettelijke maanden stil te leggen. Hierdoor worden kerncentrales steeds beter beveiligd tegen de fysieke risico’s.
Toch blijven vele kerncentrales op het vlak van cybersecurity achter. Volgens een recent rapport van de denktank Chatham House dat het hacken van kerncentrales in de afgelopen jaren drastisch blijft stijgen. Peter Geijtenbeek, international sales director bij het cybersecuritybedrijf Fox-IT, ziet ook in dat overheden en verantwoordelijken voor kerncentrales zich te vaak blindstaren op de fysieke bescherming en te weinig op de cybersecurity letten.
Europa hinkt achterop
Volgen Geijtenbeek zijn overheden te lang aan de zijlijn blijven staan op vlak van cybersecurity van kritieke infrastructuren. Zo blijft vooral Europa vaak achterophinken bij de effectieve wetgeving omtrent veiligheidsprocedures. Ook al werd tijden de Nuclear Industrial Summit 2014 in Amsterdam een joint statement uitgevaardigd door tweehonderd industriële leiders om de veiligheid van de critical infrastructure te verbeteren, ziet Geijtenbeek dat er op Europees vlak toch nog veel gedaan moet worden.
‘Een van de belangrijkste voorbeelden hiervan is de scheiding van de it-omgeving van de ot-omgeving, die kritiek is bij het beschermen van systemen tegen cybercrime omdat dit eigenlijk al een verdedigingsmuur plaatst rondom belangrijke systemen. In de VS en het Midden-Oosten is deze opsplitsing wettelijk verplicht bij critical infrastructure, terwijl dit in Europa gewoon geadviseerd wordt. Dit kan over de hele lijn worden doorgetrokken aangezien we merken dat opnieuw de VS en het Midden-Oosten cybersecurity op vlak van remote acces en IoT veel ernstiger nemen dan Europa. Ook op financieel vlak is duidelijk dat Europese landen veel minder spenderen op vlak van cybersecurity in hun centrales, vaak ook vanwege het huidige besparingsklimaat.’
Infrastructuur niet voorbereid
Een van de belangrijkste oorzaken waarom kerncentrales vaak het doelwit zijn van hackers lijkt aan hun ot-systemen te liggen, en dan vooral de scada-systemen (supervisory control and data acquisition), volgens Geijtenbeek. ‘Veel kerncentrales gebruiken nog steeds dezelfde scada-systemen die bij hun oprichting geïnstalleerd waren. Dit vooral omdat de kerncentrales vasthangen aan langdurige onderhoudscontracten van de installateurs waar ze niet onderuit kunnen. Het probleem is dat deze systemen niet ontwikkeld zijn met cybersecurity in het achterhoofd aangezien het in die tijd nog geen wezenlijke dreiging was. Nu echter, met de opkomst van IoT en de vraag naar remote access van systemen worden er door de koppeling van deze oude systemen met modernere steeds meer zwakke plekken gemaakt in de ot-infrastructuur van kerncentrales, die op hun beurt dan weer een gemakkelijke ingang verschaffen aan cybercriminelen.’
Air gap is mythe
Tot op heden leeft er bij beheerders van kerncentrales nog steeds de mythe dat men veilig is aangezien de kerncentrales air-gapped zijn. Dit houdt in dat de interne it-infrastructuur niet in contact komt met de buitenwereld. Geijtenbeek beseft maar al te goed dat air gap een mythe is. Binnendringen via het internet of via de it-structuur is slechts een manier om binnen te dringen, een cybercrimineel zal echter steeds de weg van de minste weerstand zoeken, en dat kan vaak tamelijk low tech zijn. Bijvoorbeeld door een usb-stick te besmetten die later door een werknemer van de kerncentrale wordt gebruikt. ‘De Stuxnet-hack is een goed voorbeeld van hoe door het gebruik van een besmette usb-stick een Iraanse kerncentrale ten prooi viel aan een cyberattack’, zegt Geijtenbeek.
Cyberaanvallen blijven stijgen
In een recent onderzoek van de denktank Chatham House blijkt dat de dreiging dat kerncentrales gehackt worden, stijgt. Geijtenbeek durft zelfs verder te gaan en ziet dat hacking van critical infrastructure over het algemeen steeds groter wordt. Dit komt vooral omdat cybercriminelen zelf steeds meer over beter materieel beschikken en ook steeds innovatiever worden in hun hacks. Toch ziet Geijtenbeek dat er vanuit de sector steeds meer bewustwording ontstaat en vanuit de sector ook zelf meer initiatieven genomen worden om sluizen op te zetten om de datastromen beter te beveiligen. Zo worden vaak datadiodes gebruikt waarbij productiegegevens vanuit de ot-omgeving naar de it-omgeving kan worden gestuurd maar andersom niet.
Wie zit achter het klavier?
De vraag is natuurlijk wie deze kritieke infrastructuur wil hacken? Volgens Geijtenbeek is het duidelijk dat achter hacking van kerncentrales vooral statelijke actoren zullen zitten, en dan specifieker de veiligheidsdiensten van die landen, ofwel actoren die door statelijk diensten gesteund worden.
‘De eenvoudige reden is dat zulke cyberaanvallen niet gebeuren met een gewone laptop. Hiervoor is een grote hoeveelheid technische en financiële ondersteuning noodzakelijk, die dus enkel door ter beschikking staat van bepaalde statelijke actoren, en zelfs specifieker, maar van enkele landen in wereld. Het voordeel van het gebruik van cyberaanvallen is dan ook nog eens dat staten zich ook steeds wegsteken bij deze hacks aangezien het vaak lastig te bewijzen is van waar men de hack heeft uitgevoerd. Zo heeft men bij verschillende hacks bijvoorbeeld het vermoeden dat een bepaald land hier achter zit, zoals bijvoorbeeld het vermoeden dat Amerika en Israël achter Stuxnet zitten, maar zoiets bewijzen, dat is natuurlijk een heel ander verhaal…’
Wat doen tegen cyberaanvallen?
Helaas is er geen silver bullet-oplossing, wel kunnen door een aantal aspecten te combineren de bestaande cybercrime bedreigingen sterk worden geminimaliseerd. Geijtenbeek pleit voor een combinatie van protectie, detectie en response. De bescherming kan verbeterd worden door het installeren van de eerdergenoemde datadiodes maar ook door betere voorlichting op de werkplek over de gevaren in combinatie met trainingen en opleidingen. Ten tweede is het belangrijk dat men snel kan herkennen dat men gehackt is dat kan door het actief monitoren van systemen. ‘If you can see it, you can deal with it’, aldus Geijtenbeek. Als laatste is het noodzakelijk om een goed cyber emergency respons plan paraat te hebben en verschillende scenario’s regelmatig te oefenen.