Onderzoek: industriële controlesystemen vaak eenvoudig toegankelijk

Redactie

9 maart 2021

Veel industriële controlesystemen (ICS) in Nederland zijn niet of onvoldoende beveiligd, wat al snel tot gevaarlijke situaties kan leiden. Daarop duidt onderzoek van KPN Security.

De onderzoekers togen aan het werk naar aanleiding van een hack bij een waterleidingbedrijf in de Amerikaanse staat Florida, waarbij een cybercrimineel probeerde het drinkwater te vergiftigen. Ook in Nederland zijn veel van dit soort controlesystemen eenvoudig toegankelijk, zo bleek.

Hacken is kinderspel

Via Google troffen de onderzoekers met betrekkelijk eenvoudige zoekopdrachten veel systemen aan die niet of nauwelijks waren beveiligd. Zo waren veel ICS voorzien van een standaardwachtwoord van de leverancier. Inloggen is vaak dan ook kinderspel, omdat deze standaardwachtwoorden per fabrikant veelal online te vinden zijn.

Het hacken van een ICS kan leiden tot zeer gevaarlijke situaties, zeker als een systeem processen uit de essentiële infrastructuur aanstuurt. De recente hack in Florida toonde dit nog eens aan. Een cybercrimineel kreeg daar toegang tot systemen waarmee bepaalde stoffen in het water tot toxische niveaus te verhogen waren.

De onderzoekers kregen tijdens het onderzoek onder andere eenvoudig toegang tot een ICS van een gebouwencomplex in Eindhoven. Daarbij hadden ze inzage in zaken als de kamertemperatuur en een inventarisatie van gebruikte systemen.

Maar beveiligen ook

De onderzoekers adviseren altijd het standaardwachtwoord te veranderen en de systemen met bijvoorbeeld firewalls en IP-whitelisting waar mogelijk ontoegankelijk te maken voor de buitenwereld. Ook het opstellen en duidelijk openbaar maken van responsible disclosure-procedures is volgens de onderzoekers verstandig, zodat ethische hackers gevonden kwetsbaarheden eenvoudig en veilig kunnen melden.

De onderzoekers van KPN security hechten eraan te melde dat zij bij gevonden  kwetsbaarheden altijd grote zorgvuldigheid in acht nemen. Het bedrijf neemt altijd direct en discreet contact op, zodat het probleem snel opgelost kan worden.

Gerelateerde artikelen

Negen succesfactoren voor datagedreven, gemeentelijke innovatie

Negen succesfactoren voor datagedreven, gemeentelijke innovatie

De afgelopen vijf jaar hebben verschillende gemeenten geëxperimenteerd met het gebruik van nieuwe technologie zoals data-analyse. Welke innovatieprojecten hebben succes en waarom? Dat was de vraag waarnaar A&O fonds Gemeenten onderzoek heeft laten doen.

Identity as a Service (IDaas) for Dummies

Identity as a Service (IDaas) for Dummies

Vele organisaties gebruiken tegenwoordig oplossingen voor identiteits- en toegangsbeheer (IAM). Maar om dit soort oplossingen op grote schaal te benutten, omarmen ze een additionele service uit de cloud: Identity as a Service (IDaaS). In dit e-book lees je wat moderne identiteit inhoudt en hoe IDaaS je organistatie kan helpen.

Terug naar kantoor? Even een paar dingen regelen

Terug naar kantoor? Even een paar dingen regelen

Er zijn een paar zaken die CIO’s goed moeten regelen nu werknemers deels naar hun werk terugkeren. ServiceNow heeft Safe Workplace Apps uitgebracht voor contact tracing, een readiness survey, een gezondheidscheck, een veiligheidscheck van de werkplek en inventarisatie van beschermende middelen.

Self-service portals verdienen tweede kans

Self-service portals verdienen tweede kans

Als organisatie wil je dat medewerkers zoveel mogelijk zelfredzaam zijn. Hoe meer zaakjes ze zelf regelen, hoe beter. En dus vertrouwen veel bedrijven op self-service portals. Maar het personeel vindt het niks. Tijd voor een slimme aanpak die zorgt voor happiness bij managers én gebruikers.