Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet?

Transcriptie

1 Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet? Cybersecurity Toezicht en risico s in het Rotterdam Rijnmondgebied Masterscriptie Criminologie Door: Laura Lormann-Zwartelé [346795] Begeleider Erasmus Universiteit: Mw. Dr. J.G. van Erp Tweede lezer: drs. C.G. van Wingerde Begeleider DCMR Milieudienst: Dhr. Marcel Stigter Datum: 18 december 2014

2 VOORWOORD Ruim vier jaar geleden ben ik teruggekomen van een tropisch eiland om eindelijk een universitaire studie te gaan volgen. Criminologie is het geworden en hier heb ik geen seconde spijt van gehad. Al weer meer dan een jaar geleden ben ik begonnen aan mijn afstudeertraject. Zeer blij was ik te zien dat er een onderwerp op het gebied van cybersecurity werd aangeboden met een stageplaats, waar ik voor werd uitgekozen. In dit voorwoord wil ik vooral een aantal mensen bedanken. Allereerst mijn familie. Ik begon aan de opleiding als alleenstaande moeder van een geweldige zoon. Inmiddels zijn er tijdens de studie twee kinderen bijgekomen en ben ik getrouwd. Lieve Luuk, bedankt dat je een geweldige man en vader bent en mij de mogelijkheid hebt gegeven deze studie te voltooien. En lieve kinderen, Jack, Lyra, Gus, een studerende moeder is niet altijd makkelijk, het stress gehalte was soms hoog. Jullie beseffen het nu misschien niet, maar het was niet altijd eenvoudig om het gezin te combineren met de studie. Bedankt voor jullie altijd stralende gezichtjes die me er steeds weer aan hebben herinnerd waar ik het voor doe. En uiteraard grote dank aan mijn eigen lieve moeder en ook mijn schoonouders die de kinderen bijna wekelijks hebben opgevangen zodat ik kon studeren. Ook is mijn dank groot aan mijn stagebegeleider Marcel Stigter van de DCMR Milieudienst Rijnmond. Hij heeft mij op een dusdanige manier kennis laten maken met de Rotterdamse haven dat ik het gevoel heb een nieuwe wereld heb leren kennen. Bedankt voor het vertrouwen en de zeer fijne samenwerking. Daarnaast wil ik graag mijn begeleider dr. Judith van Erp bedanken. Zonder haar interesse in dit onderwerp had mijn afstudeerscriptie hier nu niet gelegen, in ieder geval niet over dit onderwerp. Veel respect heb ik gedurende de studie gehad over haar colleges, en haar doortastendheid bewonder ik. Nooit had ik verwacht dat ik zo lang over het afronden van deze scriptie zou doen. Het gezegde de laatste loodjes wegen het zwaarst kan ik inmiddels volmondig beamen. Hoe dichterbij het afronden naderde, hoe zenuwachtiger ik werd of mijn onderzoek wel aan de verwachtingen zou voldoen. Het gevoel dat ik door de mand zou vallen en de plank volledig had misgeslagen overviel mij regelmatig. Bedankt Marcel en Judith dat jullie mij hier doorheen hebben gesleept en mij het vertrouwen hebben teruggegeven. Speciale dank gaat ook uit naar Allard Dijk, promovendus SpySpot bij Defensie. Als criminoloog had ik nog weinig verstand van ICT, cybersecurity en procesbesturing waren geheel nieuwe onderwerpen voor me. Aan het begin van mijn onderzoek ben ik voorzichtig de juiste richting in geholpen met literatuur en informatie over de beveiliging van procesbesturingssystemen. Allard, bedankt voor het nalezen van deze scriptie en controleren of met name het technische gedeelte van het onderzoek geen onjuistheden vertoont. Verder kan ik nog wel even doorgaan, het afgelopen jaar heb ik geweldige mensen mogen ontmoeten. De gastvrijheid en behulpzaamheid van Peter van Loo en Bas Janssen van Deltalinqs zal ik niet vergeten, de Zeehavenpolitie en daar met name Arie Roos bedankt voor het meevaren en de verdere interesse die je hebt getoond. Het Regenboogteam waarmee ik de Middenkaderdag

3 heb mogen organiseren en waar ik dit onderzoek heb mogen presenteren. Ik kan nog wel door blijven gaan. Kortom, mijn dank is groot voor iedereen die mij bij heeft gestaan het afgelopen jaar! Laura Lormann-Zwartelé Klundert, december

4 Inhoudsopgave HOOFDSTUK 1 INLEIDING EN ONDERZOEK Inleiding en aanleiding Inleiding Probleemstelling en deelvragen Probleemstelling Deelvragen Afbakening en terminologie Onderzoeksmethoden HOOFDSTUK 2 CYBERSECURITY PROCESBESTURINGSSYSTEMEN Inleiding in de automatisering en de pocesbesturingssystemen Waartegen wordt er beveiligd? Automatisering Verbinding van procesbesturingssystemen met internet Cybercriminaliteit in de procesindustrie Doelen en motieven Modus operandi Cybercriminaliteit op procesbesturingssystemen Honeypots Potentiële daders van cyberaanvallen op procesbesturingssystemen Conclusie hoofdstuk HOOFDSTUK 3 KWETSBAARHEDEN IN DE PROCESBESTURINGSSYSTEMEN Algemeen Netwerkarchitectuur Rollen en rechten

5 3.4 Vaardigheden en eindgebruikers Beleidsdocumenten RIPE Framework als meetinstrument Conclusie hoofdstuk HOOFDSTUK 4 MAATSCHAPPELIJKE EN JURIDISCHE (MEDE)VERANTWOORDELIJKHEID Maatschappelijke (mede)verantwoordelijkheid Toezichtsparadox in een risicosamenleving De risicosamenleving: van fysiek naar digitaal Smart regulation Systeemgericht toezicht Zelfregulering Publieke belangen als uitgangspunt Wat de overheid moet doen of wat de overheid kan doen? Conclusie maatschappelijke (mede)verantwoordelijkheid Juridische (mede)verantwoordelijkheid Wet milieubeheer Vergunningen Meldplicht BRZO Fysieke beveiliging vs cyber security Jurisprudentie Conclusie juridische (mede)verantwoordelijkheid HOOFDSTUK 5 CONCLUSIE EN DISCUSSIE Samenvatting hoofdbevindingen Welke vormen van cybercriminaliteit zijn een risico voor de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag?

6 5.1.2 Wie zijn de mogelijke daders van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag? Wat zijn mogelijke gevolgen van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag? In hoeverre zijn de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag in het Rotterdam Rijnmond gebied kwetsbaar voor cybercriminaliteit en vormt de hyperconnectiviteit tussen deze bedrijven een extra risico? In hoeverre heeft een RUD maatschappelijke (mede)verantwoordelijk voor toezicht en handhaving op cybersecurity van de procesbesturingssystemen van BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag van natte bulk? Is er een wettelijke basis voor een RUD om toezicht te houden en te handhaven bij BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag op het gebied van cybersecurity van de procesbesturingssystemen? Beantwoording centrale probleemstelling en uiteindelijke conclusie Implicaties Literatuurlijst 87 BIJLAGE SURVEY VRAGEN... I 6

7 HOOFDSTUK 1 INLEIDING EN ONDERZOEK In de criminologie wordt vaak onderzoek gedaan naar traditionele vormen van criminaliteit. Dit onderzoek richt zich niet op deze traditionele vormen, maar gaat in op de digitale dreigingen in de huidige samenleving. Er lijkt nog een kloof te zijn tussen de wereld van fysieke dreigingen en de wereld van digitale dreigingen. Integratie tussen deze werelden is van belang om met de ontwikkelingen mee te gaan. Een expert op het gebied van (digitale) veiligheid en contraspionage, de Amerikaan Joel F. Brenner, heeft een artikel geschreven over de rol van overheidsbestuur in het nemen van maatregelen om schade door cyberaanvallen te voorkomen. Met dit citaat geeft Brenner (2013) mijns inziens de kloof tussen de wereld van fysieke dreigingen en de wereld van digitale dreigingen goed weer: Operational and physical security guns, gates, and guards are traditionally run by the corporate cops. Information security is traditionally run by the geeks in the wire closet. These two groups do not speak the same language, have different social and educational backgrounds, and do not usually get along. But bifurcating security is no longer intelligent. Doors, alarms, and other physical security measures are largely run out of that wire closet now. Brenner, 2013, p.19 Met dit onderzoeksrapport wil ik de digitale dreigingen en kwetsbaarheden in de procesindustrie een plaats geven binnen de criminologie. 1.1 Inleiding en aanleiding Inleiding Cybercriminaliteit is een belangrijk onderwerp van discussie geworden. Cybersecurity is voor velen een ongrijpbaar fenomeen en behalve ICT-ers lijkt men nog niet goed te weten hoe met dit onderwerp om te gaan. In de procesindustrie heeft men te maken met kwetsbare procesbesturingssystemen. Is een doelbewuste inbreuk op de procesbesturingssystemen in de Rotterdamse Haven en industrie mogelijk? Ongewenste beïnvloeding van vitale processen, wordt hiermee een sciencefiction beeld geschetst of is dit een scenario om op voorbereid te zijn? Nederland kent meerdere vitale sectoren die vatbaar zijn voor cyberciminaliteit. Hieronder valt de havenlogistieke sector, en ook de petrochemie en de natte bulk opslag worden hierbij genoemd. Vooral procesbesturingssystemen krijgen steeds meer aandacht van hackers. Op het moment dat een doelbewuste inbreuk op een procesbesturingssysteem succesvol zou zijn, kan dit ernstige schade opleveren voor mens, milieu en voor de economie. Een belangrijke vraag hierbij is of regionale uitvoeringsdiensten een rol hebben om dit te voorkómen en toezicht te gaan houden op de cybersecurity van de procesindustrie. 7

8 In dit afstudeeronderzoek staat cybersecurity in de procesindustrie centraal. Dit is nog een vrij nieuw gebied van onderzoek. Er is een digitale ontwikkeling gaande waarin allerlei op ICT gebaseerde producten en -diensten aan het internet worden gekoppeld en tegelijkertijd aan andere producten en diensten. Dit biedt vele voordelen, maar hierdoor ontstaan ook nieuwe veiligheidsrisico s. In het fysieke domein is het gebruikelijk om nieuwe producten en diensten te voorzien van veiligheids- en kwaliteitseisen. In het digitale domein is dit nog niet vanzelfsprekend (NCTV, 2013). Reeds in 2005 schreven Hahn et al over cybersecurity. Zij stellen dat het van belang is dat er actie wordt ondernomen om kwetsbaarheden te verminderen en hiermee de kans op een succesvolle cyberaanval te verkleinen. Vitale infrastructuren, waartoe de chemische industrie behoort, moeten zich proactief opstellen en de eigendommen beschermen tegen cyberaanvallen om de veiligheid van medewerkers, het publiek en het milieu te kunnen garanderen (Hahn et al, 2005). Inmiddels dringt dit ook steeds verder in Nederland door en wordt door het Nationaal Coördinator Terrorismebestrijding en Veiligheid erkend dat vitale infrastructuren vaker het doel zijn van cyberaanvallen (NCTV, 2013). Het NCTV adviseert de overheid dan ook om kader- en normstellend op te treden bij vitale diensten (NCTV, 2013). Het NCTV heeft cybersecurity ook op de politieke agenda gezet, door in 2011 de eerste Nationale Cybersecurity Strategie uit te brengen. Het doel hiervan was bewustwording creëren in Nederland. Inmiddels is de tweede Nationale Cybersecurity Strategie uitgegeven. Hierin heeft het NCTV ook de wens uitgesproken aan (sectorale) toezichthouders om de rol te verbreden om ook cybersecurity te omvatten (NCTV, 2013). De DCMR Milieudienst Rijnmond (DCMR) is als Regionale Uitvoeringsdienst (RUD) toezichthouder en is de opdrachtgever van dit onderzoek. Op allerlei vlakken wordt de veiligheid in deze sector al aangescherpt. Het toezicht lijkt zich nog voornamelijk te richten op dreigende calamiteiten en op het naleven van vergunningeisen. Echter worden in de chemische industrie bijna alle processen al digitaal aangestuurd. Wanneer iemand met kwade bedoelingen van buitenaf inbreekt in de besturingssoftware, dan kan dit een risico opleveren voor het milieu en voor de fysieke veiligheid. In de petrochemie en in de op- en overslag moet dan ook rekening worden gehouden met de mogelijkheid op cybercrime. Bedrijven in het Rijnmondgebied werken veel samen. Er wordt gebruik gemaakt van elkaars voorzieningen en faciliteiten. Dit wil zeggen dat ICT-netwerken van verschillende bedrijven aan elkaar kunnen zijn gekoppeld. Naast de procesveiligheid moet er dan ook worden gelet op de cyberveiligheid. Gezien de samenwerking, ofwel de hyperconnectiviteit in de regio, kan het zijn dat een slechte cybersecurity van één bedrijf een risico oplevert voor de hele keten van aangesloten bedrijven. Het goed beveiligen van de digitale infrastructuur lijkt dus alleen echt zinvol als alle aangesloten bedrijven cybersecurity serieus nemen. Voor de overheid ligt hier een nieuwe vraag, in hoeverre zal de overheid zich moeten gaan bemoeien met cybersecurity in de procesindustrie? Moet de overheid toezicht houden op de mate waarin bedrijven de cybersecurity van de procesbesturingssystemen regelen? De vraag in hoeverre overheidsdiensten een rol moeten gaan spelen in de digitale beveiliging van de procesindustrie is reeds vaker gesteld. In eerste instantie lijkt deze verantwoordelijkheid vooral bij het bedrijf zelf te liggen. Wanneer blijkt dat er een incident plaats heeft gevonden door een gebrekkige cybersecurity bij een bedrijf in de (petro)chemische industrie of in de op- en overslag van chemische producten, kan een toezichthouder hier dan (mede)verantwoordelijk voor worden gehouden? Dit zijn 8

9 belangrijke vragen waar overheidsdiensten over na moeten denken. En wanneer blijkt dat zij hierin een rol hebben, dan is de vraag relevant of er een maatschappelijke en/of een juridische basis is voor het bevoegd gezag om op te kunnen treden en bedrijven te kunnen dwingen om de digitale beveiliging van de procesbesturingssystemen op orde te hebben. Deze vragen komen in dit onderzoek aan bod. 1.2 Probleemstelling en deelvragen Probleemstelling Voor deze afstudeerscriptie is onderzoek gedaan naar de digitale beveiliging van de procesbesturingssystemen in het Rotterdamse havengebied en de mogelijke rol van een regionale uitvoeringsdienst hierbij. De centrale probleemstelling van dit onderzoek luidt als volgt: Wat zijn de kwetsbaarheden in de cybersecurity op de procesbesturingssystemen in de petrochemische industrie en in de op- en overslag van natte bulk inzake het voorkomen van fysieke milieu- en veiligheidsschade en in hoeverre heeft een Regionale Uitvoeringsdienst (RUD) maatschappelijke en juridische (mede)verantwoordelijkheid met betrekking tot milieu- en veiligheidsschade ontstaan door een ontoereikende cybersecurity? De probleemstelling bestaat uit twee delen. Allereerst wordt een verkennend onderzoek uitgevoerd om inzicht te verkrijgen in de dreigingen en de kwetsbaarheden van de procesbesturingssystemen en in de fysieke milieu- en veiligheidsrisico s van onvoldoende cybersecurity in de industrie. Daarna wordt onderzocht waar de maatschappelijke en juridische (mede)verantwoordelijkheid ligt ten aanzien van het toezicht op cybersecurity voor een RUD. Vanuit de DCMR Milieudienst is er de vraag gekomen, mocht er toezicht nodig zijn op de cybersecurity in de procesindustrie, onder welke wettelijke en/of maatschappelijke basis er bevoegdheid is om dergelijk toezicht te houden en te kunnen handhaven op het gebied van cybersecurity. Om inzicht te krijgen in de dreigingen en de kwetsbaarheden van de procesbesturingssystemen wordt een selectie bedrijven uit de (petro)chemische industrie en de op- en overslag van natte bulk in het Rotterdam Rijnmond gebied onderzocht, alleen BRZO-bedrijven 1 zijn hierin meegenomen Deelvragen Om antwoord te kunnen geven op de probleemstelling, zijn de volgende deelvragen onderzocht: 1. Welke vormen van cybercriminaliteit zijn een risico voor de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag? 2. Wie zijn de mogelijke daders van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag? 3. Wat zijn mogelijke gevolgen van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag? 1 BRZO-bedrijven zijn bedrijven die vallen onder het Besluit Risico s Zware Ongevallen uit In paragraaf 1.2.3, wordt dit begrip uitgebreider besproken. 9

10 4. In hoeverre zijn de BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag in het Rotterdam Rijnmond gebied kwetsbaar voor cybercriminaliteit en vormt de hyperconnectiviteit tussen deze bedrijven een extra risico? 5. In hoeverre heeft een RUD maatschappelijke (mede)verantwoordelijk voor toezicht en handhaving op cybersecurity van de procesbesturingssystemen van BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag van natte bulk? 6. Is er een wettelijke basis voor een RUD om toezicht te houden en te handhaven bij BRZObedrijven in de (petro)chemische industrie en in de op- en overslag op het gebied van cybersecurity van de procesbesturingssystemen? Afbakening en terminologie Het Rotterdam-Rijmondgebied waar de DCMR Milieudienst werkzaam is, heeft een hoog risicoprofiel (Rampbestrijdingsplan BRZO). Kenmerkend aan dit gebied is de hoge concentratie bedrijven die een hoog risico met zich mee brengen. In dit onderzoek worden alleen de bedrijven meegenomen die onder het Besluit Risico s Zware Ongevallen (BRZO) vallen en die werkzaam zijn in de (petro)chemische industrie en/of de op- en overslag van met name vloeibare grondstoffen, dit wordt natte bulk genoemd. Foto 1: Natte bulk opslag tank (eigen foto) In dit onderzoek worden dus twee verschillende sectoren meegenomen. De eerste sector is de (petro)chemische industrie. Hieronder vallen onder andere raffinaderijen. Raffinaderijen vormen een belangrijk onderdeel van de Rotterdamse haven en volgens het Havenbedrijf Rotterdam is er sprake van een synergie tussen meer dan 45 (petro)chemische bedrijven 2. Bij raffinaderijen en bij andere (petro)chemische bedrijven zijn de processen complex en de risico s soms lastig te herkennen. Op- en overslag bedrijven daarentegen hebben duidelijkere processen en de risico s voor de maatschappij zijn kleiner, aangezien er nauwelijks chemische processen plaatsvinden. Uitzondering hierop is de natte bulk op- en overslag, welke een groter risico met zich mee draagt dan de op- en overslag van grote hoeveelheden droge grondstoffen (droge bulk en stuks genoemd). De vloeibare grondstoffen, dus de natte bulk, wordt door de Rotterdamse haven verspreid door een 2 Laatst geraadpleegd op

11 pijpleidingennetwerk van 1500 kilometer 3. In totaal is ruim 40% van het landoppervlak in de Rotterdamse Haven in gebruik door de olie- en de chemiesector. Elk bedrijf in deze sector maakt gebruik van dit pijpleidingennetwerk om de vloeibare grondstoffen te verplaatsen. In dit onderzoek wordt onderscheid gemaakt tussen de petrochemische sector en de op- en overslag van natte bulk. De op- en overslag van droge bulk wordt in dit onderzoek verder niet specifiek meer genoemd. Wanneer in dit onderzoek wordt verwezen naar cybersecurity, dan wordt de volgende definitie gehanteerd: Het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie (NCSS, 2011). Bij cybersecurity gaat om de bescherming van het functioneren van ICT en van informatie. Wanneer ICT niet (naar behoren) functioneert of de vertrouwelijkheid en integriteit van informatie in het geding zijn, kunnen belangen in onze samenleving worden geschaad (NCSC, 2013, p.17). In de huidige samenleving worden allerlei middelen verbonden met het internet. Deze hyperconnectiviteit is in de samenleving terug te zien in zowel het gebruik van mobiele hulpmiddelen zoals smartphones en tablets om met het internet verbonden te zijn, als in het koppelen van de fysieke wereld aan het internet om op deze manier een online aansturing van apparaten mogelijk te maken (NCSC, 2013a, p.20). Ook in het Rotterdam Rijnmond gebied is deze hyperconnectiviteit aanwezig. Daarbij is het bij de (petro)chemische industrie en de op- en overslag van natte bulk gebruikelijk dat er hyperconnectiviteit tussen de bedrijven onderling bestaat. Er wordt gebruik gemaakt van elkaars netwerk, waaronder ook het zojuist beschreven pijpleidingennetwerk. Met betrekking tot cybersecurity wordt vaak gesproken over weerbaarheid. De definitie die hiervan in dit onderzoeksopzet wordt gehanteerd, is die uit het Cybersecurity Beeld 2013: Met weerbaarheid wordt bedoeld enerzijds (het afwezig zijn van) de kwetsbaarheid van de te verdedigen belangen en anderzijds maatregelen om de kwetsbaarheid te verminderen (NCSC, 2013a, p.31). De Rotterdamse haven kenmerkt zich door de hoge concentratie aan bedrijven in één gebied. Figuur 1 laat zien dat de BRZO-bedrijven zich grotendeels in één lijn bevinden van Hoek van Holland langs het water tot aan Rotterdam. De bedrijven bevinden zich in een dichtbevolkt gebied, de haven is in de buurt van grote bevolkingsconcentraties. Dit brengt risico s met zich mee. 3 Laatst geraadpleegd op

12 Figuur 1: Rotterdamse haven met BRZO-bedrijven Voor dit onderzoek is gedurende ruim een half jaar stage gelopen bij de DCMR Milieudienst Rijnmond (DCMR). De DCMR werkt in opdracht van de provincie Zuid-Holland en 16 gemeenten in het Rijnmondgebied en voert hiervoor zowel gemeentelijke, provinciale als landelijke taken uit met betrekking tot milieuwetgeving. De DCMR Milieudienst Rijnmond heeft diverse taken om aan een leefbare en veilige omgeving te werken. Ten eerste legt de Milieudienst milieu- en veiligheidsregels op en controleert de naleving hiervan bij circa bedrijven in het Rijnmondgebied. Onder deze bedrijven vallen alle bedrijven in het gebied, van de bakker in de straat tot de grote raffinaderijen. Verder valt onder de taken van de DCMR het verstrekken van omgevingsof milieuvergunningen. Dit wordt gedaan voor circa 1000 bedrijven in het gebied waarin de DCMR werkzaam is. De overige bedrijven volgen algemene landelijke milieuregels en veiligheidsregels. Een derde taak is het monitoren van de milieukwaliteit. Zo wordt onder andere de luchtkwaliteit in de regio continu gemonitord door het aflezen van 15 luchtmeetpunten en mobiele apparatuur. Waar nodig kan de DCMR direct maatregelen nemen. Een andere belangrijke taak die de DCMR heeft, is het optreden bij overlast en incidenten. De eigen meldkamer is 24 uur per dag bereikbaar, zowel online als telefonisch. Milieuoverlast en milieuincidenten kunnen hier door zowel bewoners als bedrijven worden gemeld. Ook is er altijd een auto met medewerkers van de DCMR buiten om direct te kunnen ondersteunen en te adviseren. Sinds 1 januari 2013 coördineert de DCMR de vergunningen, inspecties en handhaving bij risicovolle bedrijven (BRZO en IPPC4 bedrijven) in Zeeland en Zuid-Holland. De DCMR is daarmee een Regionale Uitvoeringsdienst (RUD). De DCMR voerde dit toezicht al uit bij alle risicovolle bedrijven in het Rijnmondgebied. De bedrijven in Zuid-Holland buiten het Rijnmondgebied en de Zeeuwse bedrijven zijn daaraan toegevoegd. De DCMR is nu verantwoordelijk voor de omgevingsvergunningen en het toezicht bij 160 risicovolle bedrijven. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Het ministerie van BZK) geeft aan dat overheid en bedrijfsleven nauw moeten samenwerken om de nationale veiligheid in vitale sectoren 12

13 te kunnen bewaken. Met vitale sectoren wordt volgens het ministerie van BZK gedoeld op producten, diensten en de onderliggende processen die, als zij uitvallen, maatschappelijke ontwrichting kunnen veroorzaken. Dit kan zijn omdat er sprake is van veel slachtoffers en grote economische schade, of als het herstel heel lang gaat duren en er geen reële alternatieven zijn, terwijl we deze producten en diensten niet kunnen missen. De uitval van (een gedeelte van) de vitale infrastructuur kan zeer ernstige gevolgen opleveren voor de Nederlandse samenleving. Om deze reden is bescherming van deze vitale sectoren hoge prioriteit voor de overheid. Enkele vitale sectoren zijn in handen van de overheid zelf, maar het merendeel (ca. 80%) zit in het bedrijfsleven (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, n.d.; Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008). De haven van Rotterdam is een mainport, welke van vitaal belang is voor de Nederlandse economie. In dit onderzoek staan bedrijven die hier deel van uit maken centraal. De petrochemische industrie en de op- en overslag van natte bulk in het Rijnmondgebied vallen onder de vitale sectoren als genoemd in de informatie van Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (n.d.). In het informatieblad wordt deze sector omschreven als Chemische en Nucleaire industrie, de productomschrijving is vervoer, opslag en productie/verwerking van chemische en nucleaire stoffen. Het verantwoordelijke ministerie dat hierbij hoort is het Ministerie van Infrastructuur en Milieu (IenM). 1.3 Onderzoeksmethoden Eerste kennismaking De Rotterdamse haven en industrie is een wereld op zich. Om inzicht te verkrijgen in de verhoudingen tussen de bedrijven en de diverse diensten die er een rol spelen, zijn vooral aan het begin van de stage veel momenten gebruikt om mee te lopen en kennis te maken met de verschillende partijen. Zo is er een dag met de DCMR meegelopen tijdens een inspectie bij een BRZObedrijf in de chemische industrie. Aangezien digitale beveiliging geen deel uitmaakt van een inspectie, zijn er gedurende de dag een aantal informele gesprekken gevoerd over cybersecurity en de procesbesturingssystemen van het bedrijf en is de procescontrolekamer bezocht. Ook is er een dag meegelopen met de meldkamer van de DCMR. Tijdens deze dag zijn ook een aantal grotere bedrijven bezocht welke hebben bijgedragen aan een beter inzicht in het procesbesturingssysteem. Ook hier geldt dat wederom informele gesprekken richting hebben gegeven aan het verdere onderzoek. De Zeehavenpolitie is zo vrij geweest om een meeloopdag te organiseren om de haven vanaf het water te kunnen meemaken. Een dag met een andere wetenschappelijke onderzoeker op een locatie van defensie heeft bijgedragen aan inzicht in de procesbesturingssystemen en de omgang met deze systemen. Ook het bijwonen van diverse besprekingen en kennismakingen met andere diensten werkzaam in het gebied, zoals onder andere de belangenverening Deltalinqs, de douane, de politie, rijkswaterstaat, Staatstoezicht op de Mijnen (SodM) en het OM, hebben bijgedragen aan een beter inzicht in de verhoudingen tussen de diverse partijen en de relatie met het onderwerp cybersecurity en toezicht. Een bezoek aan het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie en van de NCTV heeft verduidelijking gegeven omtrent de juridische taak van toezichthouders met betrekking tot cybersecurity. 13

14 Literatuuronderzoek Literatuuronderzoek heeft een grote rol gespeeld in dit onderzoek. Veel literatuur is vergeleken om digitale veiligheid een plek te kunnen geven binnen de criminologie. Naast criminologische literatuur is er veel gebruikt gemaakt van technische literatuur om inzicht te krijgen in de werking van de procesbesturingssystemen en de risico s die daarmee gepaard gaan. De gegevens die hieruit zijn gekomen zijn vooral algemeen van aard en niet specifiek gericht op de Rotterdamse haven. Juridisch en maatschappelijk Om de juridische en maatschappelijke vraagstukken te onderzoeken, is juridisch onderzoek uitgevoerd. Het juridisch onderzoek bestaat uit drie onderdelen: het bestuderen en analyseren van juridische literatuur, de wetgeving en de jurisprudentie. Deze literatuurstudie is de basis voor een wetenschappelijke onderbouwing bij het beantwoorden van de deelvragen. Ook dit deel van het onderzoek is beschrijvend van aard (Bijleveld, 2009). De huidige relevante wetgeving geldend voor BRZO-bedrijven wordt beschreven en er wordt literatuuronderzoek gedaan naar de huidige stand van zaken omtrent verantwoordelijkheid en aansprakelijkheid van externe toezichthouders. Er is getracht nieuwe informatie te verkrijgen (Decorte & Zaitch, 2009) en nieuwe inzichten te verkrijgen door middel van interviews. Om inzicht te krijgen in de juridische mogelijkheden van een RUD is gesproken met een interne jurist van de DCMR en met een jurist verbonden aan de Erasmus Universiteit. Deze experts hebben richting gegeven aan het verdere literatuuronderzoek met betrekking tot de juridische en maatschappelijke (mede)verantwoordelijkheid met betrekking tot milieu- en veiligheidsschade ontstaan door een ontoereikende cybersecurity. Workshop Voor dit onderzoek is het van belang om inzicht te krijgen in de specifieke risico s en kwetsbaarheden waarmee BRZO-bedrijven in de (petro)chemische industrie en in de op- en overslag te maken hebben. Als eerste poging om inzicht te krijgen in het niveau van cybersecurity in de Rotterdamse haven, is een workshop georganiseerd. Hiervoor zijn circa acht bedrijven uitgenodigd, verdeeld over de twee sectoren, om samen om tafel te gaan zitten en ter eerste verkenning met elkaar in gesprek te gaan. De workshop is georganiseerd met een tweeledig doel. Ten eerste was het voor het onderzoek waardevol om het niveau van cybersecurity van de procesbesturingssystemen bij een aantal belangrijke bedrijven in de petrochemische industrie en de natte bulkopslag in de Rotterdamse haven te toetsen. Voor de deelnemers aan de workshop was het doel van deze bijeenkomst gezamenlijk inzicht te verkrijgen in de mogelijke dreigingen en kwetsbaarheden van de procesbesturingssystemen die worden gebruikt en te verkennen welke vervolgactiviteiten zinvol zouden zijn in het kader van bewustwording en preventie. De workshop is georganiseerd in samenwerking met de Erasmus Universiteit en de belangenorganisatie van bedrijven in de Rotterdamse haven en industrie, Deltalinqs. Naast lokale bedrijven waren er medewerkers aanwezig van TNO, het Nationaal Cyber Security Centre (NCSC) en Fox-it. Survey Als vervolg op de workshop is een survey opgesteld. Twee bronnen hebben gediend als richtlijn voor het opstellen van de survey. De eerste belangrijke bron is de checklist van het NCSC (2012a, FS

15 02) omtrent beveiligingsrisico s van on-line SCADA 4 systemen. De tweede belangrijke bron is het RIPE-model opgesteld door Ralph Langner. Ralph Langner is een onafhankelijke onderzoeker en staat aan het hoofd van de Langner Group. Dit is een organisatie gespecialiseerd in cybersecurity van kritische, vitale infrastructuur. Als onderzoeker heeft Langner onder andere onderzoek gedaan naar het Stuxnet-virus. Het RIPE model, wat staat voor Robust ICS Planning and Evaluation, biedt géén nieuwe inzichten, het is slechts een verzameling van reeds bekende inzichten samengebracht in één model (Langner, 2013). Aan de hand van deze inzichten is de survey opgesteld, om zo de verschillende kwetsbaarheden en risico s mee te nemen in het onderzoek. Het doel van de survey is inzicht te verkrijgen in de zwakke plekken in de digitale beveiliging van de procesbesturingssystemen. In de survey is de bedrijven gevraagd naar diverse zaken rondom de cybersecuity van de eigen procescontrolesystemen, en gezien de hyperconnectiviteit in de regio zijn ook vragen gesteld met betrekking tot de ketenverantwoordelijkheid. Hierbij gaat het niet zozeer om het technische aspect, maar voornamelijk of er lering wordt getrokken uit incidenten en of in beeld is waar de eventuele kwetsbaarheden zich bevinden. De survey vragen zijn opgenomen in Bijlage I. Voor het onderzoek is het van belang zo veel mogelijk van de BRZO-bedrijven in de petrochemische industrie en in de op- en overslag te laten deelnemen aan de survey, om op deze manier een beschrijving van het risico te kunnen geven. In samenwerking met de DCMR en Deltalinqs is een lijst opgesteld met de bedrijven die in de doelgroep vallen. Op deze lijst staan 56 bedrijven. Persoonlijk contact is in dit onderzoek van belang, met name naar de bedrijven toe. De (petro)chemische industrie in de Rotterdamse haven kent een vrij gesloten cultuur. Er is een zekere mate van vertrouwen nodig om door te dringen tot de juiste personen en experts die informatie kunnen, mogen en willen delen. Management van deze bedrijven is benaderd, om zo de persoon binnen het bedrijf te achterhalen die verantwoordelijk is voor de procesbesturingssystemen en zich bezig houdt met de digitale veiligheid die hierbij hoort. Uiteindelijk hebben van 43 bedrijven managers of experts aangegeven deel te nemen aan het onderzoek. Hiervan zijn er 25 surveys dusdanig ingevuld dat zij bruikbaar zijn om in het onderzoek te worden meegenomen. In hoofdstuk 4 worden de resultaten hiervan besproken. Aangezien het om twee sectoren gaat, wordt hier bij de beschrijving van de resultaten rekening mee gehouden, en wordt er, waar mogelijk en relevant, onderscheid gemaakt tussen de sector (petro)chemie en op- en overslag. 4 SCADA staat voor Supervisory Control and Data Acquisition, een informatiesysteem om processen en bewerkingen inzichtelijk te maken en uit te voeren. Dit begrip wordt verder uitgelegd in paragraaf

16 HOOFDSTUK 2 CYBERSECURITY PROCESBESTURINGSSYSTEMEN 2.1 Inleiding in de automatisering en de pocesbesturingssystemen De industrie werkt tegenwoordig voornamelijk met vrijwel geheel geautomatiseerde machines. Medewerkers van bedrijven (operators) voeren steeds meer handelingen uit door op knoppen te drukken in plaats van de machines fysiek aan te sturen. In deze processystemen staan een paar begrippen centraal. Om de beveiliging van deze systemen beter te kunnen begrijpen, worden in deze paragraaf deze begrippen kort toegelicht Waartegen wordt er beveiligd? Is een grote cyberaanval, zoals met het Stuxnet-virus zoals in Iran, mogelijk in de Rotterdamse haven? Om procesbesturingssystemen te hacken is gedetailleerde kennis over hoe de procesindustrie te werk gaat nodig. Toch is het niet ondenkbaar dat het in Nederland ook kan plaatsvinden. Volgens Croonenberg (2013) moet er rekening worden gehouden met de mogelijkheid dat bijvoorbeeld een Nederlandse raffinaderij kan worden opgeblazen. Croonenberg (2013) schetst naast het opblazen van een raffinaderij nog een aantal fictieve scenarios over wat er zou kunnen gebeuren in Nederland als hackers industriële installaties zouden ontregelen. Hij concludeert dat dergelijke scenario s wel degelijk plaats zouden kunnen vinden. Om een cyberaanval te voorkomen is het op orde hebben van de eigen systemen een belangrijke stap (Croonenberg, 2013). Croonenberg haalt in zijn artikel Bart Jacobs aan, hoogleraar digitale veiligheid aan de Radboud Universiteit in Nijmegen. Volgens Jacobs wordt hier nu, vooral in de vitale infrastructuur, aan gewerkt. Niet alleen de eigen systemen moeten op orde zijn, de noodzaak van samenwerking is ook groot, vooral als het gaat om het beschermen van de vitale infrastructuur. Deze noodzaak wordt nog door zowel veiligheidsregio s als vitale sectoren onderkend (Ministerie van BZK, 2008). Tegenstrijdige belangen maken deze samenwerking vaak lastig, de vitale sector heeft primair een commercieel belang, terwijl veiligheidsregio s een maatschappelijk belang dienen. Ook te weinig inzicht in elkaars organisaties bemoeilijkt de samenwerking (Ministerie van BZK, 2008). Znidarsic (2012) wijst er juist op er in de chemische industrie nog te weinig aandacht wordt geschonken aan cybersecurity. Bij chemiebedrijven heerst gevaar van terrorisme, spionage, cybercrime en misbruik van chemicaliën. Toch gaat de aandacht voornamelijk uit naar procesveiligheid, terwijl security op andere vlakken achterblijft. Om cybersecurity voldoende aandacht te kunnen geven zou er een securitymanagementsysteem moeten worden geïmplementeerd (Znidarsic, 2012) Automatisering Tegenwoordig zijn veel handelingen in de industrie geautomatiseerd. Dit heeft meerdere redenen, zoals dat de operator niet continu op dezelfde positie kan zijn, bepaalde locaties te gevaarlijk zijn 16

17 voor operators om te werken, het proces sneller verandert dan de operator kan reageren en deze manier gevoelig is voor menselijke fouten 5. Tegenwoordig is geautomatiseerde besturing dan ook normaal in de industrie. Voor deze geautomatiseerde besturing wordt gebruikt gemaakt van een computer met daarin een microprocessor. Deze computer wordt Programmable Logic Controller genoemd, ofwel een PLC. De ingebouwde microprocessor ontvangt informatie en het systeem leest deze informatie 6. Bijvoorbeeld voor het op temperatuur houden van de watertemperatuur in een fabriek is het niet meer nodig dat een medewerker constant op de temperatuur moet letten en de schakelaar moet bedienen om de watertemperatuur constant en op de juiste temperatuur te houden. Tegenwoordig wordt de temperatuur niet door de operator afgelezen, maar gemeten door een zender. Het signaal van deze zender komt via de ingang van de controller binnen in het systeem. De operator heeft een bepaalde temperatuur ingesteld 7. Aan de hand van deze informatie worden via de uitgangen van de microprocessor de machines aangestuurd. Dit gebeurt door het aansturen van elektromagnetische schakelaars. Deze schakelaars zorgen er simpelweg voor dat een deel van de machine wel of niet van stroom wordt voorzien. In het kort gezegd kijkt het PLC-systeem of aan de voorwaarden is voldaan om een bepaalde bewerking uit te voeren. Als dit het geval is, dan zal het systeem de logische schakelingen tot stand brengen en de machine aansturen 8. In het geval van het voorbeeld van de temperatuurregeling zorgt de PLC ervoor dat het water op de ingestelde temperatuur blijft, door een signaal via de uitgang van de controller door te sturen naar de automatische regelklep en het systeem kan hierdoor automatisch de gastoevoer open of dicht zetten om de temperatuur te regelen 9. Naast het aansturen van de machines, kan een PLC ook een storing in het systeem lokaliseren 10 en een alarm laten afgaan om de operator te waarschuwen wanneer het systeem faalt 11. Een fout in het PLC-systeem kan een machine ontregelen, met mogelijk grote gevolgen. Om deze reden is het inregelen, programmeren en het aanpassen van de PLC s een specialistische aangelegenheid. De meeste bedrijven hebben hier geen eigen software engineers voor in huis, maar maken gebruik van elders ontwikkelde PLC-systemen en vaak wordt het werk aan de PLC s uitbesteed aan derden 12. In deze paragraaf is slechts een simpel voorbeeld van een toepassing voor een PLC gegeven, deze instrumenten kunnen echter zeer complex zijn. In het kader van dit onderzoek is een basis begrip voldoende. 5 Laatst geraadpleegd 11 december De ot-group website is een forum waarop wordt gesproken over procesbesturingstechnologie. Dit is géén wetenschappelijke site, maar heeft bijgedragen aan een beter inzicht in de werking van procesbesturingssystemen en de kwetsbaarheden van deze systemen. 6 Laatst geraadpleegd 11 december De website van technisch werken is een informatie pagina omtrent techniek, innovatie en arbeidsmarkt. Dit is géén wetenschappelijke site, maar geeft informatie over de werking van de procesbesturingssystemen. 7 Zie noot 5 8 Zie noot 6 9 Zie noot 5 10 Zie noot 6 11 Zie noot 5 12 Zie noot 6 17

18 Procesbesturingssystemen in algemene zin worden aangeduid met de term Industrial Control Systems, ofwel ICS. Hierbij kan onder andere worden gedacht aan computersystemen welke voorzien in bijvoorbeeld toegangscontrole, klimaatcontrole en camera s (NCSC, 2012). Om in de industrie dit proces te kunnen controleren en beheersen is een informatiesysteem nodig. In de industrie wordt veel gebruik gemaakt van software die op een computer wordt geïnstalleerd waarmee gegevens van en naar de PLC-systemen van de machines in de fabriek kunnen worden gestuurd. Zo kunnen de juiste bewerkingen worden uitgevoerd en kunnen de processen en bewerkingen inzichtelijk worden gemaakt. De term die voor deze software wordt gebruikt is Supervisory Control and Data Acquisition, afgekort en algemeen bekend als SCADA 13. Het Nationaal Cyber Security Centrum benadrukt dat de term SCADA alleen doelt op overkoepelende procesbesturing ten behoeve van het verzamelen en analyseren van real-time procesinformatie (NCSC, 2012). In een SCADA-systeem kunnen meerdere PLC worden opgenomen. Iedere individuele PLC is opgenomen in het overzicht waardoor een operator het hele process in de fabriek in één oogopslag kan zien, zelfs vanaf honderden kilometers afstand van de fabriek 14. Hier kunnen foutmeldingen worden afgelezen en bij sommige SCADA-systemen kan er ook direct actie worden ondernomen en kunnen beheertaken worden uitgevoerd via het systeem 15. Er zijn diverse bedrijven die SCADA-toepassingen hebben ontwikkeld, een aantal hiervan zijn Siemens, Schneider Electric en General Electric 16. In dit onderzoek zal vooral de algemene term procesbesturingssysteem worden gebruikt. Hier kan ook SCADA of ICS worden gelezen Verbinding van procesbesturingssystemen met internet De meeste procesbesturingssystemen die in gebruik zijn gaan al geruime tijd mee. Voor een dergelijk systeem is een levensduur van minimaal tien tot twintig jaar gebruikelijk, en het ontwerp van het systeem is vaak nog tien jaar eerder. Een simpele rekensom toont aan dat veel van deze systemen ontworpen zijn in het tijdperk voordat internet wereldwijd werd gebruikt. Tot 1992 was het gebruik van internet voor commerciële doeleinden in de Verenigde Staten nog niet toegestaan en buiten de Verenigde Staten werd er van internet nog weinig gebruik gemaakt. Deze procesbesturingssystemen waren niet ontworpen voor een koppeling aan het internet, ze zijn ontworpen om geïsoleerd te draaien (Brenner, 2013). Samengevat kan worden gezegd dat de automatisering veel heeft veranderd in de industrie, nieuwe manieren om processen aan te sturen zijn ontwikkeld en worden nu toegepast in de praktijk. Veel bedrijven werken inmiddels al jaren met procesbesturingssystemen, zoals SCADA, om de processen aan te sturen. Een aantal van deze besturingen wordt tegenwoordig, vaak uit gemak, op internet 13 Laatst geraadpleegd op 4 april Laatst geraadpleegd op 18 april Wiki.edu-lab.nl is géén wetenschappelijke website, deze website is opgezet voor informatie- en kennisoverdracht op het gebied van industriële automatisering en draagt bij aan een basiskennis over procesautomatisering Laatst geraadpleegd op 4 april Tweakers is een elektronica- en technologiewebsite voor Nederland en België. 16 Bron: Laatst geraadpleegd op 4 april

19 aangesloten. Gebruiksgemak en efficiëntie lijken het te winnen van veiligheid. Het verbinden van het procesbesturingssysteem met het internet leverde grote voordelen op, zoals het monitoren en beheersen van het proces op afstand. Ook konden systemen nu worden gekoppeld. Door de voordelen hiervan voor de industrie werd het steeds gebruikelijker om de internetkoppeling te maken (Brenner, 2013). 2.2 Cybercriminaliteit in de procesindustrie Deze paragraaf richt zich op de diverse vormen van cybercriminaliteit waar de procescontrolesystemen in de petrochemische industrie en in de op- en overslag van natte bulk mee te maken kunnen krijgen. Wat kan er gebeuren en wie zijn de daders? Doelen en motieven Er zijn diverse redenen te noemen waarom een cyberaanval kan worden uitgevoerd. De motivatie van de verschillende groepen kan sterk uiteenlopen. Financieel gewin is net als bij andere vormen van criminaliteit een veelvoorkomend motief (Bernaards et al, 2012). Diverse redenen worden genoemd 17, zoals dat een concurrent waardevolle informatie bij een ander bedrijf zoekt door middel van cyberspionage. Het saboteren of gijzelen van systemen is ook een mogelijkheid. Er kan worden gedreigd om bijvoorbeeld productie stil te leggen met alle gevolgen van dien. Overlast wordt daarnaast veroorzaakt uit verveling, uit baldadigheid of om te zien of in een systeem is in te breken. De verschillende vormen van cybercriminaliteit in de procesindustrie, zijn afhankelijk van het doel van de cyberaanval. Een aantal jaren geleden leek het doel van een cyberaanval voornamelijk gericht op het stelen van geld van bankrekeningen. Inmiddels lijkt het stelen van data en bedrijfsgeheimen hiernaast ook een belangrijk doel te zijn. Ook de overname van de procesbesturingssystemen om zo schade aan te richten aan de gezondheid van de bevolking, lijkt nu een doel op zich te zijn geworden (Willems, 2011). Blackmail, extortion, total control over industrial processes, destruction and especially in the case of the process industry damage to the health of the population seem to be the next goals. Willems, 2011, p.18 Een zeer bekend voorbeeld van een cyberaanval die heeft plaatsgevonden op de vitale infrastructuur, is Stuxnet. Stuxnet is een computerworm, speciaal ontworpen om een gerichte aanval uit te kunnen voeren op de ultracentrifuges in Natanz, Iran. Om deze aanval uit te kunnen voeren is de computerworm zo ontwikkeld dat hiermee de procesbesturingssystemen van Siemens konden worden overgenomen 18. De aanval was niet gericht op Siemens, maar op Natanz. Deze worm neemt 17 Laatst geraadpleegd december Mechatronica & Machinebouw is een vakblad met betrekking tot systeemonwtikkeling. In het (online) blad wordt informatie verstrekt over trends en ontwikkelingen, onder andere over industriële automatisering. 18 De malware Stuxnet bleek geprogrammeerd te zijn om op besmette computers op zoek te gaan naar WinC C/Step 7 procescontrolesystemen van Siemens (Bernaards et al, 2012). 19

20 de computer over en zal het procesbesturingssysteem herprogrammeren. Hierdoor is het mogelijk om bedrijfsgegevens te stelen, het productieproces over te nemen, het systeem uit te schakelen of zelf te vernietigen (Byres, 2012). Het doel van Stuxnet was duidelijk. Stuxnet is ingezet om Iraanse ultracentrifuges waarin nucleaire brandstof wordt gemaakt, plat te leggen (Croonenberg, 2013). Volgens de Amerikaanse onderzoeker David E. Sanger (2012) is de ontwikkeling van Stuxnet onderdeel van operatie Olympic Games, een geheime Amerikaans programma om de nucleaire fabriek in Natanz te Iran, stil te leggen zonder over te moeten gaan op bombardementen (Sanger, 2012, p.190). De procesbesturing van deze ultracentrifuges werd gedaan met besturingssystemen van Siemens. Het virus was specifiek ontwikkeld om deze centrifuges in Iran aan te vallen en te herconfigureren (Byres, 2012). Zo was het mogelijk besturingscommando s op de systemen uit te voeren op de specifieke Siemens centrifuges. Als gevolg van snel wisselende frequenties bliezen deze centrifuges uiteindelijk zichzelf op. De grootste schade is geleden in Natanz, naar schatting hebben circa 1000 centrifuges in de nucleaire faciliteit het begeven (Bernaards et al, 2012). Zoals vaak bij aanvallen, is het probleem dat niet alleen de centrifuges in Iran hier last van ondervinden, er is sprake van veel nevenschade. Ook in de Verenigde Staten hebben bedrijven veel herstelwerkzaamheden moeten uitvoeren nadat het procesbesturingssysteem geherconfigureerd bleek door Stuxnet. Het ziet er naar uit dat veel van deze systemen niet bewust zijn aangevallen (Byres, 2012). Several weeks before public reports appeared about a mysterious new computer worm, carried on USB keys and exploiting a hole in the Windows operating system, the creators of the bugs realized that random copies were floating around the globe Sanger, 2012, p Amerikaanse onderzoekers hebben een reconstructie gedaan om na te gaan hoe de nevenschade heeft kunnen ontstaan. In dit onderzoek van Sanger (2012) wordt verondersteld dat een Iraanse wetenschapper een laptop aan het besturingssysteem heeft gekoppeld. Het virus is hierdoor op de laptop terecht gekomen en geactiveerd. Op een later moment is deze laptop weer losgekoppeld en later aan het internet verbonden. Het virus herkende het internet als een klein netwerk en begon zichzelf te verspreiden. Ineens was het virus wereldwijd bekend (Sanger, 2012, p.204). Stuxnet heeft bij velen de ogen geopend en wordt door Symantec wel een game changer voor veel bedrijven genoemd (Wueest, 2014). Het is het bewijs dat een zeer ingewikkelde en complexe cyberaanval op de procesindustrie geen fictie is, maar een serieus risico. Daarbij heeft Stuxnet meer kwetsbaarheden in de systemen aangetoond, en deze inzichtelijk gemaakt voor kwaadwillenden. Hierdoor is het aantal aanvallen sindsdien toegenomen (Bernaards et al, 2012). Het mag duidelijk zijn dat de ontwerpers van Stuxnet een goede voorbereiding hebben gehad. Zij hadden gedetailleerde kennis van de processen en de systemen alvorens deze worm te hebben ontwikkeld (Byres, 2012). Meer recentere grote voorbeelden lijken vooralsnog vooral gericht op het stelen van informatie, en niet gericht op het verstoren van de procesindustrie. Een manier om digitaal informatie te verkrijgen, is het installeren van malware op het systeem (Bernaards et al, 2012). Een voorbeeld van dergelijke malware is duqu. DuQu is in oktober 2011 aan het licht gekomen. Het doel van het infecteren van 20

21 systemen met dit virus is het verkrijgen van informatie (Byres, 2012). DuQu is niet gelijk aan Stuxnet, maar opvallend is dat de structuur en de gedachtegang achter het ontwikkelen van het virus veel gelijkenis vertoont 19 (Bencsáth et al, 2011, p.5). Ook het virus Nitro wordt door hackers gebruikt om informatie te verkrijgen en is ingezet bij een aanval op ten minste 25 industriële bedrijven (Byres, 2012). Het doel van dit laatste voorbeeld lijkt vooral bedrijfsspionage te zijn, om zo concurrentievoordeel te kunnen behalen (Byres, 2012). Concurrentievoordeel behalen lijkt momenteel een belangrijk motief bij het uitvoeren van een cyberaanval in de industrie (Byres, 2012). Ook het verbeteren van de concurrentiepositie is een motief dat in Nederland voorkomt, vooral multinationals ondervinden hinder van cyberspionage (Bernaards et al, 2012). Over de totale omvang van bedrijfsspionage is weinig bekend, de aangiftebereidheid is laag. Wel is bekend dat het aantal slachtoffers aan het toenemen is (Bernaards et al, 2012). Ook in Rotterdam schijnt dit een belangrijk motief te zijn 20. Nederlandse bedrijven beschikken over veel technische kennis waar bedrijven uit andere landen, maar ook statelijke actoren, naar op zoek te zijn. De AIVD heeft geconstateerd dat digitale spionage in Nederland veel voorkomt en dat het aantal aanvallen stijgt. De aanvallen worden complexer en de impact ervan wordt groter. De AIVD vermeldt dat deze aanvallen steeds vaker zijn gericht op bedrijven in de topsectoren. Cyberspionage is dan ook een dreiging waar bedrijven in de chemiesector, maar ook de energie-, hightech- en biotechnologiesector, mee te maken hebben 21. De AIVD geeft hierbij aan dat het voornamelijk gaat om het vergaren van intellectueel eigendom en bedrijfsgeheimen. Aangezien Nederland een koploper is op het gebied van innovatie en export, is er hier veel waardevolle informatie te verkrijgen. Echter commerciële bedrijfsspionage is geen nieuw motief is en bestond al lang voordat cybersecurity een issue werd. De schade ondervonden door spionage kan hoog oplopen en kan grote gevolgen hebben voor de Nederlandse economie, doordat het de marktpositie en de inkomsten van Nederlandse bedrijven kan schaden wanneer technologische, financiële of strategische kennis wordt overgenomen 22. Het gaat om economische belangen, wat in Nederland niet wordt gezien als een vitaal belang om te beschermen 23. Toch wijst Byres (2012) op een ander risico dat hieruit voort kan vloeien. Deze virussen die nu worden ingezet voor commerciële bedrijfsspionage, kunnen ook informatie verzamelen waarmee een aanval op de processystemen kan worden voorbereid. Zoals dit bij Stuxnet ook is gebeurd (Byres, 2012). Een cyberaanval kan ook worden uitgevoerd voor financieel gewin. Er kan worden overgegaan tot het kapen van een systeem. Deze vorm van cybercriminaliteit zorgt ervoor dat een systeem wordt besmet en gekaapt, slechts tegen betaling worden de geblokkeerde bestanden weer vrijgegeven (NCSC, 2013). Een extra risico dat het digitale tijdperk met zich meebrengt, is dat kennis en inzichten zeer snel wereldwijd worden gedeeld. Cyberaanvallen kunnen zeer makkelijk worden gekopieerd en elders 19 Diverse onderzoekers, waaronder Bencsáth et al (2011) van de Budapest University of Technology and Economics hebben onderzoek gedaan naar DuQu en beschrijven de technische gelijkenis in een onderzoeksrapport. In dit onderzoek wordt het technische aspect verder achterwege gelaten. 20 Gesprek met expert bij de politie, 20 mei Laatst geraadpleegd juli Laatst geraadpleegd juli Bron: uit eigen gesprekken, waaronder gesprek met expert bij de politie, 20 mei

22 worden ingezet. Dit staat tegenover een fysieke aanval door bijvoorbeeld gebruik van explosieven, welke slechts eenmalig kunnen worden gebruikt (Langner, 2013). Zo is bijvoorbeeld het zojuist besproken voorbeeld Stuxnet een zeer gecompliceerde aanval geweest, het kopiëren van het virus is daarentegen veel eenvoudiger (Brenner, 2013). Het kopie van het virus is echter net zo schadelijk. Naast informatie over het kopiëren van een virus, wordt online ook informatie gedeeld over (kwetsbare) SCADA-systemen. Er bestaan speciale online zoekmachines waarin wordt aangegeven welke systemen aan het internet zijn gekoppeld (Wueest, 2014). Dit kan gaan om webcams, routers, maar ook processystemen zoals SCADA. Een voorbeeld van een dergelijke zoekmachine is Shodan. Shodan staat voor Sentient Hyper-Optimized Data Access Network en wordt wel de Google voor Hackers genoemd 24. Hackers publiceren aan de hand van de zoekresultaten lijsten waarop instellingen en organisaties staan genoemd welke aan het internet zijn gekoppeld 25. Ook in Nederland heeft een hacker recent een lijst gepubliceerd met SCADA-systemen die open-en-bloot met internet zijn verbonden 26. Het doel van deze Nederlandse hacker was het waarschuwen van de eigenaren van de systemen. Het NCSC stimuleert deze gedachtegang van hackers en zoekt hierin samenwerking. Woordvoerster Doesberg van het NCSC geeft volgens Security.nl aan dat het NCSC juist het verbindingsstuk wil zijn voor hackers die beveiligingslekken vinden en de bedrijven waar deze problemen spelen 27. Het NCSC erkent het risico van deze zoekmachines en noemt hierbij nog een aantal voorbeelden van online netwerkscanners, zoals NMAP, Nessus en Metasploit. Al deze zoekmachines en hulpmiddelen bieden mogelijkheden om snel te zoeken op ICS en SCADA gerelateerde kwetsbaarheden in systemen (NCSC, 2012, Factsheet FS : Beveiligingsrisico s van on-line SCADA systemen). Het voordeel van deze zoekmachines is dat systeemeigenaren er zelf ook gebruik van kunnen maken en kunnen zoeken naar kwetsbaarheden in de eigen systemen (NCSC, 2012, Factsheet FS : Beveiligingsrisico s van on-line SCADA systemen). Een recent gevonden en bekend gemaakte kwetsbaarheid is Heartbleed. Heartbleed is een kwetsbaarheid in de programmeerbibliotheek OpenSSL. Deze library of OpenSSL wordt veel gebruikt om beveiligde verbindingen op te zetten. De kwetsbaarheid maakt het mogelijk om van buitenaf vertrouwelijke informatie te verkrijgen, zoals wachtwoorden en klantgegevens. Ruim twee jaar hebben aanvallers deze kwetsbaarheid kunnen gebruiken 28 (NCSC, 2014, Factsheet FS ). Ook deze informatie wordt online door hackers gedeeld. Na de publicatie van Heartbleed is de code om deze kwetsbaarheid te misbruiken gedeeld en sindsdien zijn veel apparaten hiermee aangevallen of getest (NCSC, 2014, Factsheet FS ). Dit is ook een risico voor de procescontrolesystemen die met internet zijn verbonden. Bijvoorbeeld een VPN-verbinding kan hierdoor onveilig zijn, een hacker kan beschikken over informatie die over de VPN-verbinding wordt verstuurd of toegang krijgen tot inloggegevens. Ook is het mogelijk om de informatie aan te passen. Slechts een update van het 24 Laatst geraadpleegd juli ZDNet is een nieuwswebsite voor IT professionals publicatie Laatst geraadpleegd op Security.nl is een website waarop nieuws en achtergronden omtrent informatiebeviliging, privacy en gegevensbescherming dagelijks wordt gepubliceerd. 26 Zie noot publicatie Laatst geraadpleegd op De kwetsbare code was al sinds maart 2012 onderdeel van OpenSSL, pas op 7 april 2014 is deze gepubliceerd en gerepareerd. 22

23 systeem of het apparaat kan de kwetsbaarheid wegnemen. Ook moeten certificaten welke zijn gebruikt op een kwetsbaar apparaat worden vervangen (NCSC, 2014, Factsheet FS ) Modus operandi Er zijn diverse vormen van aanvalsmethoden, deze hebben vaak een relatie met elkaar. Aanvallers zullen vooral zoeken naar zwakke plekken in de beveiliging van een systeem, om deze kwetsbaarheid te kunnen gebruiken voor hun malafide doeleinden (Rijksoverheid, 2010). Als containerbegrip om veel cybercriminaliteit te omschrijven, wordt hacken genoemd. Hacken omvat het binnendringen in geautomatiseerde werken (Bernaards et al, 2012). Dit binnendringen kan zowel ongericht als gericht gebeuren. Ongericht wil zeggen dat elke computer met een bepaalde zwakheid wordt gehackt, dit zijn vaak geautomatiseerde hacks. Gerichte hacks vereisen vaak meer kennis, de kwetsbaarheden van een systeem worden geanalyseerd en er wordt een specifieke aanvalstechniek ontwikkeld om een specifiek systeem gekoppeld aan een bepaalde computer te kunnen binnendringen (Bernaards et al, 2012). Om een systeem te kunnen hacken, wordt gebruik gemaakt van hulpmiddelen. Cybercriminelen installeren bijvoorbeeld software. Hiervoor wordt de term malware gebruikt, opgebouwd uit de Engelse termen malicious en software, letterlijk vertaald kwaadwillende software. Een manier om deze software op een computer te kunnen krijgen, is door het versturen van fake s waarin de malware is verborgen 29. Computers, routers en andere apparatuur kunnen besmet raken met malware, zoals de beschreven voorbeelden uit paragraaf 3.1 (Stuxnet, duqu, Nitro). Deze kwaadaardige software koppelt de computer mogelijk aan een computernetwerk van de hacker, een botnet genaamd. Op deze manier wordt de achterdeur in het systeem geplaatst. Zo is het voor de hacker mogelijk dit deurtje op een later tijdstip te openen en op deze manier van afstand het systeem te infecteren en eventueel ook aan te sturen. Ook voor ICS- en SCADA-systemen vormt malware een serieuze bedreiging (Bernaards et al, 2012). Ook is malware er vaak op gericht om inloggegevens te achterhalen en digitale overschrijvingen te manipuleren (NCSC, 2013). Voor het kapen van een systeem wordt ransomware ingezet als hulpmiddel (NCSC, 2013). Om malware op een computer te krijgen, is vaak meer nodig dan alleen het versturen van een . Naast digitale spionage zullen er klassieke methoden worden ingezet. Spionage is niet nieuw, het wordt ook wel het oudste beroep ter wereld genoemd 30. Om te kunnen spioneren wordt er vaak gericht op zoek gegaan naar kwetsbaarheden van bijvoorbeeld directeuren of medewerkers van het bedrijf 31. Om deze bedrijven of personen gericht te benaderen, maken cybercriminelen hierbij ook gebruik van social media. Via social media is het makkelijk geworden potentiële doelwitten te identificeren en te benaderen. Op deze manier kan vertrouwen worden gewonnen bij het (potentiële) slachtoffer, of de hacker kan zich voordoen als iemand die wordt vertrouwd. Dit vertrouwen vergroot de kans op een succesvolle aanval 32. Wanneer een cybercrimineel gebruik wil maken van bestaande manieren van cyberaanvallen, dan biedt het internet uitkomst. Op internet zijn de benodigde commando s te vinden om een specifieke 29 Laatst geraadpleegd juli Laatst geraadpleegd juli Zie noot Laatst geraadpleegd juli

24 kwetsbaarheid te misbruiken (Bernaards et al, 2012). Een dergelijk stuk programmacode wordt een exploit genoemd. Het is mogelijk om een exploit toe te passen op een bekend veiligheidslek in bepaalde software, dit is dan een ongerichte aanval. Bij een gerichte aanval wordt gezocht naar een exploit bij een bepaald systeem (Bernaards et al, 2012). Doordat deze exploits op internet staan, zoals op speciale websites als exploit-db.com, zijn deze voor iedereen te gebruiken. Opvallend is dat er sinds 2010 een afname is in de stijging van op internet vrij beschikbare exploits. Het is niet duidelijk wat hier de oorzaak voor is. Mogelijke verklaringen kunnen zijn dat veranderingen in software ervoor hebben gezorgd dat kwetsbaarheden in de systemen moeilijker uit te buiten zijn. Het is ook mogelijk dat exploits nu commercieel verhandeld worden in plaats van vrij gedeeld (NCSC, 2013). Bedrijven kunnen de systemen beschermen tegen kwetsbaarheden door de software up-to-date te houden en updates tijdig te installeren. Een systeem dat niet up-to-date is, bevat kwetsbaarheden die vaak bekend zijn bij hackers. Hackers halen veel informatie uit beveiligingsupdates van leveranciers van software, dit wordt reverse engineering genoemd. Hierbij gaan hackers specifiek op zoek naar het lek in de software waarvoor de beveiligingsupdate is uitgegeven en schrijven hier een exploit voor. Gebruikers die de update niet hebben geïnstalleerd zijn kwetsbaar (Bernaards et al, 2012). Dit is relevant voor gebruikers van procesbesturingssystemen, vaak wordt er voor gekozen om het systeem stand-alone te laten draaien, dat wil zeggen zonder enige verbinding met een ander netwerk. Wanneer hiervoor wordt gekozen dan worden updates vaak ook niet geïnstalleerd. Externe media, zoals een usb-stick of een laptop, zijn dan een groot risico voor infectie van het systeem. Veel exploits richten zich dan ook op kwetsbaarheden in systemen waarvoor reeds een update beschikbaar is. Echter worden er ook exploits geschreven voor kwetsbaarheden die nog onbekend zijn bij de makers van de software, of waarvoor nog geen update voor beschikbaar is. Dit worden 0- day exploits genoemd (Bernaards et al, 2012). Veel systemen zijn beschermd door middel van een gebruikersnaam in combinatie met een wachtwoord. Cybercriminelen kunnen een poging doen deze inloggegevens te raden, er zijn nog altijd veel bedrijven die gebruik maken van default instellingen en ook komt nog voor dat bedrijven dezelfde gegevens voor meerdere toepassingen hanteren (Bernaards et al, 2012). Wanneer de informatie niet zomaar te raden is, zijn er nog andere methoden die kunnen worden ingezet om gebruikersnamen en wachtwoorden te achterhalen. Het netwerkverkeer kan bijvoorbeeld worden afgevangen. Het is dan mogelijk om mee te lezen in alle data die vanuit of naar een systeem wordt verzonden. Deze methode wordt sniffing genoemd (Bernaards, 2012). Dit meelezen kan op diverse manieren worden gedaan. De evil maid aanval wordt hier nog voor ingezet, waar een usb-stick door bijvoorbeeld een schoonmaakster in een computer wordt achtergelaten. Wanneer de gebruiker van de betreffende computer het wachtwoord een volgende keer invoert, dan wordt dit wachtwoord opgeslagen op de usb-stick. De usb-stick wordt weer opgehaald door bijvoorbeeld de schoonmaakster en bevat nu kwetsbare informatie. Door het toenemende gebruik van draadloze communicatie, zoals WiFi- of bluetoothverbindingen is het van afstand meelezen makkelijker geworden (Bernaards et al, 2012). Veel vormen van cybercriminaliteit worden snel opgemerkt, zeker wanneer het systeem vastloopt, er dingen misgaan of er geld verdwijnt. Digitale spionage daarentegen is vaak lastiger op te sporen. De dader komt het systeem binnen en kijkt overal in mee. Doordat deze processen vaak draaien zonder 24

25 dat het voor problemen zorgt bij de gebruiker, wordt deze vorm van cybercriminaliteit vaak niet opgemerkt. s en documenten kunnen worden meegelezen. Vaak wordt er pas naar de besmette computer gekeken wanneer een computer of een systeem vastloopt. Dan blijken er processen op de achtergrond te draaien die door een hacker zijn geïnstalleerd (Vermaas, 2012). De AIVD geeft aan dat deze aanvallen soms zelfs maanden tot jaren kunnen duren 33. Hetzelfde geldt voor software die wordt geïnstalleerd en de hacker laat meekijken naar alle toetsaanslagen van de gebruiker van het systeem, dit wordt keylogging genoemd. Er is dan spyware op het systeem geïnstalleerd. Ook is het met spyware vaak mogelijk schermafdrukken te maken. Spyware kan redelijk simpel verborgen worden geïnstalleerd, waardoor het lang duurt voor men door heeft dat er hackers meekijken op het systeem (Bernaards et al, 2012). De impact van cyberspionage kan dan ook zeer groot zijn 34. Een andere vorm van cybercriminaliteit is het manipuleren van digitale gegevens. Het kan zijn dat bedrijven frauderen en gegevens digitaal manipuleren om op deze manier binnen de milieu-eisen te blijven. Deze vorm van cybercriminaliteit zal niet worden meegenomen in het onderzoek, aangezien dit een andere aanpak van onderzoek vereist en betrekking heeft op interne fraude en niet op een dreiging van buitenaf. 2.3 Cybercriminaliteit op procesbesturingssystemen Tot nu toe zijn er weinig grote incidenten bekend en een daadwerkelijke ramp door een aanval op de kritieke infrastructuur heeft nog niet plaatsgevonden. Voor mensen die kwaad willen lijkt er toch genoeg mogelijk. Wie zijn nu deze potentiële daders en wat zijn de motieven? Deze paragraaf tracht hier inzicht in te geven Honeypots Zijn procesbesturingssystemen daadwerkelijk interessant voor hackers? Een manier gebruikt door beveiligingsonderzoekers om deze vraag te beantwoorden, is door zogenaamde honeypots te ontwerpen. Een honeypot is een procescontrolesysteem speciaal ontworpen om hackers aan te trekken. Voor Trend Micro heeft onderzoeker Kyle Wilhoit (2013) een PLC ontworpen om een lokale waterpompinstallatie te beheren. Het SCADA systeem dat hieraan was gekoppeld werd ingezet als honeypot door het bedieningssysteem aan een internet pagina te koppelen. Binnen 18 uur na het online gaan was de eerste aanval al een feit. In een maand tijd zijn er 39 aanvallen op deze honeypot gerapporteerd, afkomstig uit 14 verschillende landen. Zonder duidelijke reden werden bijvoorbeeld druk en temperatuur in het systeem veranderd door derden. Ruim één derde van de aanvallen kwam vanuit China (35%), gevolgd door de Verenigde Staten (19%) en Laos (12%). Deze cijfers zijn af te lezen in figuur 2 (Wilhoit, 2013) Zie noot 33 25

26 Figuur 2: Percentage pogingen tot een aanval per land (Wilhoit, 2013) Ook is door Wilhoit (2013) gekeken naar het aantal gerichte aanvallen per aanvaller. Volgens Wilhoit baart dit cijfer meer zorgen, aangezien er aanvallers tussen zaten die herhaaldelijk aanvallen bleven uitvoeren. Deze aanvallers stuurden iedere 24 uur een nieuwe aanval aan, en wanneer een aanval niet succesvol bleek werd deze aangepast. Hieruit trekt Wilhoit (2013) de conclusie dat deze aanvallers waarschijnlijk probeerden om toegang tot het systeem te krijgen of gericht schade aan te richten. Figuur 3 laat zien dat de meeste van deze gerichte, herhaaldelijke, aanvallen vanuit Laos kwamen (Wilhoit, 2013). Figuur 3: Heat map, laat zien waar de meeste gerichte aanvallen vandaan kwamen (figuur overgenomen Wilhoit, 2013) 26

27 Aan de hand van dergelijke onderzoeken speculeren onderzoekers dat het waarschijnlijk is dat er veel meer schade wordt aangericht aan processystemen dan dat nu bekend wordt gemaakt 35. Dit blijven vooralsnog vooral speculaties en cijfers hiervoor ontbreken nog. Een reden hiervoor kan zijn de lage aangiftebereidheid bij een cyberaanval. Ook mogelijk is dat veel systemen een cyberaanval reeds succesvol weten te voorkomen, waardoor er geen schade is ontstaan. Na dit onderzoek heeft Wilhoit in 2013 verder onderzoek gedaan door middel van een nieuwe honeypot. Om een breder en wereldwijd beeld te krijgen van aanvallen op SCADA-systemen, is het originele onderzoek herhaald, ditmaal groter opgezet. In plaats van gebruik te maken van één honeypot, is er een netwerk van meerdere honeypots ingericht. Dit wordt een honeynet genoemd. In tegenstelling tot andere honeynets, is deze honeynet zo opgezet dat alle honeypots seperaat werken. Om vervuilde data te voorkomen is er géén verbinding tussen de verschillende honeypots mogelijk. Zo wordt voorkomen dat een indringer via het ene systeem in het andere terecht kan komen (Wilhoit, 2013a, p.8). Figuur 4: Landen waar de honeypots zijn opgezet (figuur overgenomen uit Wilhoit, 2013, p.8) Locatie van de honeypot Aantal ingezet China 2 Japan 1 Rusland 3 Autralië 1 Verenigde Staten 2 Ierland 1 Brazilië 1 Singapore 1 Totaal 12 Tabel 1: Aantal honeypots per land (Wilhoit, 2013, p.9)

28 In figuur 5 is af te lezen in welke landen de honeypots zijn opgezet. In totaal zijn er 12 honeypots ingericht. Bij het analyseren van de aanvallen op deze honeypots kan onderscheid worden gemaakt tussen geautomatiseerde aanvallen en doelgerichte aanvallen. In de periode van maart tot juni 2013 zijn er geautomatiseerde aanvallen geregistreerd, afkomstig van unieke IP-adressen. In de drie maanden van het onderzoek van Wilhoit (2013a), maart tot juni 2013, zijn de systemen vanuit 16 verschillende landen doelgericht aangevallen. Dit was goed voor 74 doelgerichte aanvallen. Het grootste gedeelte, 64 aanvallen, zorgden niet voor een schadelijke verstoring van het proces. Een totaal van 10 incidenten waren wel kritiek en zouden via het ICS-systeem het proces kunnen verstoren. Wilhoit (2013a) heeft alleen een uitgebreide analyse gemaakt van de doelgerichte aanvallen. Attributie van aanvallen is een lastige klus, vaak onmogelijk. Vaststellen wat de motivatie van de dader is, is vaak nog lastiger. Daders zullen bijna nooit de intenties van de aanval vrijgeven (Wilhoit, 2013). Een startpunt in de attributie is het achterhalen van het land van herkomst van de aanval. Een tweede punt waar naar wordt gekeken bij de analyse voor attributie van het motief is het type aanval. Als te zien is dat het om een doelgerichte aanval gaat, waarbij wel inbreuk is gemaakt in het ICS-systeem, maar géén aanpassingen in het proces zijn gedaan, dan zou de motivatie spionage of informatieverzameling kunnen zijn (Wilhoit, 2013, p.20). Wanneer blijkt dat er wel destructieve wijzigingen in het proces worden gedaan, dan kan worden aangenomen dat het motief waarschijnlijk verstoring van het bedrijfsproces is. Figuur 5 is een tabel waarin is af te lezen vanuit welk land een honeypot werd aangevallen ( oorsprong ) en welk land het doelwit van de aanslag was ( doelwit ). DOELWIT OORSPRONG Brazilië Rusland Verenigde Staten Ierland Singapore China Japan Oostenrijk Nederland x 2 niet-kritiek x x x x x x China x 1 niet-kritiek 1 niet-kritiek x 1 kritiek x & 3 kritiek & 1 kritisch x x Duitsland x 4 niet-kritiek & 1 kritiek x x x x x x Kazachstan x 1 niet-kritiek x x x x x x Canada x 1 niet-kritiek x x x x x x Verenigde Staten x 2 niet-kritiek x x x 1 kritiek x x Australië x 1 niet-kritiek x x x x x x Moldavië x 1 niet-kritiek x x x x x x Oekraïne x 2 niet-kritiek x x x x x x Verenigd Koninkrijk x x x x x 1 kritiek x x Frankrijk x x x x x 1 kritiek x x Palestina x 1 niet-kritiek x x x 1 kritiek 1 kritiek x Polen x 1 niet-kritiek x x x x x x Slovenië x 1 niet-kritiek x x x x x x Japan x 1 kritiek x x x x x x Rusland x 43 niet-kritiek x x x x x x Tabel 2: tabel doelwit en oorsprong Tussen december 2012 en 15 mei 2013 is geconstateerd dat er minstens 15 doelgerichte aanvallen hebben plaatsgevonden met als doel het verzamelen van informatie. In dezelfde periode hebben minstens 33 aanvallen plaatsgevonden met een destructief doel, er werd gepoogd het ICS-systeem te verstoren of plat te leggen (Wilhoit, 2013, p.20). 28

29 Wilhoit (2013) heeft met deze twee onderzoeken aangetoond dat doelgerichte aanvallen op procesbesturingssystemen plaatsvinden. Het is niet aan te geven hoe vaak dergelijke aanvallen plaatsvinden, en ook de motivatie blijft lastig te bepalen. Een opvallende conclusie van Wilhoit (2013) is dat USB-drives vaak het startpunt zijn van een aanval Potentiële daders van cyberaanvallen op procesbesturingssystemen Het Nationaal Cyber Security Centrum (NCSC) heeft in het Cybersecuritybeeld Nederland (NCSC, 2013a) diverse actoren in kaart gebracht. Het is mogelijk dat een partij meerdere rollen heeft en dus als meerdere actoren tegelijkertijd kan optreden. Hierbij is het van belang te realiseren dat het bij cyberincidenten vaak lastig is een dader te achterhalen (NCSC, 2013), aangezien op het internet veelal anoniem kan worden geopereerd en een aanval er aan de oppervlakte identiek kan uitzien waardoor het in beginsel onduidelijk is of de aanval wordt uitgevoerd door een staat, een private organisatie of een individuele hacker (Bernaards et al, 2012). In deze paragraaf wordt verder ingegaan op de diverse potentiële daders. Tabel 1 is overgenomen uit het Cybersecuritybeeld Nederland (NCSC, 2013a) en laat de actoren zien waar het NCSC onderscheid tussen maakt. Hiernaast geeft ook de Criminaliteitsbeeldanalyse 2012 van High Tech Crime inzicht in diverse daders van cybercrime. Daarin wordt gesteld dat in verband met de snelle ontwikkelingen verder wetenschappelijk onderzoek op basis van empirische gegevens nodig blijft om verder inzicht te verkrijgen in de daders en de motieven (Bernaards et al, 2012). Actor Intenties Vaardigheden Doelwitten Staten Geopolitieke of (interne) machtspositie verbeteren Veel Overheidsinstanties, nongouvermentele organisaties, bedrijfsleven, wetenschappers, personen met relevante kennis, dissidenten en oppositionele groeperingen. Terroristen Beroepscriminelen Cybervandalen en scriptkiddies Maatschappelijke veranderingen bewerkstelligen, bevolking ernstig vrees toe aanjagen of politieke besluitvorming beïnvloeden Geldelijk gewin (direct of indirect) Aantonen van kwetsbaarheden. Hacken omdat het kan. Baldadigheid, zoeken van uitdaging Weinig tot gemiddeld Gemiddeld tot veel Weinig tot veel Uiteenlopend Doelwitten met hoge impact, ideologische symboolfunctie. Financiële producten en dienstverlening, ICT en identiteit van burgers Hacktivisten Ideologie Gemiddeld Uiteenlopend Interne actoren Wraak, geldelijk gewin of ideologisch (mogelijk Weinig tot veel Huidige en/of voormalige werkomgeving aangestuurd ) Cyberonderzoekers Aantonen zwakheden, eigen Gemiddeld tot Uiteenlopend profilering veel Private organisaties Verkrijging waardevolle Weinig tot veel Concurrenten, burgers, klanten informatie Burgers n.v.t. n.v.t. n.v.t. Tabel 3 Onderscheid actoren zoals bepaald door het NCSC 29

30 In deze paragraaf wordt in het kort besproken in hoeverre de verschillende daders zoals in tabel 1 te onderscheiden zijn een potentieel risico opleveren voor de petrochemische industrie en de op- en overslag van natte bulk. Staten Cybercriminaliteit uitgevoerd door staten is veelal gericht op spionage. Cyberspionage wordt door buitenlandse inlichtingendiensten ingezet om te achterhalen waar andere landen mee bezig zijn. Ook Nederland is hier slachtoffer van 36. Ondanks dat harde bewijzen ontbreken, bestaat het vermoeden dat het eerder besproken Stuxnet een staatsgesteunde aanval is geweest (Bernaards et al, 2012; Sanger, 2012). Zoals reeds in paragraaf is besproken zijn geen directe bewijzen, maar algemeen wordt aangenomen dat de Verenigde Staten en Israel achter deze aanval zitten (Sanger, 2012; Brenner, 2013; Croonenberg, 2013). Er wordt gedacht dat de cyberaanval moest voorkomen dat er bommenwerpers door Iran tegen Israel zouden worden ingezet. Deze aanval staat bekend als Operation Olympic Games (Croonenberg, 2013). Als dit vermoeden juist is, dan is daarmee aangetoond dat ook naties dader kunnen zijn bij gerichte sabotage-aanvallen. Het blijft zeer lastig om vast te stellen wie achter een cyberaanval zit. Voor een hacker is het relatief eenvoudig om het te doen lijken alsof een ander achter de aanval zit. Aantonen dat de dader een staat is, blijft zeer lastig vast te stellen. Vaak blijft het slechts bij vermoedens. Ook kunnen staten hackers inhuren, waardoor de overheid zelf buiten beeld blijft en betrokkenheid bij een cyberaanval kan ontkennen 37. Terroristen Een terroristische aanslag door middel van cyberterrorisme is nog zeer onwaarschijnlijk. De AIVD geeft aan dat (jihadistische) terroristen nog niet in staat zijn om vitale onderdelen van de Nederlandse samenleving aan te vallen 38. Een serieuze terroristische dreiging op de procesindustrie is dan ook nog niet ter sprake. Echter moet er rekening mee worden gehouden dat terroristen deze kennis wel aan het ontwikkelen zijn 39. Bijvoorbeeld door middel van cyberspionage. Ook zijn er extremisten die politieke besluitvorming pogen te beïnvloeden. Cyberextremisten voeren digitale aanvallen uit op systemen en voeren hiermee druk uit 40 (NCSC, 2013). De AIVD beschouwt dit een dreiging tegen de nationale veiligheid. Vandalisme In de digitale wereld zijn er jonge vandalen, zij geven aan voor de lol een cyberaanval uit te voeren (Bernaards et al, 2012). Dit zijn de zogenaamde scriptkiddies en cybervandalen (NCSC, 2013). Bij deze groep daders is het kennisniveau vaak laag. Ze kunnen bestaande hacking-scripts gebruiken en gebruiken programmatuur die online beschikbaar is. Deze middelen kunnen vrij gekopieerd en gebruikt worden, zonder dat de dader exact hoeft te begrijpen hoe de codes geschreven hoeven te 36 Laatst geraadpleegd juli Zie noot Zie noot Zie noot Zie noot 36 30

31 worden. Hierbij gaat het vaak om wanna-be hackers, meestal tieners (Bernaards et al, 2012). Bernaards et al (2012) waarschuwen dat deze scriptkiddies een serieuze dreiging vormen. Er is een gebrek aan inzicht in de gevolgen en er kan grote schade worden aangericht. Het is een misvatting te denken dat geavanceerde kennis nodig is om misbruik te maken van een systeem. Door de moderne techniek waarvan gebruik wordt gemaakt, zijn de gevolgen vaak veel schadelijker dan bij vandalisme in de fysieke wereld (Bernaards et al, 2012). Inzichtelijk maken van kwetsbaarheden Naast kwaadwillenden is er een groep mensen online actief die er uitdaging en roem in zien om de eigen expertise te gebruiken om kwetsbaarheden in systemen en software op te sporen. Door het aantonen waar de kwetsbaarheden zitten, willen zij bijdragen aan een verbetering en een betere beveiliging van deze systemen en software 41 (Bernaards et al, 2012). Vandaar dat er voor deze groep wel wordt gesproken over beveiligingsonderzoekers, ook wordt de term white hat hacker hiervoor gebruikt. Voor deze white hat hackers heeft het NCSC een leidraad opgesteld (NCSC, 2013, bron leidraad) waarin richtlijnen staan om beveiligingsonderzoekers en organisaties bij elkaar te brengen. De insteek van het NCSC is om melders met kennis van kwetsbaarheden in de systemen van organisaties samen te brengen met de organisaties die hiermee te maken hebben en die afhankelijk zijn van deze systemen. In deze richtlijn moet ook specifiek zijn opgenomen dat een melder, mits deze zich aan de voorwaarden uit de richtlijn houdt, niet strafrechtelijk vervolgd zal worden. Wanneer dit niet specifiek is opgenomen, is gebleken dat een rechter niet snel zal oordelen dat de betreffende white-hat hacker niet strafbaar is 42. White hat hackers hanteren verschillende methoden om de bevindingen kenbaar te maken. Er kan onderscheid worden gemaakt tussen full disclosure en responsible disclosure. Full disclosure houdt in dat een kwetsbaarheid volledig publiekelijk bekend wordt gemaakt (NCSC, 2013). Het grote nadeel hiervan is dat er een direct veiligheidsrisico kan ontstaan, doordat de kwetsbaarheid voor het grote publiek bekend is gemaakt voordat de organisatie de kans heeft gekregen het lek te dichten. Responsible disclosure heeft de voorkeur en wordt door het NCSC bemoedigt. Ook op de eigen website kunnen white hat hackers de richtlijnen vinden hoe gevonden kwetsbaarheden te melden. Hier staat ook een beloning tegenover: Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem. 43 Deze beloning wordt alleen geboden voor ontdekkingen van nieuwe kwetsbaarheden in het eigen systeem. Voor kwetsbaarheden bij andere organisaties luidt het advies contact op te nemen met de 41 Antimalsoftware.nl is een site waarop veel informatie is te vinden omtrent beveiligingssoftware De website iusmentis.com is in beheer van een ICT-jurist die tracht de wet uit te leggen aan ICT-ers, en ICT aan juristen

32 betreffende organisatie, waarbij het NCSC eventueel als intermediair kan worden ingezet (NCSC, 2013). Hier tegenover staan hackers die kennis en kunde misbruiken voor malafide praktijken, zoals het verspreiden van malware en het hacken van websites. Om het verschil in motief aan te geven, worden zij black hat hackers genoemd 44. Georganiseerde cybercriminaliteit Vergelijkbaar met de reguliere georganiseerde misdaad, is ook bij cybercrime te zien dat er veel samenwerkingsverbanden zijn en dat cybercrime zich zo heeft ontwikkeld tot een vorm van georganiseerde misdaad (Koops, 2012). Waar reguliere georganiseerde en vaak grensoverschrijdende misdaad, zoals drugscriminaliteit, wapen- en mensensmokkel nog fysiek van aard zijn, is cybercriminaliteit lastig grijpbaar. Het speelt zich af in cyberspace (Koops, 2012). Er zijn een aantal opvallende verschillen te benoemen tussen georganiseerde reguliere en cybercriminaliteit. Ten eerste is er vaak uitsluitend online contact tussen de daders. Daarnaast valt op dat de structuur online minder hiërarchisch is. Vaak ontbreekt een centrale leider en is sprake van flexibele netwerken. Een aanval is meestal zeer complex en vergt wisselende kennis en middelen. De modus operandi ontstaat door diverse bronnen te koppelen, waarbij een overzicht over de gehele keten vaak ontbreekt (Bernaards et al, 2012; Koops, 2012). In de online samenwerking staat vertrouwen centraal. Het is een zwarte markt waarin men gebruik maakt van elkaars expertise en middelen. De politie infiltreert steeds meer op fora en in andere communicatiekanalen, waardoor het voor nieuwelingen lastig is geworden om opgenomen te worden in bestaande netwerken (Bernaards et al, 2012; Koops, 2012). Naast de vrije beweging van individuen op de hierboven beschreven markt bestaan er ook gesloten professionele criminele samenwerkingsverbanden. Deze groepen bestaan uit specialisten die gezamenlijk een aanval voorbereiden. Ondanks dat deze groepen vooralsnog weinig gepakt worden, zijn er aanwijzingen dat zij bestaan (Bernaards et al, 2012). Insiders Medewerkers zijn zich vaak niet bewust van het eigen kennisniveau van bedrijfsvertrouwelijke informatie (Dos Santos Gomes & Beuker, 2012). Terroristische en criminele organisaties kunnen misbruik maken van dit onbewustzijn. Zij kunnen proberen het vertrouwen van een medewerker te winnen, bijvoorbeeld door op te bellen met een verzonnen verhaal en hierbij een poging doet om het wachtwoord te laten noemen. Deze manier van toegang verkrijgen tot gebouwen, systemen of data wordt social engineering genoemd. Als bedrijf is het van belang dat hier rekening mee wordt gehouden, de medewerker kan een zwakke schakel zijn in de beveiliging en de continuïteit van de gehele bedrijfsvoering loopt risico als de poging slaagt. Om de kans hierop te verkleinen, kunnen bewustwordingsprogramma s worden ingezet

33 Een punt van belang dat hierbij inzichtelijk gemaakt dient te worden, is het feit dat een terroristische aanval niet slechts de daad omvat. Een terroristische aanslag vergt veel voorbereiding en vaak wordt gebruik gemaakt van vele hulpmiddelen. De voorbereiding neemt veel tijd in beslag, er wordt bijvoorbeeld gezocht naar zeer specifieke informatie, kennis en locaties. Hulp van binnenuit is dan zeer waardevol voor de terroristische of criminele organisatie om het bedrijf snel in kaart te brengen. Deze zogenaamde insiders kunnen dus een zeer belangrijke rol spelen bij een aanval op de procesbesturingssystemen, zoals deze quote goed aangeeft: Cyber attacks capabilities are a matter of expertise rather than capital and expertise, like water, finds its own level of time. When an attacker gets help from an insider, the time can be quite short. Brenner, 2013, p Conclusie hoofdstuk 2 In de huidige samenleving wordt bijna alles geautomatiseerd. Ook in de industrie zijn veel handelingen inmiddels geautomatiseerd. Om de industriële processen aan te sturen worden procesbesturingssystemen geïnstalleerd. In dit hoofdstuk is gekeken naar deze procesbesturingssystemen: Wat zijn het en waar liggen de kwetsbaarheden. In de industrie gaat de aandacht nog voornamelijk uit naar procesveiligheid. Beveiliging op digitale systemen blijft nog achter. Toch is het denkbaar dat de digitale systemen dusdanig worden misbruikt dat zelfs het opblazen van een raffinaderij een mogelijk scenario zou kunnen zijn. Sinds de opkomst van internet zijn de mogelijkheden om in een procesbesturingssysteem in te breken vele malen groter geworden. Toch lijken gebruiksgemak en efficiënt werken het vaak te winnen van veiligheidsmaatregelen en wordt een verbinding tot stand gebracht om zo bijvoorbeeld van afstand het proces te kunnen monitoren en beheersen. De systemen die worden gebruikt voor deze koppelingen dateren vaak nog van vóór het internet tijdperk en zijn niet ontworpen voor deze koppeling. Er kunnen diverse redenen zijn waarom hackers een cyberaanval op de procesindustrie willen uitvoeren. Concurrentievoordeel behalen is een belangrijk motief. Digitaal wordt hiervoor vooral cyberspionage ingezet. De virussen die worden gebruikt voor deze cyberspionage kunnen daarentegen ook worden gebruikt om gedurende een langere periode gegevens te verzamelen om zo een cyberaanval op de procesbesturingssystemen te kunnen voorbereiden. Zoals duidelijk is geworden bij Stuxnet gaat gedetailleerde kennis van de processen en de systemen vooraf aan het ontwikkelen van een virus om een procesbesturingssysteem mee te kunnen hacken. Er moet rekening mee worden gehouden dat voorbereiding op een cyberaanval een reden is voor (langdurige) cyberspionage. Ondanks dat er nog géén indicatie is van een terroristische aanslag via een procesbesturingssysteem, moet er wel rekening mee worden gehouden dat ook terroristen middels spionage de kennis hiervoor aan het ontwikkelen zijn. Echter is het een misvatting dat er altijd geavanceerde kennis benodigd is voor een aanval op een systeem. Door de moderne technieken kunnen de gevolgen van een cyberaanval al snel groot zijn, ook wanneer er slechts sprake is van vandalisme. 33

34 Het internettijdperk brengt nog andere risico s met zich mee. Online wordt veelvuldig informatie gedeeld over (kwetsbare) procesbesturingssystemen. Er zijn speciale zoekmachines om systemen te vinden die aan het internet zijn gekoppeld. Voor bedrijven is het van groot belang om de procesbesturingssystemen te beschermen tegen kwetsbaarheden. Een belangrijke stap is het up-todate houden van het systeem. Updates dienen tijdig te worden geïnstalleerd. Wanneer dit wordt nagelaten zitten er kwetsbaarheden in het systeem. Hackers halen veel informatie uit beveiligingsupdates van software leveranciers en zijn daardoor vaak op de hoogte van deze kwetsbaarheden. Aangezien er in de procesindustrie veel wordt gekozen om een systeem zonder enige verbinding met een ander netwerk te laten opereren, worden updates vaak niet geïnstalleerd. Het systeem loopt een groot risico wanneer er dan toch (per ongeluk) een verbinding tot stand komt, bijvoorbeeld door het gebruik van externe media zoals een usb-stick of een laptop. Uit een aantal onderzoeken is gebleken dat doelgerichte aanvallen op procesbesturingssystemen wel degelijk al plaatsvinden. Aantallen en motivatie blijft lastig te bepalen, net als daders moeilijk aan te wijzen zijn. Voor een hacker is het relatief eenvoudig zich voor te doen als een ander. Dikwijls blijft het bij vermoedens. Insiders kunnen een zeer belangrijke rol spelen bij een cyberaanval op de procesbesturingssystemen en kunnen (onbewust) worden ingeschakeld als hulpmiddel om kennis en informatie te verzamelen met betrekking tot de locatie en de software. Naast de reeds genoemde staten, terroristen en cybervandalen, bestaan er naar verluidt ook groepen professionele criminele specialisten die gezamenlijk cyberaanvallen voorbereiden. Naast kwaadwillenden zijn er ook groepen mensen online die de eigen expertise gebruiken om kwetsbaarheden in de procesbesturingssystemen op te sporen en bekend te maken. Zij willen hiermee bijdragen de digitale veiligheid juist vergroten. Vooralsnog blijft het lastig te achterhalen wie achter een bepaalde cyberaanval zit en wat de motieven zijn. Verder onderzoek naar daders blijft dus van groot belang. 34

35 HOOFDSTUK 3 KWETSBAARHEDEN IN DE PROCESBESTURINGSSYSTEMEN Misbruik maken van ICT-systemen is slechts mogelijk als er kwetsbaarheden in zitten die door anderen kunnen worden misbruikt. Deze kwetsbaarheden kunnen zwakke plekken in de systemen zijn, maar kunnen ook in de procedures zitten of worden veroorzaakt door menselijke gedragingen. Zoals eerder in dit onderzoek aangegeven, genieten procesbesturingssystemen een groeiende aandacht van hackers (NCSC, 2012). Hackers zoeken gericht naar kwetsbaarheden in deze systemen (NCSC, 2012). Zowel hardware als software is niet immuun voor misbruik. Nieuwe technologische ontwikkelingen worden onmiddellijk gevolgd door ontwikkelingen in de criminaliteit die hierop inspelen (Bernaards et al, 2012). Bij gebrek aan bescherming in een systeem ontstaan er kwetsbaarheden. Via deze kwetsbaarheden in de procesbesturingssystemen hebben kwaadwillende partijen de mogelijkheid om schade toe te brengen aan het systeem (NCSC, 2013). De eerder genoemde Gosh & Torrini zijn van mening dat, zeker na de terroristische aanval van 11 september 2001, het voor beleidsmakers onverantwoordelijk is om géén rekening te houden met een cyberaanval op de vitale infrastructuur (Gosh & Torrini, 2010, p.180). The terrorist attack was not the product of a failure of intelligence-gathering; it was the product of a failure of imagination (Ghosh & Turrini, 2010, p.180). Ralph Langner 45 is een onafhankelijke onderzoeker die onder andere onderzoek heeft gedaan naar het Stuxnet-virus. Langner is van mening dat het nodig is om op een andere manier naar de beveiliging van procesbesturingssystemen te kijken dan bij andere computertoepassingen, aangezien de kwetsbaarheden anders zijn (Langner, 2013). Om bedrijven te helpen de kritieke infrastructuren veilig te houden heeft Langner het RIPE-model opgesteld. In dit model worden géén nieuwe inzichten geboden, het is slechts een verzameling van reeds bekende inzichten samengebracht in één model. RIPE staat voor Robust ICS Planning and Evaluation (Langner, 2013). De kern van dit model is dat het uitgangspunt van een goede cybersecurity is om te zorgen voor duidelijke kaders en documentatie. Bedrijven en SCADA-gebruikers blijken deze zaken vaak niet duidelijk in beeld te hebben en zijn hierdoor kwetsbaar (Langner, 2013). Een reden dat dit bij bedrijven vaak niet goed op het netvlies staat, is dat bij de intrede van procesbesturingssystemen ongeveer 20 jaar geleden de beveiliging geen prioriteit was, het was vaak niet eens een aandachtspunt. Langner gaat in zijn RIPE-model uit van acht domeinen waar rekening mee moet worden gehouden bij het organiseren van de cybersecurity voor procesbesturingssystemen (Langner, 2013). Ook het 45 Ralph Langner staat aan het hoofd van de Langner Group, een organisatie gespecialiseerd in cybersecurity van kritische, vitale infrastructuur. 35

36 Nationaal Cyber Security Centrum geeft advies over het beveiligen van procesbesturingssytemen. Dit doen zij onder andere door middel van een Factsheet (NCSC, 2012a, FS ). In dit hoofdstuk worden beide adviezen besproken en gekoppeld met de resultaten van de survey. De resultaten geven inzicht in de mate waarin bedrijven uit de doelgroep in het Rotterdam Rijnmond gebied aandacht besteden aan cybersecurity. 3.1 Algemeen De survey is naar 43 bedrijven verstuurd. Hiervan hebben 25 respondenten de survey ingevuld (60%). Ruim twee derde van deze respondenten komt uit de (petro)chemische industrie (68%), bijna één derde zijn bedrijven in de op- en overslag (32%). De respondenten hebben allen een management functie binnen het bedrijf of zijn specialist op het gebied van procesautomatisering. Alle respondenten hebben aangegeven te werken met procesbesturingssystemen binnen de organisatie (zowel SCADA als andere procesbesturingssystemen). De toepassingen van de systemen zijn zeer divers, sommige respondenten geven aan dat zij de systemen gebruiken voor specifieke processen binnen de organisatie zoals verpomping en raffinage van olieproducten, het kraken en distilleren van olie, of het smelten, gieten en walsen van metaal. Anderen geven aan dat het gehele fabrieksproces wordt bestuurd door middel van procesbesturingssystemen. Voor zover bekend bij de respondenten hebben er nog geen grote cyberincidenten plaatsgevonden. Er is wel één respondent die te kennen geeft dat er aanwijzingen zijn geweest dat er sprake van zou zijn geweest: Ik weet niet de details, maar ik heb gehoord dat FBI contact heeft opgenomen met het bedrijf, omdat er aanwijzingen waren van gevaarlijke handelingen gericht tegen het bedrijf. De voor dit onderzoek gebruikte checklist van het NCSC (2012a, FS ) blijkt niet erg bekend te zijn bij de ondervraagden. In figuur 5 is af te lezen dat slechts twee respondenten (8%) uit de (petro)chemische sector hebben aangegeven met deze checklisten te werken. De overige respondenten geven aan dat de organisatie waarin zij werkzaam hier géén gebruik van maakt. Figuur 5: Checklist NCSC 36

37 Aangezien het procesbesturingssysteem zorg draagt voor een zeer belangrijk deel van de organisaties, namelijk de bedrijfsprocessen, is te verwachten dat het veilig houden van deze systemen een belangrijk aandachtspunt zou zijn voor bedrijven. Zoals in figuur 6 is af te lezen, blijkt uit de survey dat twee derde van de respondenten, allen uit de (petro)chemische sector, hier dagelijks tot wekelijks mee bezig is. Ruim de helft van de respondenten geven aan hier slechts maandelijks of een enkele keer per jaar aandacht aan te geven. Er is één respondent uit de (petro)chemische sector die zegt hier nooit mee bezig te zijn. Figuur 6: Cybersecurity aandachtspunt? Het is lastig voor te stellen dat van een beveiligingsexpert wordt gevraagd om zorg te dragen voor veiligheid, wanneer er een onvolledig overzicht van het bedrijf is. Zonder mogelijkheden om te controleren of camera s naar behoren werken, of hekken en poorten op slot kunnen of wellicht niet aanwezig zijn is het voor een beveiligingsexpert onmogelijk zijn taak naar behoren uit te voeren. Een beveilingsexpert dienst door een bedrijf te zijn voorzien van alle benodigde informatie. Langner (2013) maakt de vergelijking tussen fysieke en digitale beveiliging, om aan te geven dat er van digitale beveiliging wel wordt verwacht dat er optimaal wordt beveiligd, zonder dat er een volledig overzicht is van het digitale systeem. Onjuiste of onvolledige documentatie van het digitale systeem kan zorgen voor een onbetrouwbare risico-evaluatie, aangezien er geen correcte inzage is in het systeem. Als de beveiliging slechts op een gedeelte van het systeem is ingevoerd, is de beveiliging niet effectief en slechter dan verwacht. Om te kunnen bepalen of er sprake is van potentieel ongewenste toegang tot het netwerk, is het nodig is om een duidelijk en compleet overzicht van de 37

38 netwerkarchitectuur te hebben (Langner, 2013). Ook Brenner (2013) geeft het belang van een overzicht aan in dit citaat: To control risk, managers must know who is on their system, what hardware and software are running on the system, and what traffic is going through the system. It s startling to see how many companies can t do any of these things, and how few can do all of them. Brenner, 2013, p.18 Daarnaast geeft het hebben van een database die inzicht geeft in de opbouw van het IT-systeem, informatie over de hardware en over de software inzicht in de identificatie van systemen die beveiligingsupdates nodig hebben (Langner, 2013). In de survey is aan de respondenten gevraagd of er een overzicht aanwezig is van de netwerkarchitectuur. In figuur 7 is deze vraag gekoppeld aan de vraag of er wijzigingen in het procesbesturingssysteem worden aangebracht en of deze wijzigingen worden gedocumenteerd. Figuur 7: Netwerkarchitectuur en documentatie 38

39 Uit de resultaten blijkt dat het bij deze bedrijven gebruikelijk is om een duidelijk en compleet overzicht van de netwerkarchitectuur te hebben (88%). Het grootste gedeelte hiervan (72% van alle respondenten) geeft aan dat wijzigingen die in het systeem worden aangebracht ook worden gedocumenteerd. De twee bedrijven (8%) die hebben aangegeven wel een overzicht te hebben, maar nooit wijzigingen aanbrengen in het systeem, komen beide uit de op- en overslag sector. Ook de respondent (4%) die heeft aangegeven géén overzicht te hebben en daarbij zegt dat wijzigingen aan het systeem niet worden gedocumenteerd, is werkzaam in de op- en overslag. Twee respondenten (8%) hebben aangegeven dat zij wel een overzicht van de netwerkarchitectuur hebben en dat er ook wijzigingen in plaats vinden, maar zij weten niet of wijzigingen in het ITsysteem worden gedocumenteerd. Aan de hand van deze uitkomsten kan worden gezegd dat het grootste gedeelte van de organisaties die hebben deelgenomen aan het onderzoek er belang aan hechten om zorg te dragen voor een duidelijk en compleet overzicht van de netwerkarchitectuur en dit ook bijwerken bij wijzigingen in het systeem. Opvallend is dat de bedrijven die nooit wijzigingen aanbrengen in het procesbesturingssysteem en het bedrijf dat géén overzicht heeft, allen werkzaam zijn in de op- en overslag. Een andere kwetsbaarheid in de infrastructuur van de procesbesturingssystemen kwam naar voren in een gedurende het onderzoek gehouden gesprek 46. Er bestaat de indruk dat er in hardware die in het buitenland is geproduceerd reeds mogelijkheden tot digitale spionage of sabotage zijn ingebouwd. Deze indruk wordt bevestigd door de AIVD (2010). In een rapport stellen zij dat bij het gebruiken van buitenlandse hard- en software rekening moet worden gehouden met beveiligingsrisico s (AIVD, 2010). Het is mogelijk dat de bedrijven die de hard- en software ontwikkelen, of die het onderhoud op afstand uitvoeren, op verzoek van hun overheid en inlichtingendiensten achterdeurtjes hebben ingebouwd of afspraken hebben gemaakt over het leveren van informatie (AIVD, 2010). 3.2 Netwerkarchitectuur Procesbesturingssystemen zijn kwetsbaar wanneer zij gebruik maken van dezelfde infrastructuur als andere netwerken, bijvoorbeeld het kantoornetwerk. Verstoringen in het andere netwerk zouden dan direct problemen kunnen opleveren in de procesbesturingssystemen (NCSC, 2012a, FS ). Deze grote kwetsbaarheid komt onder andere doordat aan procesbesturingssystemen vaak geen updates worden gedaan en de installatie van antivirus software achterwege wordt gelaten. Dit wordt vaak zelfs verboden door de bouwers van deze systemen of door bestuurders, aangezien updates en antivirus-installaties het primaire proces zouden kunnen verstoren of zelfs plat kunnen leggen. Continuïteit in het primaire proces heeft vaak de hoogste prioriteit (Bernaards et al, 2012). Aangezien het een jaar of 20 geleden, bij de intrede van procesbesturingssystemen zoals SCADA, niet mogelijk was deze systemen aan te sluiten op het internet of aan een netwerk te koppelen, zorgde de fysieke isolatie van het systeem voor voldoende beveiliging (Wilhoit, 2013). De levensduur van een procesbesturingssysteem kan oplopen tot ongeveer 20 jaar 47. Ondanks dat deze 46 Gesprek met cyber-expert defensie, 8 april Gesprek met medewerkers van een Nederlands bedrijf op het gebied van cyberbeveiliging en cyberdefensie, april

40 procesbesturingssystemen niet zijn ontworpen om aan het internet te worden gekoppeld 48 is inmiddels gebleken dat veel van deze systemen inmiddels wel aan het internet zijn gekoppeld, met daarbij weinig belemmeringen die toegang voor onbevoegden voorkomen 49 (Wilhoit, 2013; Bernaards et al, 2012). Ook komt het voor dat bedrijven denken dat het procesbesturingssysteem op een apart netwerk staat zonder internetverbinding, terwijl een dergelijke verbinding wel aanwezig is 50, zoals in het genoemde voorbeeld van het bezochte bedrijf. Netwerksegmentatie kan deze koppeling voorkomen. Het NCSC (2012a, FS ) stelt dat elke (netwerk)koppeling een potentieel risico oplevert voor het procesbesturingssysteem. Het algemene advies luidt om procesbesturingssystemen waar mogelijk niet aan het internet te koppelen (Brenner, 2013). Bijna de helft van de respondenten geeft aan dat het procesbesturingssysteem op een afzonderlijk netwerk opereert (44%), zowel in de (petro)chemische sector als in de op- en overslag. Dit wil ook zeggen dat ruim de helft (52%) wél een verbinding heeft met de kantooromgeving. Eén respondent uit de op- en overslag sector geeft aan dat er ook af en toe verbinding wordt gemaakt tussen het procesbesturingssysteem en het internet om iets te downloaden of te versturen. De overige respondenten hebben géén directe verbinding met het internet. Hier kan wel de verbinding met de kantooromgeving voor worden gebruikt. Alle respondenten met een interne netwerkverbinding hebben aangegeven dat deze verbinding is beveiligd, bijvoorbeeld door een technologie in te zetten zoals W-LAN 51, door middel van een firewall of een andere beveiligingsmaatregel zoals bijvoorbeeld ACL 52. Ondanks het advies om géén netwerkverbinding te hebben met een ander netwerk, kunnen er toch redenen zijn om wel voor een dergelijke koppeling te kiezen (NCSC, 2012). In figuur 8 is te zien dat, zoals reeds aangegeven, ruim de helft (56%) van de respondenten heeft aangegeven dat de procesbesturingssystemen van de organisatie ten minste af en toe een verbinding hebben met een ander netwerk. Een reden hiervoor kan zijn het van afstand kunnen verhelpen van storingen, het mogelijk maken van beheer op afstand of simpelweg voor het monitoren van het proces. Voorbeelden van dergelijke beveiligde verbindingen zijn remote access, VLAN s (Virtual Local Area Networks) en VPN s (Virtual Private Networks) (NCSC, 2012a, FS ; Langner, 2013). Criminelen kunnen misbruik maken van deze koppeling tussen het procesbesturingssysteem en de kantoorautomatisering. Via het kantoornetwerk kunnen zij zichzelf toegang verschaffen tot het procesbesturingssysteem (Bernaards et al, 2012). 48 Zie noot Zie noot Gezegd door een IT-expert tijdens de workshop van 23 april W-LAN staat voor Wireless-Local Area Network, een draadloos netwerk. 52 ACL staat voor Access Control List, met dergelijke toegangslijsten is het mogelijk controle te hebben over inkomend en uitgaand verkeer. Dit kan door middel van whitelisting en blacklisting. Bij whitelisting wordt in een lijst opgenomen welke acties legitiem zijn en mogen worden uitgevoerd, overige acties worden geblokkeerd. Bij blacklisting is juist het doel om een cyberaanval op te sporen en te herkennen. 40

41 Figuur 8: Netwerkkoppeling procesbesturingssysteem Zoals veel te zien is in de industrie, is ook uit deze survey gebleken dat procesbesturingssystemen vaak op een apart netwerk zijn geïnstalleerd welke niet op het internet is aangesloten. Dit geeft het bedrijf het idee dat hiermee het systeem veilig is en dat er geen risico op een cyberaanval is (Wueest, 2014). Dit is slechts schijnveiligheid, helaas biedt de segregatie van het internet op zich nog geen volledige bescherming tegen cyberaanvallen op het procesbesturingssysteem (Wueest, 2014). Zelfs wanneer het systeem niet via internet is verbonden met een ander netwerk, is er nog altijd de menselijke factor aanwezig. De operator die het systeem kan bedienen blijft een connectie van het systeem naar de buitenwereld (Willems, 2011). Bij één van de instanties 53 bezocht tijdens dit onderzoek werd dit beeld bevestigd en waande het bedrijf zich volkomen veilig tegen cyberaanvallen door het draaien van het procesbesturingssysteem op een afzonderlijk netwerk. Tijdens het gesprek kwam naar voren dat er een keer een menselijke fout is gemaakt en dat er handmatig een laptop met internetverbinding aan het systeem is gekoppeld. De tijdsduur hiervan is onbekend. Gedurende 53 Bezoek aan een locatie die deel uitmaakt van de Nederlandse vitale infrastructuur op 8 april

42 deze periode was het procesbesturingssysteem dan ook verbonden aan andere netwerken. Zodra dit werd ontdekt is de laptop van het netwerk verwijderd. Dit voorbeeld geeft aan dat de menselijke factor een belangrijke rol speelt bij cybersecurity. Beheer op afstand Het beheer van deze procesbesturingssystemen ligt vaak bij een derde partij. Om kosten te besparen wordt vaak gekozen om het systeem met internet te verbinden om het beheer op afstand mogelijk te maken. Het risico dat hierbij speelt is dat wanneer het systeem aan het internet is verbonden, er mogelijk ook onbevoegde personen het systeem binnenkomen. Deze binnendringers kunnen mogelijk besturingen manipuleren. Bij vitale processen kan dit grote schade veroorzaken. Een ander risico is dat onbevoegden op deze manier aan (proces)informatie kunnen komen en deze verbinding dus gebruiken voor digitale spionage (NCSC, 2012). Uit de survey is naar voren gekomen dat slechts één derde van de respondenten ervoor heeft gekozen om het monitoren van het procesbesturingssysteem en het onderhoud en beheer hiervan enkel op locatie uit te (laten) voeren (32%). Bijna twee derde (64%) van de respondenten heeft het mogelijk gemaakt om het procesbesturingssysteem van afstand te monitoren of onderhoud en beheer uit te voeren. Een aantal bedrijven hiervan uit de (petro)chemische sector (20%) heeft gekozen voor alleen van afstand monitoren, bij de overige respondenten is ook onderhoud en beheer van afstand mogelijk (figuur 9). Verder is er één bedrijf uit de op- en overslag sector (4%) die hiervoor gebruik maakt van een onbeveiligde verbinding. De overige bedrijven maken gebruik van diverse beveiligingsmaatregelen, zoals remote access via VPN, VLAN of een persoonlijk inlog systeem met een decoder. Eén respondent heeft aangegeven niet te weten of het mogelijk is om van afstand te monitoren, de overige 32% zeggen dat zowel het monitoren van het systeem als onderhoud en beheer aan het systeem niet van afstand mogelijk is. Daarnaast is er één organisatie die heeft aangegeven dat het wel mogelijk is van afstand storingen te verhelpen, maar dat monitoren van afstand niet mogelijk is. Dit antwoord lijkt onwaarschijnlijk, wellicht dat er alleen bij storingen of updates van afstand wordt ingelogd, dit is niet vermeld. 42

43 Figuur 9: Toegang tot het procesbesturingssysteem van afstand Van de bedrijven waar het mogelijk is om het proces te monitoren en/of te beheren van afstand, heeft de helft (50%) aangegeven dat dit ook door externe partijen kan worden gedaan. De andere helft laat het monitoren en/of beheer ook op afstand alleen aan interne medewerkers over. Updates van het systeem Lekke software blijkt een grote kwetsbaarheid voor procesbesturingssystemen. Kwetsbaarheden die lekke software kunnen veroorzaken zijn het werken met oude hardware, oude besturingssystemen en het werken zonder virusscanner (Bernaards et al, 2012). Ook kan een systeem kwetsbaar zijn doordat er updates niet worden gedaan en/of de installatie van antivirussoftware vanaf het begin al achterwege wordt gelaten. De respondenten is gevraagd of er een virusscanner is geïnstalleerd op het procesbesturingssysteem. Van de respondenten heeft ruim een derde aangegeven dat er géén virusscanner op het procesbesturingssysteem zit (36%). Bijna de helft (48%) geeft aan dat er wel een virusscanner op het systeem zit, 16% van de respondenten geeft aan dat zij het niet weten. 43

44 Figuur 10: Virusscanner Van de respondenten die hebben aangegeven dat het procesbesturingssysteem is voorzien van een virusscanner, installeert twee derde de updates van de virusscanner lokaal, bijvoorbeeld via een cd of usb-stick. Eén derde van deze respondenten geeft aan dat de virusscanner de update online binnenkrijgt. Wanneer sprake zou zijn van een volledig gesegregeerd netwerk, dan zouden er ook geen software updates worden geïnstalleerd (Wueest, 2014). Maar het niet up-to-date houden van de software laat andere kwetsbaarheden open (Wueest, 2014). Dit was ook te zien bij het Stuxnet incident. Naast vier zero-day exploits is door de makers van Stuxnet ook een oud zero-day-exploit uit 2008 gebruikt. Deze exploit was door Microsoft reeds in 2008 hersteld, maar doordat niet alle procesbesturingssystemen in 2010 de benodigde update hadden uitgevoerd sinds 2008, waren deze systemen kwetsbaar voor de aanval (Willems, 2011). Stuxnet is zo geprogrammeerd dat zodra een computer is geïnfecteerd met Stuxnet, deze computer wordt gescand op een SCADA koppeling. Wanneer hierin de specifieke configuratie wordt herkend zoals bij de uraniumverrijking in Natanz te Iran, dan kan Stuxnet de computer overnemen en zal herprogrammering van de PLC plaatsvinden. Vanaf dit moment kan het gehele productieproces worden overgenomen (Willems, 2011). Het virus is zo geprogrammeerd dat het dit alleen zal doen zolang het denkt nog binnen het geïnfecteerde netwerk te zitten. Het is van belang dat updates tijdig worden uitgevoerd om kwetsbaarheden zoals hierboven beschreven uit het systeem te krijgen. Een reden dat dit nog wel uitgesteld wordt, is dat updates veranderingen in het systeem kunnen brengen, waardoor er een mogelijkerwijs verstoringen in het proces kunnen plaatsvinden, waarna de werking niet kan worden gegarandeerd (Bernaards et al, 2012). Dit is ook waar bestuurders in de industrie vaak huiverig voor blijken te zijn, zij willen 44

45 voorkomen dat het proces waarvoor het systeem wordt gebruikt in gevaar wordt gebracht 54. Dit levert een paradoxale situatie op: Hierdoor kan de paradoxale situatie ontstaan dat om een organisatie op (korte) termijn te beschermen tegen verstoringen, veranderingen doorgevoerd moeten worden die op zichzelf tot verstoringen kunnen leiden. Govcert.nl, p.4 Het stilleggen van de productie in de industrie is een kostbare aangelegenheid. Men is dan ook vaak niet bereid om de productie stil te leggen om een update uit te voeren (Bernaards et al, 2012). Toch is het van belang dat de procesbesturingssystemen up-to-date worden gehouden. Wanneer dit wordt nagelaten dan is de software op deze systemen met standaard hack-tools redelijk makkelijk toegankelijk voor hackers (NCSC, 2012a, FS ). Het gecontroleerd up-to-date houden van de systemen wordt patchmanagement genoemd. Patchmanagement heeft relaties met meerdere processen binnen een organisatie. Voor een goede uitvoering van patchmanagement is een organisatie afhankelijk van externe partijen (Govcert, 2008, p.8). Aan het begin van dit hoofdstuk (figuur 7) is reeds te zien dat 88% van de respondenten wijzigingen in het procesbesturingssysteem aanbrengt, bijvoorbeeld voor patching. In figuur 11 is te zien dat deze updates zowel door interne als externe medewerkers worden geïnstalleerd. Van de respondenten die aangeven dat zij patches uitvoeren, geeft het grootste gedeelte aan dat zij dit lokaal doen, vanaf een cd of een ander lokaal medium, er is géén respondent die deze patches online uitvoert. Wat opvalt is dat 8% van de respondenten heeft aangegeven dat ze wel wijzigingen in het procesbesturingssystemen aanbrengen, maar de systeemupdate niet installeren. Het is niet duidelijk geworden welke wijzigingen zij dan wel aanbrengen. Het idee dat er heerst dat men in de industrie huiverig is voor patches en deze daarom vaak niet uitvoert, wordt hiermee niet bevestigd. Naast het enkel uitvoeren van updates is de timing hiervan ook essentieel. Van groot belang is dat de updates tijdig worden uitgevoerd en dat de update niet wordt uitgesteld. Dit is van belang omdat het systeem kwetsbaar is zolang het niet is bijgewerkt. De kwetsbaarheden zijn op dat moment bekend en zouden kunnen worden misbruikt door derden. 54 Gesprek met IT-expert, april

46 Figuur 11: Patching Om te voorkomen dat systemen niet of niet tijdig worden gepatcht, is het belangrijk op de hoogte te blijven van kwetsbaarheden in het systeem en van de benodigde patches (NCSC, 2012a, FS ). Hier lijken de bedrijven die aan het onderzoek hebben deelgenomen kwetsbaar te zijn. Slechts één respondent heeft aangegeven updates uit te voeren op het moment dat deze beschikbaar komt. In figuur 12 is af te lezen dat bijna twee derde (60%) van de respondenten heeft aangegeven dat zij wél updates uitvoeren, maar pas op het moment dat het werk stil ligt vanwege een stop of ander onderhoud aan het systeem. Dit betekent dat gedurende de periode vanaf het beschikbaar komen van de update, tot aan de stop van het bedrijfsproces wanneer ook de update wordt geïnstalleerd, het systeem kwetsbaar is. Uit gesprekken met medewerkers van bedrijven uit de doelgroep is gebleken dat een dergelijke stop slechts enkele keren per jaar plaatsvindt; gebruikelijk lijkt te zijn dat er om de drie maanden een kleine stop is voor onderhoud en slechts één keer per jaar worden de werkzaamheden stil gelegd voor groot onderhoud. Dit wil zeggen dat het kan voorkomen dat een systeem gedurende deze drie maanden tussen de stops niet in aanmerking komt voor een update. Men moet zich realiseren dat gedurende deze periode de systemen kwetsbaar zijn, aangezien de kwetsbaarheden in het systeem bekend zijn bij derden zodra een update beschikbaar is gekomen. Verder hebben twee respondenten (8%) aangegeven pas een update door te voeren als het echt niet meer anders kan, alleen als het nodig is voor het productieproces. Dit laat een systeem gedurende onbepaalde tijd kwetsbaar. 46

47 Figuur 12: Moment van update Operators kiezen er tegenwoordig vaker voor om de processystemen met het internet te koppelen. Deze verbinding met het internet maakt het mogelijk dat ook oude procesbesturingssystemen nu online te monitoren of zelfs aan te sturen zijn (Wueest, 2014). Bij één van de bezochte bedrijven 55 in de Rotterdamse Haven bleken vijf operators vanaf huis via een VPN-verbinding 56 dezelfde handelingen te kunnen verrichten als vanuit de fabriek. Via deze verbinding zijn zij in staat om vanaf huis processen op de fabriek aan te sturen, zoals het openen of sluiten van kleppen, of wijzigingen in het processysteem door te voeren. Een VPN-verbinding wordt vaak aangenomen als veilig, maar dit kan niet altijd worden gezegd. Een ICT-expert 57 stelt hierover dat wanneer de VPN-verbinding wordt opgezet vanaf een besmette computer, deze besmetting zou kunnen worden verspreid: Als de operators deze verbinding via hun eigen privé systeem open zetten dan wordt hiermee een kwetsbaarheid geïntroduceerd; een vpn is net zo veilig als de computers waarmee deze wordt opgezet. Mocht de privé computer al ergens mee besmet zijn, dan kan de besmetting tijdens de vpn verbinding propageren Citaat ICT-expert 58, december Bezoek aan bedrijf in de petrochemische industrie te Rotterdam op 27 maart VPN is een afkorting voor Virtual Private Network. Een VPN-verbinding is een veilige manier om verbinding te maken met een netwerk of om verschillende netwerken aan elkaar te kunnen koppelen, waarbij de gegevens die worden verstuurd zijn versleuteld. Het versleutelen zorgt dat informatie die via de VPN-verbinding wordt verstuurd wel kan worden onderschept, maar niet gelezen (Bernaards et al, 2012). 57 Mailcontact met ICT-expert Dijk, A.D., promovendus SpySpot bij Defensie, december Zie noot 57 47

48 Dit bedrijf heeft aangegeven een constante verbinding tussen de procesautomatisering en de kantoorautomatisering te hebben. Wanneer het een hacker lukt om in de kantoorautomatisering te komen, dan is het wellicht mogelijk ook het procesbesturingssysteem over te nemen. Niet bij alle systemen is het mogelijk om meteen allerlei handelingen in het systeem door te voeren vanaf een computer. Bij veel systemen zijn fysieke handelingen noodzakelijk, zoals het fysiek opendraaien van een klep. Samenwerking tussen een operator achter een computer en een operator in het veld is vaak noodzakelijk. Wanneer het wel mogelijk is om slechts vanaf de computer handelingen te verrichten, kan een mechanische beveiliging in het systeem zijn ingebouwd, zoals een fysieke beperking of een alarmsysteem dat aangeeft dat er bijvoorbeeld teveel druk in het systeem is opgebouwd 59. Eén van de respondenten heeft hierover in de survey aangegeven dat het procesbesturingssysteem alleen te benaderen is wanneer betreffende poorten manueel worden opengezet. Dit wordt slechts gedaan op aanwijzingen van de dienstdoende wachtchef of installatieverantwoordelijke. Deze respondent geeft zelf aan dat dit een moment is waarop het systeem kwetsbaar is: Op dat moment zou er theoretisch een poging kunnen worden gedaan om inbreuk te krijgen. De respondent geeft hierbij aan dat de inbreker in het systeem nog wel tegen andere beveiligingsmaatregelen zou aanlopen en dus niet zomaar de besturing van het systeem kan overnemen. Deze fysieke en mechanische beperkingen bouwen een bepaalde mate van veiligheid in het systeem in. Hierdoor is het niet zomaar mogelijk om bijvoorbeeld een tankopslag over te laten lopen, te laten ontploffen of andere wilde scenario s ten uitvoer te brengen (Wueest, 2014). In het rapport van Symantec wordt benadrukt dat sabotage aanvallen op de systemen wel degelijk zeer goed mogelijk zijn, waarbij de systemen beschadigd kunnen raken (Wueest, 2014). Dit zelfde beeld wordt geschetst door een IT-expert, werkzaam in IT-security: Het is heel makkelijk om dingen stuk te maken, stukmaken is niet moeilijk. Gesprek met IT-expert, Rollen en rechten In de beleidsdocumentatie zou moeten zijn aangegeven welk beveiligingsniveau een gebruiker heeft, waarom dit niveau en wat de kwalificaties voor de gebruiker zijn. Daarbij moet onderscheid worden gemaakt tussen netwerktoegang, het fysieke bereik van de gebruiker en wat de interactie met de procesbesturingssystemen exact inhoudt. Duidelijke regels hieromtrent zorgen dat rechtenbeheer eenduidig kan worden toegepast en dat ook externen aan het beveiligingsbeleid kunnen worden gehouden (Langner, 2013). In de industrie lijkt beleid met betrekking tot rollen en rechten goed doorgedrongen, 88% van de respondenten geeft te kennen dat er binnen de organisatie veiligheidsbeleid hieromtrent aanwezig is (figuur 13). Ruim twee derde (68%) van de respondenten heeft aangegeven dat dit beleid er is voor zowel eigen medewerkers als externen. De meeste bedrijven waarbij het veiligheidsbeleid omtrent rollen en rechten aanwezig is, zeggen hierin 59 Bezoek aan bedrijf op 8 april

49 onderscheid te maken tussen verschillende beveiligingsniveaus. Slechts twee bedrijven (8%) zeggen dat alle medewerkers en/of externe partijen op een zelfde beveiligingsniveau worden ingedeeld. Figuur13: Beleid omtrent rollen en rechten In de procesbesturingssystemen is het vooralsnog niet altijd een mogelijkheid om te werken met individuele gebruikersaccounts en wachtwoorden. Dit kan een risico opleveren. Om dit risico te verkleinen kan worden gekozen om andere maatregelen te nemen, zoals bijvoorbeeld het zorgen voor een fysieke toegangsbeperking. Dit onderwerp komt in een volgende paragraaf aan bod. 3.4 Vaardigheden en eindgebruikers De mens blijft een belangrijke factor in de beveiliging. Onvoldoende security awareness onder het eigen personeel is een risico, aangezien het kan zorgen dat de voorgenomen (technische) maatregelen falen. Professionals die door onzorgvuldigheid bedrijfscomputers openstellen voor mogelijke besmetting vormen een risico voor de cybersecurity van de organisatie. Wanneer men zich niet van bewust is van het eigen besmettingsgevaar, dan zit hier waarschijnlijk de zwakste schakel in het systeem (Croonenberg, 2013). Een manier om dit te ondervangen, is door het awareness niveau van het personeel periodiek te toetsen (NCSC, 2012a, FS ). Een andere mogelijkheid is het opzetten van een trainingsprogramma waarmee personeel inzicht krijgt in het beleid en in de standaardprocedures voor interactie met procesbesturingssystemen (Langner, 2013). Wanneer het personeel het beleid en de procedures internaliseert is de kans groter dat zij zich hier ook aan zullen 49

50 houden (Willems, 2013) en hiermee een positieve bijdrage leveren aan de beveiliging van de procesbesturingssystemen. Onder de respondenten is gebleken dat trainingen en toetsmomenten met betrekking tot cybersecurity awareness niet hoog op de agenda staan bij de ondervraagde bedrijven. In figuur 14 is te zien dat nog niet de helft van de bedrijven trainingen blijkt aan te bieden om personeel inzicht te geven in beleid en standaardprocedures voor het werken met het procesbesturingssysteem (44%). Het grootste gedeelte van de bedrijven die deze trainingen geven, toetst naast de training ook (periodiek) de cybersecurity awareness onder medewerkers (28% van alle respondenten). Toch geeft een net zo groot gedeelte van de respondenten (44%) aan dat zij géén trainingen verzorgen voor medewerkers op het gebied van beleid en procedures met betrekking tot de procesbesturingssystemen. Hiervan heeft 1 respondent (4%) aangegeven wél de cybersecurity awareness bij de medewerkers te toetsen. Het grootste gedeelte doet echter beide niet (40%). Figuur 14: Trainingen omtrent beleid en procedures en toetsen van cybersecurity awareness Zoals reeds aangegeven is het zeer belangrijk voor een bedrijf dat medewerkers zich bewust zijn van het eigen besmettingsgevaar. Periodieke toetsing en trainingen zijn van groot belang om deze kwetsbaarheid te kunnen ondervangen. Uit de reacties van de respondenten blijkt dat hier nog veel ruimte is voor verbetering. 50

51 3.5 Beleidsdocumenten Bij de aanschaf van nieuwe apparatuur zou robuustheid en beveiliging een standaardkwaliteitseis moeten zijn. Hierin moet zijn opgenomen aan welke eigenschappen procesbesturingssystemen, maar ook andere industriële netwerkapparatuur, zou moeten voldoen om de kwaliteitscriteria van de organisatie te halen (Langner, 2013). Wanneer procesbesturingssystemen in gebruik worden genomen, is het van belang dat de organisatie aandacht schenkt aan het opstellen van beleid omtrent het gebruik van deze systemen. Wachtwoordbeleid Het beleid omtrent wachtwoorden blijkt vaak een kwetsbaarheid in het gebruik van de procesbesturingssystemen (NCSC, 2012a, FS ). Figuur 15 laat zien dat de respondenten in de survey hebben aangegeven dat bij bijna alle organisaties de procesbesturingssystemen zijn beveiligd met een wachtwoord (84%). Eén organisatie geeft aan dat er géén wachtwoord op het systeem zit, de respondent van dit bedrijf heeft eerder wel aangegeven dat het systeem geen verbinding heeft met een ander netwerk of internet en dus afgeschermd opereert. Drie respondenten geven aan dat zij niet weten of het systeem is beveiligd door middel van een wachtwoord. Figuur15: Wachtwoord beveiliging Een belangrijk punt om rekening mee te houden, is dat een systeem dat is beveiligd met een wachtwoord alsnog kwetsbaar kan zijn. Systemen worden vaak geleverd met een standaard gebruikersnaam (default account) en standaard wachtwoord (default wachtwoord). Wanneer deze niet worden gewijzigd door het bedrijf, dan is dit een kwetsbare factor in het systeem. Maar ook 51

52 wanneer gebruik wordt gemaakt van simpele wachtwoorden of wanneer het wachtwoord niet regelmatig wordt gewijzigd is het systeem kwetsbaar (NCSC, 2012a, FS ). Hier blijken nog een aantal kwetsbaarheden te zitten bij de respondenten. Deze zijn in figuur 16 af te lezen. Van alle respondenten heeft 60% aangegeven dat het wachtwoord van het procesbesturingssysteem persoonsgebonden is, toch nog 20% van de respondenten geeft aan dat dit niet zo is. Dit wil zeggen dat er meerdere mensen met dezelfde gebruikersnaam en wachtwoord in het systeem kunnen inloggen. Wat verder opvalt is dat bijna drie kwart van de respondenten (72%) heeft aangegeven dat het is toegestaan om de gebruikersaccounts en/of wachtwoorden die met het systeem zijn meegeleverd, ongewijzigd te laten. Deze default combinaties zijn vaak zeer makkelijk te raden en bieden dan ook geen optimale beveiliging van het systeem. Het NCSC adviseert hierin om deze gegevens altijd te wijzigen (NCSC, 2012a, FS ). Slechts 2 respondenten (8%) hebben aangegeven dat het door het bedrijf wordt verboden om dit niet te wijzigen. Ook zijn er testen beschikbaar om te achterhalen of er met default wachtwoorden wordt gewerkt. Eén respondent heeft aangegeven dat zij naar aanleiding van een pentest apparatuur hebben gevonden met default wachtwoorden. Na deze ontdekking is dit gewijzigd en heeft het bedrijf ook het beleid en de procedures hierop aangepast. In figuur 16 is te zien dat complexe wachtwoorden daarentegen volgens slechts 60% van de respondenten is verplicht, 16% heeft aangegeven dat hier geen beleid voor is. Het wordt door diverse instanties, zoals het NCSC (NCSC, 2012a, FS ) aangeraden om regelmatig het wachtwoord te wijzigen, sommige systemen zijn zo ingesteld dat het wachtwoord daadwerkelijk moet worden gewijzigd om verder te gaan. Toch geeft bijna één derde (30%) van de respondenten aan dat er geen beleid is binnen het bedrijf met betrekking tot de wijzigingsfrequentie van het wachtwoord van het procesbesturingssysteem. Het beeld dat hier wordt geschetst dat er binnen de meeste bedrijven die hebben deelgenomen aan dit onderzoek géén beleid is met betrekking tot het omgaan met wachtwoorden op procesbesturingssystemen, wordt bevestigd met de laatste grafiek in figuur 17. Ruim één derde (36%) van de respondenten geeft aan dat dit beleid er wel is en ruim één derde (36%) laat weten dat dit beleid er niet is. De overige respondenten (28%) weten het niet, of hebben helemaal geen wachtwoord op het procesbesturingssysteem. Hier lijkt dus nog veel ruimte voor verbetering. 52

53 Figuur 16: Wachtwoordbeleid (1) Figuur 17: Wachtwoordbeleid (2) 53

54 Fysieke toegangsbeperking Het is bedrijven dus ten zeerste aan te raden om beleid te hanteren rondom wachtwoorden en om beleidsdocumenten voor handen te hebben waarin een structuur wordt vastgelegd hoe mensen in het bedrijf omgaan met kritieke systemen (NCSC, 2012a, FS ). Niet bij alle systemen is het mogelijk om gebruikersaccounts en/of wachtwoorden te gebruiken. Wanneer dit niet mogelijk blijkt, is het aan te raden ten minste voor voldoende fysieke toegangsbeperkingen te zorgen (NCSC, 2012a, FS ). Uit de survey blijkt dat fysieke toegangsbeperking tot ruimtes waar procesbesturingssystemen worden bediend gebruikelijk zijn. Van de respondenten geeft 84% aan dat er binnen de eigen organisatie toegangsbeperking is tot deze ruimtes (figuur 18). Figuur 18: Fysieke toegangsbeperking Sommige respondenten hebben aangegeven dat er meerdere manieren van toegangsbeperking worden toegepast in de organisatie (figuur 19). Het meest gebruikelijk zijn volgens de respondenten persoonlijke toegangspassen (60%) en daarna sleutels (48%) om in de ruimte te komen waar de kritische besturing van de procesbesturingssystemen plaatsvindt. Eén derde van de respondenten (32%) geeft aan dat een portier de toegang tot deze ruimte regelt, met de toevoeging van een aantal respondenten dat dit toezicht in 24-uurs diensten gebeurt. 54

55 Figuur 19: Toegangsbeperking procesbesturing Daarnaast geeft 16% van de respondenten geven aan dat zij géén fysieke toegangsbeperking hebben tot de ruimte waar procesbesturingssystemen worden bediend. Wanneer je daar in het bedrijf binnen bent, is er vrije doorgang naar de procesbesturingssystemen. Deze vier bedrijven hebben wel aangegeven dat een wachtwoord op het systeem is vereist, maar in twee van deze gevallen is dit niet persoonsgebonden, en één van deze respondenten geeft aan dat default gebruikersnamen/ wachtwoorden zijn toegestaan. Hier is ruimte voor verbetering. Wijzigingsbeheer Naast het gebruik omtrent wachtwoorden, is het voor bedrijven verstandig om in de beleidsdocumenten op te nemen wie software bijwerkt en wanneer (Langner, 2013). Alleen wanneer wijzigingen in de IT-infrastructuur duidelijk en inzichtelijk zijn, kan de impact goed worden ingeschat. Door goede documentatie kan een uniforme aanpak ontstaan qua informatiebeveiliging (Langner, 2013). Daarnaast is het bijhouden van de documentie omtrent het updaten van de software van groot belang om goed te kunnen reageren op een incident of kwetsbaarheid (Govcert.nl, 2008, p.25). Ook is het van belang dat een organisatie vooraf een plan heeft opgesteld hoe om wordt gegaan met de eerder uitgelegde paradoxale situatie die kan ontstaan tussen beveiliging van de systemen en continuïteit in de bedrijfsprocessen (Govcert.nl, 2008, p.25). Dit advies wordt goed opgevolgd door de organisaties die hebben deelgenomen aan de survey. Op de vraag of er binnen de organisatie beleid is omtrent het aanbrengen van veranderingen in het systeem in verband met een update of een andere wijziging in het procesbesturingssysteem, geeft het merendeel (80%) aan hier beleid voor te hebben. Twee derde (68%) van de respondenten heeft zowel beleid betreffende het aanbrengen 55

56 van veranderingen, als een verantwoordelijke persoon voor het bijhouden van de software updates. Van de drie respondenten (12%) die aan hebben gegeven dat er binnen het bedrijf géén beleid is omtrent wijzingen en updates aan het procesbesturingssysteem, hebben er twee aangegeven wel een verantwoordelijke binnen het bedrijf te hebben die verantwoordelijk is voor de wijzigingen en de updates (figuur 20). In totaal heeft daarmee drie kwart (76%) van de respondenten laten weten dat er binnen het bedrijf iemand verantwoordelijk voor is. Figuur 20: Wijzigingsbeheer Mobiele apparatuur Veel virus- en malware infecties in de procesbesturingssystemen worden het bedrijf binnengebracht door eigen personeel. Dit gebeurt dan meestal onbedoeld en onbewust. Deze infecties kunnen bijvoorbeeld worden binnengebracht in het procesbesturingssysteem, doordat er besmette removable media, zoals USB-sticks, hard-disks en bijvoorbeeld CD-roms, maar ook mobiele apparatuur zoals laptops, tablets en smartphones, worden aangesloten op het computersysteem (NCSC, 2012a, FS ). Besmette opslagmedia vormen dan ook een groot riscio voor de kritieke infrastructuur in een bedrijf. Regels omtrent het gebruik van eigen mobiele apparatuur binnen de organisatie kan risico s verminderen (Langner, 2013). Toch blijkt het in de praktijk nog veel voor te komen dat mobiele apparatuur aangesloten kan worden op de procesbesturingssystemen (figuur 21). Van de respondenten zegt bijna twee derde (64%) dat het mogelijk is om mobiele apparatuur aan te sluiten op het systeem. Bij 24% is het ook toegestaan, de overige 40% geven aan dat het wel kan, maar dat het door de organisatie niet is toegestaan. Minder dan één derde (28%) van de respondenten, geeft aan dat het niet mogelijk is om zelf mobiele apparatuur aan te sluiten op het procesbesturingssysteem. 56

57 Figuur 21: Aansluiten mobiele appartuur Een aantal bedrijven zijn zich er van bewust dat mobiele appatuur een kwetsbaarheid kan zijn. Op de open vraag naar de drie belangrijkste beveiligingsmaatregelen binnen de organisatie hebben een drietal respondenten specifiek de blokkering van USB, CD en andere aansluitingen op de procesbesturingssystemen genoemd als één van de belangrijkste maatregelen is om het systeem veilig te houden. Bij een aantal hiervan was dit helaas noodzaak en is dit beleid ingevoerd ná een incident met besmetting van het systeem via mobiele apparatuur. Specifiek genoemd werd een incident waarbij het systeem besmet is geraakt tijdens het uploaden van informatie vanaf een USB stick op een procesbesturingssysteem. Een andere respondent heeft aangegeven dat na gebruik van een USB stick het bedrijf de maatregel heeft genomen om alle computers te verplaatsen naar een beveiligde ruimte. In bepaalde sectoren is het al gebruikelijk om onderhoud door externe leveranciers alleen toe te staan met laptops die onder eigen beheer blijven en slechts voor dat doeleinde mogen worden gebruikt. Een persoon, werkzaam in de zorgsector, zegt hierover: Ik heb van iedere instelling een laptop in bruikleen en alleen vanaf die laptop kan ik in het systeem. Het grootste deel van het jaar fungeren deze laptops als onderzetter voor mijn koffie kopjes op mijn bureau (gesprek met ontwikkelaar in zorgsector, februari 2014). 57

58 3.6 RIPE Framework als meetinstrument Het RIPE-model van Langner is verdeeld in acht domeinen, en is zo opgesteld dat aan alle acht domeinen scores worden toegewezen welke aangeven in hoeverre is voldaan aan de eisen per gebied, ofwel hoe compliant een organisatie is aan deze beveiligingsfactoren. Door deze scores geeft het RIPE-model organisaties een meetinstrument in handen waarmee kan worden bepaald waar verbeterpunten liggen. Ook kunnen organisaties de modellen vergelijken voor verschillende fabrieken die zij bezitten en zo leren wat er kan worden verbeterd en hoe. Figuur 21 laat een voorbeeld zien van een dergelijke vergelijking van een fictief bedrijf met twee fabrieken, in Atlanta en in Birmingham. Aan de hand van het uitgevoerde onderzoek is het niet mogelijk een dergelijk figuur te schetsen. Voor vervolgonderzoek is een dergelijke schaalindeling aan te raden, aangezien dit een duidelijk beeld laat zien waar de beveiliging van het systeem goed is en waar de kwetsbaarheden en verbeterpunten liggen. Figuur 22: Voorbeeld van het model van RIPE 3.7 Conclusie hoofdstuk 3 Uit de resultaten van de survey is gebleken dat er meerdere kwetsbaarheden in de cybersecurity van de procesbesturingssystemen zitten. De meeste bedrijven lijken op een aantal punten de zaken goed op orde te hebben, helaas werkt het ook in de digitale beveiliging zo dat alleen wanneer aan alle punten wordt voldaan de risico s daadwerkelijk kleiner worden. Het risico zit in de kwetsbaarheid van de zwakste schakel. 58

59 HOOFDSTUK 4 MAATSCHAPPELIJKE EN JURIDISCHE (MEDE)VERANTWOORDELIJKHEID Moet en kan de overheid toezicht houden op de mate waarin bedrijven de cybersecurity van de procesbesturingssystemen regelen? Toezichthouders hebben rekening te houden met wettelijke bepalingen, is het juridisch mogelijk om toezicht te houden op de mate van beveiliging van de procesbesturingssystemen? En wanneer er een incident plaats zou vinden, doordat er onvoldoende cybersecurity op het procesbesturingssysteem zit en hackers hebben ingebroken, in hoeverre kan de overheid, of een RUD in dit geval, (mede)verantwoordelijk worden gehouden voor de geleden schade? Deze vragen komen in dit hoofdstuk aan bod. 4.1 Maatschappelijke (mede)verantwoordelijkheid Naast een juridische (mede)verantwoordelijk om zorg te dragen voor het milieu, is er de maatschappelijke verantwoordelijkheid. Dit is breder dan slechts toezichthouden op grond van wetgeving en regels. Sinds de jaren negentig is er een verandering zichtbaar geworden in de rol van de overheid met betrekking tot veiligheid. Media spelen hierin een belangrijke rol. Tegenwoordig ontstaat er bij grote incidenten al snel maatschappelijke onrust. De media-aandacht bij een incident is razendsnel en de nadruk wordt nu veel gelegd op emoties en slachtofferschap. Inmiddels speelt ook social media een grote rol in het verspreiden van nieuws (De Graaf, 2012). Bij de vliegtuigramp MH17 was goed te zien hoe snel de radio- en televisiezenders, (online)kranten en social media op gang kwamen 60. Dat slachtofferschap en risico s nu zo breed uitgemeten worden in de media, heeft zowel wetenschappelijk, cultureel als politiek draagvlak doen ontstaan om incidenten tot algehele veiligheidsdreigingen te gaan zien waarbij schuldvragen en verantwoordelijkheidsvragen een centrale plaats hebben gekregen (De Graaf, 2012). Mede door deze ontwikkelingen wordt de druk op de overheid, en tevens ook de wens van de overheid, verhoogd om iets te doen met nieuwe risico s (De Graaf, 2012). Toezichthouders van de rijksoverheid hebben te maken met complexe en snel veranderende omstandigheden. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft de uitdagingen waar de toezichthouders mee te maken krijgen geanalyseerd en daarbij gekeken hoe toezichthouders behoren te reageren op deze uitdagingen en hoe de maatschappelijke meerwaarde van het toezicht kan worden vergroot (201302/AK/pvdb) laatst geraadpleegd 12 augustus

60 4.1.1 Toezichtsparadox in een risicosamenleving Het paradox in toezicht blijft dat er enerzijds wordt gevraagd om minder toezicht (201302/AK/pvdb). De nadruk wordt dan gelegd op meer eigen verantwoordelijkheid, minder bureaucratie en bezuiniging (WRR, 2013, p.23). Anderzijds is er de roep om uitgebreider, intensiever en strenger toezicht, dit vooral na incidenten of problematische ontwikkelingen. Toezicht is mikpunt geworden van de media 61 en de politiek. Terecht of niet, toezicht is vaak het mikpunt van kritiek, soms nog meer dan de oorspronkelijke verantwoordelijkheden (WRR, 2013). De eerste vragen na een incident zijn vaak niet gericht op het incident zelf, maar zijn gericht op de toezichthouder. Waar was het toezicht? Waarom heeft het toezicht niet of niet eerder ingegrepen? (WRR, 2013, p.21). Dit was ook het geval bij incidenten in de chemische industrie, zoals bij Odfjell en bij Chemie-Pack. Een incident brengt imagoschade toe aan de sectoren, maar ook het maatschappelijk vertrouwen in de overheid wordt schade toegebracht. Het vertrouwen in de overheid hangt namelijk nauw samen met het vertrouwen in het toezicht (WRR, 2013, p.22). Hoe veiliger we zijn, hoe groter de behoefte om risico s te minimaliseren (De Vries, 2006). Dit fenomeen is niet nieuw. In 1986 formuleerde socioloog Ulrich Beck het begrip risicosamenleving. Met dit begrip wilde Beck aangeven dat de moderne samenleving met nieuwe, industriële risico s te maken heeft gekregen. Milieuproblemen stonden voor Beck centraal, waarbij hij niet doelde op externe gevaren, maar juist op risico s voortkomend uit menselijk handelen (Beck, 1986). Ook wanneer er veiligheidsvoorzieningen worden genomen, kunnen enorme ongevallen plaatsvinden. Uit de tijd waarin Beck de risicosamenleving heeft beschreven, zijn een aantal voorbeelden te noemen. In 1986 ontplofte een kernreactor in de Kerncentrale Tsjernobyl in de voormalige Sovjet-Unie. Foto 2: Ontplofte kernreactor Tsjernobyl 62 Foto 3: Fabriek in Bhopal in 2008, nog altijd niet opgeruimd 63 Twee jaar eerder in 1984, vond in Bhopal, India, een giframp plaats. Er was water in de opslagtanks met de giftige stof methylisocyanaat (MIC) terechtgekomen. Doordat de veiligheidsprocedures niet op orde bleken, konden de veiligheidskleppen openen en zo ontstond er een explosie en een enorme 61 Een voorbeeld: 62 Bron foto: 63 Bron foto: 60

61 gifwolk waarin MIC vrijkwam. Duizenden slachtoffers vielen als gevolg, en nog altijd veroorzaakt de vervuiling schade. Uit onderzoek van de BBC is gebleken dat de omgeving van Bhopal, en ook het drinkwater, nog altijd is vervuild en een gevaar voor de gezondheid oplevert 64. Dit is géén cyberaanval, maar geeft wel aan dat het een belangrijke ontwikkeling is dat de maatschappelijke acceptatie voor dergelijke risico s steeds meer afhankelijk is van de beheersbaarheid van de risico s en van de mate waarin men keuzevrijheid heeft met betrekking tot het nemen van een dergelijk risico (Jung & Molenaar, 2013). Als dergelijke ongevallen voorkomen hadden kunnen worden, waarom is dat niet gedaan? Wanneer dergelijke incidenten in Nederland plaatsvinden, zeker wanneer dit invloed heeft op de vitale infrastructuur, dan wordt er onderzoek gedaan naar de oorzaak van het incident door de Onderzoeksraad voor Veiligheid 65. Ongevallen in de sector industrie waar met gevaarlijke stoffen wordt gewerkt, hebben een grote kans op het veroorzaken van maatschappelijke verontrusting. Bepaalde bedrijven in deze sectoren hebben dan ook een meldplicht aan de Onderzoeksraad, en de Onderzoeksraad heeft een onderzoeksplicht voor zware ongevallen in de industrie 66. In haar onderzoek kijkt de Onderzoeksraad naar de rol van het bedrijf zelf, maar ook naar de rol van overige betrokken partijen. Er wordt dus ook uitspraak gedaan over de rol van de vergunningverleners, inspecteurs, toezichthouders en handhavers. Ook de rol van de DCMR is in dit kader regelmatig onderwerp van onderzoek geweest. Ondanks dat de Onderzoeksraad zich in principe niet focust op de schuldvraag, leggen burgers de verantwoordelijk voor het minimaliseren van risico s bij de overheid en verwachten ze dat de overheid door middel van toezicht zorgt voor maximale veiligheid (WRR, 2013, p.23). De WRR zegt hierover: In de ogen van de burger zorgt goed toezicht ervoor dat de samenleving is beschermd tegen risico s (WRR, 2013, p.38). Ook Jung en Molenaar beschrijven deze veranderende overheidsrol (2013). Er blijft ook een vraag om een terugtredende overheid, maar gelijktijdig klinkt er vanuit de samenleving de roep aan de overheid om adequaat optreden. En vooral wanneer er problemen zijn, dan overheerst de roep om overheidsregulering (Jung & Molenaar, 2013). Recent is in de zaak Odfjell naar voren gekomen wat de samenleving verwacht van toezicht. De toezichthouder is in deze zaak aangesproken op de manier van toezichthouden en het laten voortbestaan van risico s. De Onderzoeksraad heeft de veiligheid bij Odfjell Rotterdam in de periode 2000 tot 2012 onderzocht. Het bleek dat de veiligheidssituatie bij Odfjell Rotterdam langdurig onbeheerst is geweest. Primair is het bedrijf, in dit geval Odfjell Rotterdam, verantwoordelijk voor de eigen veiligheid. Het management had moeten zorgen voor een structurele beheersing van de veiligheid en is hierin tekortgeschoten. Maar naast de eigen verantwoordelijkheid van het bedrijf, heeft de Onderzoeksraad geconcludeerd dat toezichthouders al jaren op de hoogte waren van de slechte veiligheidssituatie bij Odfjell Rotterdam. Toch volgden er nauwelijks bestuurlijke sancties bij regelovertredingen. Vooral de DCMR heeft volgens de Onderzoeksraad niet op juiste wijze toezicht gehouden. De Onderzoeksraad heeft geconcludeerd dat de goede relatie van de DCMR met Odfjell Onderzoeksraad.nl. Laatst geraadpleegd april Onderzoeksraad.nl. Laatst geraadpleegd april

62 Rotterdam heeft gezorgd dat er niet handhavend werd opgetreden. In plaats daarvan werd het overleg met het bedrijf aangegaan. De Onderzoeksraad verwijt de DCMR dat zij te lang te meedenkend en te meegaand waren. Hierdoor hebben zowel werknemers van Odfjell Rotterdam als de omgeving jarenlang een verhoogd risico gelopen. Dit rapport van de Onderzoeksraad heeft geleid tot negatieve media aandacht voor de DCMR. Krantenkoppen zoals Toezicht faalde bij Odfjell Rotterdam 67 waarin vooral de DCMR negatief aan bod kwam waren het resultaat. En ook Odfjell kon dankzij DCMR 12 jaar doormodderen 68. De Volkskrant kwam met een vergelijkbare kop: Toezichthouders lieten Odfjell 12 jaar 'doormodderen' 69. De Volkskrant spreekt in een ander bericht van dezelfde dag zelfs over een cultuur van pappen en nathouden bij de DCMR 70. Ook reeds vóór het verschijnen van het rapport van de Onderzoeksraad kwam de DCMR negatief aan bod in de media met betrekking tot het toezicht bij Odfjell. Zomer 2012 werd er in de media al veelvuldig geschreven over het functioneren van de DCMR. De DCMR heeft destijds zelf in een rapport geconcludeerd dat Odfjell 30 jaar lang geen tanks heeft gecontroleerd, wat wil zeggen dat ook de DCMR gedurende die jaren niet heeft ingegrepen 71. Op 22 augustus 2011 heeft Dhr. Privé van de Partij voor de Vrijheid zich als volgt uitgelaten over de DCMR: Is de manier waarop DCMR het toezicht en de handhaving ten aanzien van Odfjell heeft aangepakt exemplarisch voor het gehele beleid van de milieudienst? Mocht dit het geval zijn, dan moeten we ons ernstig zorgen maken 72. Ook Leefbaar Rotterdam neemt het falende toezicht de overheid ernstig kwalijk. Dhr. de Jong heeft in een artikel het volgende geschreven over de rol van de DCMR: Rotterdam, met in haar achtertuin het op één na grootste petrochemische complex ter wereld, is jarenlang door de overheid aan grote gevaren blootgesteld. Onze hoeders waren niet aan het hoeden, maar naar Amsterdams model thee aan het drinken met de grootste overtreder 73. Het rapport van de Onderzoeksraad heeft er voor gezorgd dat de DCMR heeft gezegd dat ze voor een strengere sanctiestrategie hadden moeten kiezen en dat zij erkennen mede verantwoordelijk te zijn voor de ontstane situatie 74. Dit zijn slechts een paar voorbeelden van de negatieve publiciteit rondom het toezicht van de DCMR op Odfjell Rotterdam. Hieruit blijkt dat er vanuit de maatschappij werd verwacht dat de overheid ervoor zorgt dat de veiligheid bij een bedrijf als Odfjell Rotterdam op orde is De risicosamenleving: van fysiek naar digitaal Politiek en bestuur moeten in dit web van toezicht risico s minimaliseren, de WRR wijst erop dat er continu nieuwe problemen ontstaan en incidenten plaatsvinden waarmee rekening moet worden gehouden (WRR, 2013, p.38). Inmiddels heeft er een verschuiving plaatsgevonden van veiligheidsrisico s in het fysieke domein naar veiligheidsrisico s in het digitale domein. In de huidige digitale ontwikkeling worden allerlei op ICT-gebaseerde producten en diensten aan het internet gekoppeld en tegelijkertijd aan andere producten en diensten. Dit biedt vele voordelen, maar hierdoor ontstaan ook nieuwe veiligheidsrisico s. In het fysieke domein is het reeds gebruikelijk om 67 nu.nl, laatst geraadpleegd op rd.nl, laatst geraadpleegd op volkskrant.nl, laatst geraadpleegd op volkskrant.nl, laatst geraadpleegd op gevaarlijkestoffen.net, pvvzuidholland.nl, leefbaarrotterdam.nl, rijnmond.nl,

63 nieuwe producten en diensten te voorzien van veiligheids- en kwaliteitseisen, in het digitale domein is dit nog niet vanzelfsprekend (NCTV, 2013). Het kunnen waarborgen van digitale vrijheid en veiligheid is een randvoorwaarde voor het functioneren van onze maatschappij. Om hier een start mee te maken is in 2011 de eerste Nationale Cybersecurity Strategie (NCSS1) uitgebracht (NCTV, 2013). Met het uitbrengen van de eerste NCSS wil Nederland een stap zetten van onbewust naar bewust. Sindsdien is er al meer inzicht in dreigingen en kwetsbaarheden die in het cyberdomein spelen. Door de steeds groeiende complexiteit, afhankelijkheid en kwetsbaarheid van ICT-diensten en producten is onze digitale weerbaarheid tegen cyberrisico s nog altijd onvoldoende. Inmiddels brengt het Nationaal Cyber Security Centrum (NCSC) ook een Cybersecuritybeeld Nederland uit. Het doel van het rapport dat zij uitbrengen is de cybersecurity in Nederland inzichtelijk te maken en te versterken of te verbeteren (NCSC, 2013a). Nederland moet stappen nemen om zich verder te ontwikkelen op het gebied van cybersecurity. In opvolging van de NCSS1 is in 2013 de Nationale Cybersecurity Strategie 2 (NCSS2) uitgebracht. Het doel hierin is om van bewust naar bekwaam te gaan. Dit gaat ook verder in op de verantwoordelijkheid die Ministeries hebben om samen te werken met het bedrijfsleven om de nationale veiligheid in de vitale sectoren te kunnen bewaken. Het kabinet zet hierbij in op het verder versterken en bundelen van de krachten van (inter)nationaal betrokken publieke en private partijen. In het NCSS2 worden verantwoordelijkheden en concrete acties uitgezet (NCTV, 2013). Centraal in het NCSS2 staat de volgende visie: Nederland zet samen met zijn internationale partners in op een veilig en open cyberdomein, waarin de kansen die digitalisering onze samenleving biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd. Met het NCSS2 wil het kabinet een samenhang tussen veiligheid, vrijheid en maatschappelijke groei tot stand brengen. Hiervoor moeten alle stakeholders samen verantwoordelijkheid nemen. Het uitgangspunt in het governancemodel dat hierbij hoort, is dat verantwoordelijkheden uit het fysieke domein ook moeten worden genomen in het digitale domein (NCTV, 2013). De overheid neemt zelf een belangrijke rol in deze ontwikkeling, door te investeren in het eigen cybernetwerk en door beschermend op te treden met betrekking tot de veiligheid van bedrijven en burgers, en wat betreft de privacy van burgers (NCTV, 2013). Cyberaanvallen op de chemische industrie is wellicht één van deze nieuwe risico s om rekening mee te houden. Ook in de chemische industrie en de transportsector worden tegenwoordig bijna alle installaties digitaal aangestuurd. Figuur 22. Shell vreest cyberaanvallen (CBA, Bernaards et al, 2012) 63