De energiesector en andere nutsvoorzieningen zijn bijzonder populaire doelwitten van cybercriminelen en -terroristen. Een betrouwbare beveiliging is dus meer dan ooit cruciaal voor deze sector. Dat we weinig over incidenten horen is geen reden om beveiliging te relativeren, wel integendeel.
Energie is een ‘commodity’ geworden: mensen rekenen op stroom wanneer ze een stekker in een stopcontact steken, en zitten vaak met ernstige problemen opgescheept als die stroom niet beschikbaar is. Maar ook andere nutsvoorzieningen (water, gas, telecommunicatie, …) zouden we moeilijk kunnen missen. Een geslaagde cyberaanval kan dus enorm veel schade aanrichten aan de economie en zelfs aan een land in het algemeen.
Een voorbeeld van de potentiële gevolgen van zo’n geslaagde cyberaanval is niet ver te zoeken. In het recente verleden zien we bijvoorbeeld wat er gebeurde nadat de orkaan Katrina in Louisiana passeerde: verscheidene dagen was er geen stroom of andere nutsvoorziening beschikbaar, en de gevolgen lieten niet op zich wachten: plunderingen, opstanden, en burgers die het recht in eigen hand nemen. Toegegeven: dit heeft niets met een cyberaanval te maken. Maar de gevolgen zouden identiek kunnen zijn.
Stroom is nodig
Stroomvoorziening is essentieel: alle andere nutsvoorzieningen hangen hiervan af. Ziekenhuizen, telecommaatschappijen, ja zelfs kerncentrales hebben allemaal elektriciteit nodig om te blijven draaien. Natuurlijk hebben ze steeds een backupvoorziening, meestal in de vorm van een dieselgenerator of een dergelijke reserve-energiebron. Maar op termijn zouden de gevolgen niet minder dan catastrofaal zijn.
‘Allemaal goed en wel’, hoor ik u denken, ‘maar we horen toch zelden over incidenten in deze sector, en al zeker niet hier in België of Europa?’ Mijn antwoord: dat is misschien nog erger, en wel om twee redenen. Ten eerste is er in Europa vooralsnog geen meldingsplicht voor dergelijke incidenten, en zijn er dus misschien al verschillende incidenten doodgezwegen. Ten tweede kan het zijn dat verschillende energiemaatschappijen al besmet zijn maar de besmette toestellen gewoon wachten op een signaal om toe te slaan.
Een tweede misverstand is dat energie-installaties veilig zouden zijn omdat ze niet op het internet zouden zijn aangesloten. Dat klopt ook maar een heel klein beetje. Ten eerste hebben steeds meer energiebedrijven zo veel mogelijk installaties aangesloten op het internet, omdat het kan. Maar voor internetconnectiviteit in de energie-sector geldt, meer dan waar ook, ‘it’s not because you can, that you should’. Als er geen meerwaarde is aan de internetverbinding, kunt u die beter gewoon achterwege laten. Ten tweede lopen besmettingen meestal via de toestellen van medewerkers met toegang tot de kritieke infrastructuur. Vanuit die toestellen wordt dan de link gelegd naar de kritieke infrastructuur zelf.
Hoe voorkomen?
Om zulke catastrofes te vermijden, volstaat het niet door een stevige virtuele muur om de energiemaatschappij te bouwen. Geen enkele combinatie van firewalls, anti-malwarepakketten en andere security tools kan u garanderen dat men nooit de infrastructuur zal kunnen binnendringen. Het is veel verstandiger om uit te gaan van de gedachte dat het ooit wél zal lukken. De juiste aanpak die daaruit volgt, bestaat in het segmenteren van de infrastructuur, zodat besmette toestellen toch niet tot de cruciaalste infrastructuur kunnen doordringen.
Een ander belangrijk uitgangspunt is: ‘complete isolatie is onmogelij’. Er moet worden gecommuniceerd tussen de ‘gewone’ ict-infrastructuur en de kritieke systemen, dus kunt u er maar beter voor zorgen dat die communicatie uiterst beveiligd en uiterst gecontroleerd verloopt. Dan vermijdt u dat malware lange tijd ongestoord zijn gang kan gaan, ook al hebt u die malware zelf nog niet gedetecteerd. In combinatie met het uitschakelen van macro’s in binnenkomende bestanden – een voorziening die u in de betere security tools standaard terugvindt – bent u op die manier behoorlijk beveiligd.