Onderzoeksrapport kwetsbaarheden industriele controle systemen

Minister Grapperhaus heeft het onderzoeksrapport ‘Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands’ naar de Tweede Kamer gestuurd. Het rapport gaat over de online vindbaarheid en kwetsbaarheid van digitale industriële controlesystemen in Nederland.

Regelmatig verschijnen er nieuwsberichten over cyberaanvallen op vitale infrastructuren, zoals elektriciteit centrales. Dergelijke infrastructuren maken gebruik van zogeheten Industrial Control Systems (ICS) / Supervisory Control And Data Acquisition (SCADA) netwerken. Als dergelijke systemen gehackt worden, kunnen aanvallers de besturing van vitale infrastructuren overnemen, met potentieel enorme gevolgen.

Dit rapport richt zich op vitale infrastructuren in Nederland en beantwoord drie vragen: 1) Hoeveel Nederlandse ICS/SCADA systemen zijn eenvoudig te vinden door potentiële aanvallers?, 2) Hoeveel van deze systemen zijn kwetsbaar voor cyber aanvallen?, en 3) Welke maatregelen kunnen genomen worden om hack pogingen te voorkomen?

Om deze vragen te beantwoorden is bestaande literatuur bestudeerd en uitgezocht welke ICS/SCADA protocollen bestaan, en welke TCP/UDP poorten door deze protocollen worden gebruikt (zie hoofdstuk 2). De uitkomst van deze studie is een lijst met 39 protocollen, die vervolgens gebruikt is als invoer voor een speciale zoekmachine (Shodan). Met behulp van deze zoekmachine zijn bijna zeventigduizend systemen gevonden die één of ander antwoord sturen als ze ondervraagd worden. Hiervan is slechts een klein aantal daadwerkelijke ICS/SCADA systemen, de rest zijn gewone PCs, IoT systemen enz.. Om beide type systemen van elkaar te onderscheiden zijn twee lijsten gemaakt; de eerste zegt met zekerheid of een bepaald systeem een ICS/SCADA systeem is (positief), de tweede met zekerheid dat het geen ICS/SCADA systeem is (negatief). In totaal zijn er bijna duizend ICS/SCADA systemen gevonden die in Nederland op het Internet zijn aangesloten (zie hoofdstuk 3). Om te bepalen welke van deze systemen kwetsbaarheden bevatten, en om de impact van mogelijke
aanvallen te bepalen, zijn de kwetsbaarheden vergeleken met bekende lijsten van kwetsbaarheden (ICS-CERT en NVD, zie hoofdstuk 4). Dit rapport eindigt met voorstellen van mogelijke maatregelen waarmee de veiligheid van ICS/SCADA systemen verbeterd kan worden (zie hoofdstuk 5).

De belangrijkste conclusies zijn dat a) het met zoekmachines zoals Shodan (zie hoofdstuk 2) uiterst eenvoudig is om ICS/SCADA systemen te vinden, b) tenminste duizend (989) Nederlandse ICS/SCADA systemen te vinden zijn via Internet zoekmachines (zie hoofdstuk 3), c) ongeveer zestig van deze systemen op één of meerdere manieren kwetsbaar zijn (zie hoofdstuk 4) en d) dat er diverse bekende en relatief eenvoudig toepasbare maatregelen bestaan waarmee de veiligheid van ICS/SCADA systemen verbeterd kan worden (zie hoofdstuk 5).

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Het belang van patchmanagement
Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.
De AVG versus de Wet politiegegevens (Wpg)
: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.
Implementatie van BCM – voorkomen is beter dan genezen
Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we ook wel Bedrijfs Continuïteits Management (BCM) of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag?

Meer recente berichten

Datahonger Chinese overheid groter dan gedacht
Verder lezen
Zwak beleid veroorzaakt cyberaanval op gemeente Buren
Verder lezen
Aanpak digitale veiligheid Gelderse gemeenten gelanceerd
Verder lezen
NSO Group: Ten minste vijf Europese landen gebruiken Pegasus
Verder lezen
Microsoft stopt met gezichtsherkenningsanalyse wegens privacyzorgen
Verder lezen
CISO Rijk Aart Jochem: Sturen op informatiebeveiliging
Verder lezen
NCSC geeft tips over response bij ransomware aanval
Verder lezen
Twee derde Nederlanders vreest inperking privacy met invoering EU wallet
Verder lezen
Noordenvelders geven meer prioriteit aan privacy
Verder lezen
Gemeenten: groot verschil tussen fysieke en digitale veiligheid
Verder lezen