Cybersecurity ontsnapt aan het virtuele en raakt het fysieke. Dankzij het internet of things, industriële systemen, wearables en meer. Dus staan we voor de enorme opgave om álles te gaan beveiligen, in meer of mindere mate. Zelfs koffiemachines.
Stel je voor, dat alle koffiemachines in de België over een paar jaar connected zijn. Wat voor gevolgen zou een hack of DDoS-aanval daarop dan hebben voor het Belgische bedrijfsleven? Nu lijkt cybersecurity voor koffiemachines wellicht wat overtrokken, maar het is wel het overwegen waard. We leven allang in een tijdperk waarin ‘eenvoudige’ apparaten online verbonden zijn én dus te hacken. Kijk maar naar printers en multifunctionals, die zijn te hacken door bijvoorbeeld een racist om zijn propaganda te verspreiden op universiteiten.
De kwetsbaarheid van online printers gaat echter verder dan het pushen van nazi-pamfletten of het moedwillig verspillen van bedrijfsmiddelen als inkt en papier. Zo kunnen printers gevoelige informatie lekken of zelfs kwaadaardige bestanden hosten binnen de muren van nietsvermoedende organisaties. In securitykringen zijn dit soort gevaren al jaren bekend, maar in de bredere businesswereld zorgt het nog altijd voor onaangename verrassingen.
Industriële koppelingen
De doorbraak – of eigenlijk: uitbraak – van ict naar de fysieke wereld vergroot mogelijkheden en daarmee ook gevaren. Het internet of things (IoT) wordt door security-experts ook wel het Internet of Threats genoemd, omdat security vaak gebrekkig is, of zelfs afwezig. Hetzelfde geldt helaas voor industriële systemen; die blijken door koppelingen met ict-componenten ook toegankelijk en dus kwetsbaar. Hacks van zogeheten Scada-systemen (supervisory control and data acquisition) zijn al wel vaak in het nieuws geweest, maar misschien niet vaak genoeg.
Het is op zich niet verwonderlijk dat de cyberbeveiliging van systemen in de fysieke wereld niet in één klap geregeld is. Het is immers een kwestie van geld, veel geld. De automatisering van systemen in de fysieke wereld is van een heel ander soort, stammend uit een heel ander tijdperk. Niet security, maar gerichte functionaliteit plus onderhoudbaarheid en operationele levensduur zijn daar voorname designcriteria.
Stap voor stap, vanaf nú
Het is ondoenbaar om al die systemen snel te vervangen door beter beveiligde opvolgers. De fysieke wereld valt technisch wel te beveiligen, maar geen enkel land heeft daarvoor de middelen. Het ontbreekt simpelweg aan expertise en mankracht om betere ict-beveiliging van het fysieke binnen afzienbare tijd voor elkaar te krijgen.
Dit wil echter niet zeggen dat betere beveiliging onmogelijk is. Het kan alleen niet direct en niet over de volle breedte. Het advies van mij is dan ook om security vanaf nu mee te nemen in ontwerp, implementatie, beheer en gebruik van nieuwe systemen. We moeten vooral oog hebben voor kritieke systemen, om die dan als eerste te upgraden naar betere ict-beveiliging. Zo wordt de fysieke wereld niet alleen connected, maar ook secure.
Zijdelingse aanval en bijkomende schade
Het is belangrijk om aan ‘gepaste beveiliging’ te doen. Immers, niet elk systeem is even waardevol voor de gebruikers ervan en dus is niet elk systeem even aantrekkelijk voor aanvallers. Maak onderscheid tussen belangrijk, kritiek en ook nationaal belang. Tegelijkertijd moet de inschatting van waarde en belang ook rekening houden met ‘vlekwerking’. Denk aan mogelijkheden voor zijdelingse aanvalsbewegingen: om via een relatief onschuldig systeem binnen te dringen in een kritieker deel van de omgeving. Dan zouden de koffiemachines zomaar ineens onderdeel kunnen worden van onze kritische infrastructuur. Maar denk ook aan bijkomende schade, als België bijvoorbeeld op maandagochtend ineens zonder koffie zit. Dat willen we natuurlijk niet…!
Martijn van Lom, general manager Kaspersky Lab Benelux
