Betere beveiliging Scada-systemen vitaal voor Nederlandse infrastructuren

27 oktober 2009

Nutsvoorzieningen, zoals water-, gas- en stroomfaciliteiten zijn dikwijls gebaseerd op Supervisory Control And Data Acquisition (Scada). Steeds vaker wordt dit soort systemen met de publieke netwerken verbonden en gebaseerd op Windows. Dat maakt ze gevoelig voor dezelfde dreigingen als op het publieke internet. Boudewijn Haverkort, Anne Remke en Pieter Hartel gaan in op deze gevaren en wat hiertegen kan worden gedaan.

In oktober 2001 werd in Australië een man schuldig bevonden aan het hacken van het geautomatiseerde watermanagementsysteem van de gemeente Maroochy Shire in Queensland. De gevolgen waren zeer ernstig: miljoenen liters rioolwater kwam in parken en rivieren en op het terrein van een hotel terecht. De schuldige had dit bereikt door een serie elektronische aanvallen op het rioleringssysteem nadat zijn sollicitatie bij de gemeente was afgewezen. Hij werkte bij het bedrijf dat het watermanagementsysteem voor de gemeente had geïnstalleerd en had, omdat wachtwoorden niet adequaat waren veranderd, nog steeds toegang. Begin 2000 had hij meer dan 45 pogingen gedaan het systeem te compromitteren. Op 23 april, de datum van de laatste poging, troffen de autoriteiten radio- en computerapparatuur in zijn auto aan met daarop de benodigde toegangs- en controlesoftware voor het rioleringssysteem.

Dit watermanagementsysteem is een voorbeeld van een Supervisory Control and Data Acquisition-besturing (Scada). Dit soort systemen wordt intensief gebruikt in de procesbesturing, zoals de chemische industrie en stroomgeneratie en -distributie, maar ook bij waterzuivering en -productie.

Patch Tuesday

De beveiliging van Scada-systemen staat de laatste tijd steeds meer in de belangstelling. Onderdelen van dergelijke systemen zijn namelijk steeds vaker geïntegreerd in grotere gedistribueerde netwerken die vanuit de ‘buitenwereld’ bereikbaar zijn, terwijl ze in het verleden juist werden ontwikkeld langs gesloten productlijnen. Ook worden steeds vaker internetgerelateerde protocollen ingezet in plaats van speciale eigen protocollen.

Beide ontwikkelingen verhogen de kwetsbaarheid. Allerlei vormen van cyber threats uit internet vormen ook bedreigingen voor Scada-systemen. Omdat ze vaak kritieke processen of maatschappelijk vitale infrastructuren controleren, kan het effect van een succesvolle aanval zeer ernstig zijn. Geslaagde pogingen kunnen leiden tot substantiële financiële verliezen, niet functioneerde nutsvoorzieningen en kunnen zelfs mensenlevens in gevaar brengen.

De Nederlandse overheid heeft recent twaalf vitale infrastructuren geïdentificeerd, waarvan een groot deel direct afhankelijk is van Scada. Een daarvan is de Nederlandse waterinfrastructuur. Een recent vertrouwelijk rapport van TNO Defensie en Security inventariseerde de huidige stand van zaken van de beveiliging voor de watersector en stelde een aanzienlijk aantal concrete kwetsbaarheden vast.

Op basis van dit onderzoek zijn gedetailleerde richtlijnen voor de beveiliging van Scada-systemen voor de watersector voorgesteld. Ondanks die richtlijnen is de huidige beveiliging in veel Scada-netwerken gebaseerd op het gebruik van firewalls, geautoriseerde IP-adressen en gedeelde gebruikersaccounts. Firewalls zijn echter niet tegen alle typen aanvallen opgewassen. Denk aan data-injectie-attacks (bijvoorbeeld buffer overflows). Ook zijn ze maar gedeeltelijk in staat om binnenkomende en uitgaande verbindingen te reguleren. IP-adressen zijn ook niet heilig, want hackers kunnen de identiteit van een legitieme host overnemen, zeker bij gebruik van verbindingsloze protocollen die veel bij Scada voorkomen. En wanneer meerdere gebruikers hetzelfde account delen, kunnen individuen niet verantwoordelijk worden gehouden voor hun handelingen. Bovendien zijn veel accounts beschermd met het standaard wachtwoord dat de fabrikant of leverancier instelt. Veel Scada-systeembeheerders vinden het vervelend om op regelmatige basis wachtwoorden te vernieuwen en de Scada-teams vallen vaak niet onder de regelgeving van de kantoorautomatiseringsafdelingen, die dit soort zaken tegenwoordig beter regelen.

Een ander probleem is dat Scada-systemen tegenwoordig vaak zijn gebaseerd op Windows. Dat kent veel kwetsbaarheden, waarvan Microsoft er maandelijks een aantal repareert op ‘Patch Tuesday’. Helaas is het in Scada-systemen niet mogelijk om al deze reparaties maandelijks te installeren. Aan de ene kant kunnen ze niet voldoende grondig worden getest in zo’n korte tijd, aan de andere kant kunnen de systemen niet zomaar uit de lucht worden gehaald voor reparatie. Daarom is onderzoek nodig naar nieuwe methoden om Scada-systemem met bekende kwetsbaarheden toch te laten overleven. Bijvoorbeeld via redundantie, een techniek die ook wordt gebruikt om de betrouwbaarheid van systemen met mogelijk falende componenten te verhogen.

Gezien de potentieel ernstige gevolgen van aanvallen is het voor Scada van belang al tijdens het ontwerp de afwegingen te kunnen maken tussen de kosten van maatregelen en de mate waarin het systeem kan ‘overleven’ na een succesvolle aanval. Deze survivability is gedefinieerd als de kans dat het Scada-systeem (of soms zelf het primaire proces dat het systeem bestuurt) na een succesvolle aanval binnen een vooraf vastgestelde tijd weer acceptabel gedrag vertoond. Met softwaregereedschappen berekenen wij dit soort kansen op basis van modellen. Hierdoor zijn kosten-effectenafwegingen te maken gegeven storingsscenario’s. Vooral de integratie van deze gecombineerde analyses met de ontwerpprocessen voor Scada-systemen heeft onze bijzondere aandacht: dit maakt een geïntegreerde analyse van systeembetrouwbaarheid en systeemveiligheid mogelijk.

Boudewijn Haverkort is hoogleraar Ontwerp en Analyse van Communicatiesystemen aan de Universiteit Twente en sinds maart 2009 wetenschappelijk directeur van het Embedded Systems Institute. In 2007 is hij benoemd tot Fellow van IEEE. Anne Remke is onderzoeker in zijn groep. Pieter Hartel is hoogleraar Beveiliging van Gedistribueerde en Embedded Systemen aan de Universiteit Twente. Promovendi uit zijn groep hebben een zelflerende netwerkinbraakdetectiesysteem ontwikkeld.

Boudewijn Haverkort, Anne Remke & Pieter Hartel

Terug naar overzicht