Skip to main content

Onderzoeksrapport kwetsbaarheden industriele controle systemen

Minister Grapperhaus heeft het onderzoeksrapport ‘Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands’ naar de Tweede Kamer gestuurd. Het rapport gaat over de online vindbaarheid en kwetsbaarheid van digitale industriële controlesystemen in Nederland.

Regelmatig verschijnen er nieuwsberichten over cyberaanvallen op vitale infrastructuren, zoals elektriciteit centrales. Dergelijke infrastructuren maken gebruik van zogeheten Industrial Control Systems (ICS) / Supervisory Control And Data Acquisition (SCADA) netwerken. Als dergelijke systemen gehackt worden, kunnen aanvallers de besturing van vitale infrastructuren overnemen, met potentieel enorme gevolgen.

Dit rapport richt zich op vitale infrastructuren in Nederland en beantwoord drie vragen: 1) Hoeveel Nederlandse ICS/SCADA systemen zijn eenvoudig te vinden door potentiële aanvallers?, 2) Hoeveel van deze systemen zijn kwetsbaar voor cyber aanvallen?, en 3) Welke maatregelen kunnen genomen worden om hack pogingen te voorkomen?

Om deze vragen te beantwoorden is bestaande literatuur bestudeerd en uitgezocht welke ICS/SCADA protocollen bestaan, en welke TCP/UDP poorten door deze protocollen worden gebruikt (zie hoofdstuk 2). De uitkomst van deze studie is een lijst met 39 protocollen, die vervolgens gebruikt is als invoer voor een speciale zoekmachine (Shodan). Met behulp van deze zoekmachine zijn bijna zeventigduizend systemen gevonden die één of ander antwoord sturen als ze ondervraagd worden. Hiervan is slechts een klein aantal daadwerkelijke ICS/SCADA systemen, de rest zijn gewone PCs, IoT systemen enz.. Om beide type systemen van elkaar te onderscheiden zijn twee lijsten gemaakt; de eerste zegt met zekerheid of een bepaald systeem een ICS/SCADA systeem is (positief), de tweede met zekerheid dat het geen ICS/SCADA systeem is (negatief). In totaal zijn er bijna duizend ICS/SCADA systemen gevonden die in Nederland op het Internet zijn aangesloten (zie hoofdstuk 3). Om te bepalen welke van deze systemen kwetsbaarheden bevatten, en om de impact van mogelijke
aanvallen te bepalen, zijn de kwetsbaarheden vergeleken met bekende lijsten van kwetsbaarheden (ICS-CERT en NVD, zie hoofdstuk 4). Dit rapport eindigt met voorstellen van mogelijke maatregelen waarmee de veiligheid van ICS/SCADA systemen verbeterd kan worden (zie hoofdstuk 5).

De belangrijkste conclusies zijn dat a) het met zoekmachines zoals Shodan (zie hoofdstuk 2) uiterst eenvoudig is om ICS/SCADA systemen te vinden, b) tenminste duizend (989) Nederlandse ICS/SCADA systemen te vinden zijn via Internet zoekmachines (zie hoofdstuk 3), c) ongeveer zestig van deze systemen op één of meerdere manieren kwetsbaar zijn (zie hoofdstuk 4) en d) dat er diverse bekende en relatief eenvoudig toepasbare maatregelen bestaan waarmee de veiligheid van ICS/SCADA systemen verbeterd kan worden (zie hoofdstuk 5).

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

In 5 stappen naar een succesvolle GAP-analyse van de BIO
: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het aan de hand van een praktisch stappenplan.
Wat is ethisch hacken en waarom is het belangrijk?
Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en netwerken. In deze blog neem ik je mee in hun wereld.
Applicatiebeheer en de AVG: wat moet je weten?
Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Meer recente berichten

CISO s spelen steeds grotere rol in bestuurskamer
Verder lezen
AP bezorgd over gezichtsherkenning aan balie
Verder lezen
Privacybudgetten dalen in 2025
Verder lezen
Gegevensinbreuk bij Volkswagen bewijst dat regelgevingskader NIS2 nodig is
Verder lezen
Europese Commissie komt met actieplan cyberveiligheid ziekenhuizen
Verder lezen
Europese AI act: nieuwe plichten voor gemeenten
Verder lezen
Datalek kostte in 2024 gemiddeld 4,88 miljoen dollar
Verder lezen
Cybersecurity 2025 in 10 voorspellingen
Verder lezen
Cyber resilient storage is integraal onderdeel van data security
Verder lezen
Nieuw datalek in Amersfoort
Verder lezen