Veel industriële controlesystemen (ICS) in Nederland zijn niet of onvoldoende beveiligd, wat al snel tot gevaarlijke situaties kan leiden. Daarop duidt onderzoek van KPN Security.
De onderzoekers togen aan het werk naar aanleiding van een hack bij een waterleidingbedrijf in de Amerikaanse staat Florida, waarbij een cybercrimineel probeerde het drinkwater te vergiftigen. Ook in Nederland zijn veel van dit soort controlesystemen eenvoudig toegankelijk, zo bleek.
Hacken is kinderspel
Via Google troffen de onderzoekers met betrekkelijk eenvoudige zoekopdrachten veel systemen aan die niet of nauwelijks waren beveiligd. Zo waren veel ICS voorzien van een standaardwachtwoord van de leverancier. Inloggen is vaak dan ook kinderspel, omdat deze standaardwachtwoorden per fabrikant veelal online te vinden zijn.
Het hacken van een ICS kan leiden tot zeer gevaarlijke situaties, zeker als een systeem processen uit de essentiële infrastructuur aanstuurt. De recente hack in Florida toonde dit nog eens aan. Een cybercrimineel kreeg daar toegang tot systemen waarmee bepaalde stoffen in het water tot toxische niveaus te verhogen waren.
De onderzoekers kregen tijdens het onderzoek onder andere eenvoudig toegang tot een ICS van een gebouwencomplex in Eindhoven. Daarbij hadden ze inzage in zaken als de kamertemperatuur en een inventarisatie van gebruikte systemen.
Maar beveiligen ook
De onderzoekers adviseren altijd het standaardwachtwoord te veranderen en de systemen met bijvoorbeeld firewalls en IP-whitelisting waar mogelijk ontoegankelijk te maken voor de buitenwereld. Ook het opstellen en duidelijk openbaar maken van responsible disclosure-procedures is volgens de onderzoekers verstandig, zodat ethische hackers gevonden kwetsbaarheden eenvoudig en veilig kunnen melden.
De onderzoekers van KPN security hechten eraan te melde dat zij bij gevonden kwetsbaarheden altijd grote zorgvuldigheid in acht nemen. Het bedrijf neemt altijd direct en discreet contact op, zodat het probleem snel opgelost kan worden.