Onderzoek: industriële controlesystemen vaak eenvoudig toegankelijk

Redactie

9 maart 2021

Veel industriële controlesystemen (ICS) in Nederland zijn niet of onvoldoende beveiligd, wat al snel tot gevaarlijke situaties kan leiden. Daarop duidt onderzoek van KPN Security.

De onderzoekers togen aan het werk naar aanleiding van een hack bij een waterleidingbedrijf in de Amerikaanse staat Florida, waarbij een cybercrimineel probeerde het drinkwater te vergiftigen. Ook in Nederland zijn veel van dit soort controlesystemen eenvoudig toegankelijk, zo bleek.

Hacken is kinderspel

Via Google troffen de onderzoekers met betrekkelijk eenvoudige zoekopdrachten veel systemen aan die niet of nauwelijks waren beveiligd. Zo waren veel ICS voorzien van een standaardwachtwoord van de leverancier. Inloggen is vaak dan ook kinderspel, omdat deze standaardwachtwoorden per fabrikant veelal online te vinden zijn.

Het hacken van een ICS kan leiden tot zeer gevaarlijke situaties, zeker als een systeem processen uit de essentiële infrastructuur aanstuurt. De recente hack in Florida toonde dit nog eens aan. Een cybercrimineel kreeg daar toegang tot systemen waarmee bepaalde stoffen in het water tot toxische niveaus te verhogen waren.

De onderzoekers kregen tijdens het onderzoek onder andere eenvoudig toegang tot een ICS van een gebouwencomplex in Eindhoven. Daarbij hadden ze inzage in zaken als de kamertemperatuur en een inventarisatie van gebruikte systemen.

Maar beveiligen ook

De onderzoekers adviseren altijd het standaardwachtwoord te veranderen en de systemen met bijvoorbeeld firewalls en IP-whitelisting waar mogelijk ontoegankelijk te maken voor de buitenwereld. Ook het opstellen en duidelijk openbaar maken van responsible disclosure-procedures is volgens de onderzoekers verstandig, zodat ethische hackers gevonden kwetsbaarheden eenvoudig en veilig kunnen melden.

De onderzoekers van KPN security hechten eraan te melde dat zij bij gevonden  kwetsbaarheden altijd grote zorgvuldigheid in acht nemen. Het bedrijf neemt altijd direct en discreet contact op, zodat het probleem snel opgelost kan worden.

Gerelateerde artikelen

De vier grootste cloud-uitdagingen en hoe zichtbaarheid kan helpen

De vier grootste cloud-uitdagingen en hoe zichtbaarheid kan helpen

Toen er nog geen sprake was van een pandemie, werd er al steeds meer gewerkt met de cloud. Sindsdien is de hoeveelheid activiteit in de cloud zeer sterk toegenomen, mede doordat veel organisaties permanent zijn overgestapt op hybride werken. Uit een recent onderzoek...

Voorspellende data: waardevolle inzichten voor bedrijfsstrategie

Voorspellende data: waardevolle inzichten voor bedrijfsstrategie

Elk bedrijf analyseert en kijkt terug. De jaarrekening vertelt wat wel en wat niet goed is gegaan en hoe resultaten tot stand zijn gekomen. ‘Maar vooruitkijken en relaties leggen tussen verschillende datastromen laten veel bedrijven nog liggen’, zegt Miguel Brahim, expert in data analytics bij PwC. ‘Vaak gebruiken zij Excel als basis voor budgetten en kasstroomvoorspellingen. De inzet van algoritmes, data-analyse en visualisaties is vaak nog niet breed geïmplementeerd. Terwijl die instrumenten juist waardevolle inzichten opleveren voor de bedrijfsstrategie.’

Negen succesfactoren voor datagedreven, gemeentelijke innovatie

Negen succesfactoren voor datagedreven, gemeentelijke innovatie

De afgelopen vijf jaar hebben verschillende gemeenten geëxperimenteerd met het gebruik van nieuwe technologie zoals data-analyse. Welke innovatieprojecten hebben succes en waarom? Dat was de vraag waarnaar A&O fonds Gemeenten onderzoek heeft laten doen.

Identity as a Service (IDaas) for Dummies

Identity as a Service (IDaas) for Dummies

Vele organisaties gebruiken tegenwoordig oplossingen voor identiteits- en toegangsbeheer (IAM). Maar om dit soort oplossingen op grote schaal te benutten, omarmen ze een additionele service uit de cloud: Identity as a Service (IDaaS). In dit e-book lees je wat moderne identiteit inhoudt en hoe IDaaS je organistatie kan helpen.