REFERAAT OVER CYBERSECURITY BIJ WATERSTAATSWERKEN

Transcriptie

1 REFERAAT OVER CYBERSECURITY BIJ WATERSTAATSWERKEN JAN-HARMEN DE VRIES VRIJE UNIVERSITEIT AMSTERDAM PGO IT AUDIT, COMPLIANCE & ADVISORY VU REFERENTIE #2013 APRIL 2014

2 VOORWOORD INLEIDING PROBLEEMSTELLING ONDERZOEKSMETHODE LEESWIJZER WATERSTAATSWERKEN EN ICS/SCADA WATERSTAATSWERKEN: SOORTEN, DOELEN EN FUNCTIES ICS/SCADA BESTURINGS- EN CONTROLSYSTEMEN ONTWIKKELINGSFASEN ICS/SCADA INTEGRATIE ICS/SCADA & IT EN KOPPELING MET INTERNET SAMENVATTING EN CONCLUSIES ICS/SCADA: KWETSBAARHEDEN, RISICO S EN ONTWIKKELINGEN INLEIDING BEDREIGINGEN EN KWETSBAARHEDEN ICS/SCADA ACTUELE EN TOEKOMSTIGE ONTWIKKELINGEN INZAKE ICS/SCADA RISICOBEELD VAN ICS/SCADA BIJ WATERSTAATSWERKEN ICS/SCADA SECURITY: NORMENKADERS EN MAATREGELEN SAMENVATTING EN CONCLUSIES CASESTUDIES ICS/SCADA INLEIDING AANPAK VAN DE CASESTUDIES CASESTUDIE 1: MIDDELGROOT WATERSCHAP CASESTUDIE 2: MIDDELGROOT WATERSCHAP BEVINDINGEN UIT DE CASESTUDIES CONCLUSIES UIT HET PRAKTIJKONDERZOEK ESSENTIËLE LEERPUNTEN UIT HET ONDERZOEK EN REFLECTIE INLEIDING SYNTHESE TUSSEN THEORIE EN PRAKTIJK LEERPUNTEN DIGITALE VEILIGHEID WATERSTAATSWERKEN ROL VOOR DE IT AUDITOR(S) AANBEVELINGEN VOOR NADER ONDERZOEK REFLECTIE OP HET ONDERZOEKS- EN LEERPROCES LITERATUUROVERZICHT OVERZICHT INTERVIEWS SCADA-EXPERTS EN OVERIGE BIJLAGE 1: EENVANDAAG : SLUIZEN, GEMALEN EN BRUGGEN SLECHT BEVEILIGD BIJLAGE 2: ICS/SCADA SYSTEMEN NADER TOEGELICHT BIJLAGE 3: PRAKTIJKTOETSING ACTUELE ONTWIKKELINGEN BIJLAGE 4: OVERZICHT VAN ICS/SCADA SECURITYMAATREGELEN... 45

3 Voorwoord Dit referaat is geschreven in kader van de Post Graduate Opleiding IT Audit, Compliance & Advisory aan de Vrije Universiteit Amsterdam. Bij de keuze van mijn onderzoeksonderwerp heb ik mij laten leiden door een aantal wensen: ten eerste de behoefte aan een thema dat eerder breed in de publiciteit is geweest, ten tweede de wens om een theoretische en deels ook technische verkenning te combineren met real-life casestudies en ten derde de wens om de uitkomsten van het onderzoek ook direct te kunnen gebruiken bij mijn IT-audit en advieswerkzaamheden. Een onderzoek naar cybersecurity bij sluizen, bruggen en gemalen sprong daar al snel uit. De zaak Veere uit 2012, dat ook in het referaat aan de orde zal komen, en de landelijke publiciteit daaromheen reikte het thema van dit onderzoek feitelijk aan. Na een aantal verkennende gesprekken bij cliënten in casu gemeenten en waterschappen bleek ook de combinatie van theorie en casestudies passend bij dit onderwerp en reeds in deze fase werd ook een aantal van deze organisaties enthousiast en stelden zij zich beschikbaar als object voor een casestudie. De casestudies en dan in het bijzonder de site visits waren erg bijzonder, niet alleen voor mij maar ook voor alle betrokkenen van de desbetreffende organisaties, immers ter plekke bij de waterstaatswerken en de bij ICS/SCADA-systemen zelf zijn risico s pas goed te aan- en beschouwen. Een woord van dank is op zijn plaats voor de volgende personen: Marko van Zwam, partner Security en Privacy bij Deloitte Risk Services en dr. Eli de Vries namens de Vrije Universiteit voor hun begeleiding bij mijn onderzoek. In het bijzonder ook dank aan dr. Eli de Vries voor de samenwerking bij het schrijven van een publicatie op basis van eerdere tussenresultaten van dit onderzoek. Tevens dank aan Prof. Drs. J. Arno Oosterhaven die mij de gelegenheid heeft geboden een deel van het SCADA-college te verzorgen dat deel uitmaakte van Module Daarnaast wil ik dank uit spreken naar de organisaties en betrokken personen die mij de gelegenheid hebben geboden een casestudie uit te voeren zonder enige beperking ten aanzien van de beschikbaarheid van medewerkers, documentatie, data, fysieke locaties en prachtige anekdotes. Amsterdam, Jan-Harmen de Vries April CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

4 Samenvatting De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds meer in de publieke en professionele belangstelling. Er is sprake van toenemende bewustwording van de cybersecurityrisico s met betrekking tot de specifieke technologie die deze waterstaatswerken aansturen: ICS/SCADA genaamd. Manipulatie van deze systemen kan tot grote schade leiden en zelfs mensenlevens in gevaar brengen. Het onderzoek richt zich op de vraag welke veiligheidsrisico s gepaard gaan met de koppeling van de besturingssystemen van waterstaatswerken met IT-netwerken en het internet. Het onderzoek kent een theoretische analyse en praktijkonderzoek in de vorm van een tweetal casestudies. De casestudies hebben plaatsgevonden bij middelgrote waterschappen. Het blijkt dat de ontwikkeling van ICS/SCADA sinds 1930 kan worden verdeeld in 5 fasen. Momenteel bevinden we ons in de overgang van fase 4 naar 5 met kenmerken als: snelle integratie van ICS/SCADA met IT, toenemende introductie van mobility en eerste aandacht voor security. Het blijkt ook dat er van oudsher grote en diverse verschillen bestaan tussen ICS/SCADA en IT. Juist daardoor brengt de koppeling tussen ICS/SCADA en IT/internet aanzienlijke risico s met zich mee: de ICS/SCADA-systemen worden door deze koppeling blootgesteld aan nieuwe bedreigingen en kennen weinig tot geen security-maatregelen daarvoor. NIST onderscheidt 10 threat agents en 70 mogelijke kwetsbaarheden omtrent ICS/SCADA-systemen. Uit het onderzoek komen 14 actuele ontwikkelingen inzake ICS/SCADA naar voren, naast nog 6 mogelijke toekomstige ontwikkelingen. Er zijn zowel ontwikkelingen met een positieve als met een negatieve invloed op cybersecurityrisico s voor waterstaatswerken. Al deze ontwikkelingen in combinatie met de threat agents en de kwetsbaarheden van ICS/SCADA security leveren een hoog risico-profiel op. Tijdens de casestudies is onderzocht op welke wijze de beheerders van waterstaatswerken in de praktijk omgaan met de veiligheidsrisico s van ICS/SCADA. Het blijkt dat, naar aanleiding van de zaak Veere in 2012, er bij beide organisaties sprake is van het ontwikkelen en uitvoeren van risicoanalyses en het ontwikkelen van de eerste sets aan veiligheidsmaatregelen. Deze maatregelen hebben echter nog veelal het karakter van IT-securitymaatregelen en nog niet zozeer specifieke ICS/SCADA securitymaatregelen. Bij beide organisaties hebben zich tot op heden geen ICS/SCADA security incidenten voorgedaan. Uit het veldwerk (site-visits) blijkt bij beide casestudies dat ICS/SCADA security nog niet hoog in het vaandel staat, maar ook dat locale operators niet bij de risicoanalyse en het ontwikkelen van veiligheidsmaatregelen worden betrokken. Bij beide organisaties was ook sprake van het verder ontwikkelen van specifieke functionaliteit zoals (voor) mobility, het op afstand besturen van ICS/SCADA-systemen zelf. Het risico bestaat daardoor dat de ontwikkeling van functionaliteit sneller gaat dan het ontwikkelen en implementeren van (basis-)security. Het onderzoek sluit af met twee scenario s met betrekking tot de ontwikkeling van security van ICS/SCADA bij waterstaatswerken: een incrementeel scenario en een versneld scenario. Het incrementele scenario gaat uit van een gestage ontwikkeling van ICS/SCADA security die één tot twee decennia zal kosten en met het risico dat de ontwikkeling van functionaliteit veel sneller gaat dan de ontwikkeling van security. Het versneld scenario gaat uit van de premisse dat zich op korte termijn één of meer ernstige ICS/SCADA incidenten zullen voordoen bij waterstaatswerken. Deze incidenten zullen in dit scenario leiden tot het versneld ontwikkelen en implementeren van security op eigen initiatief van de beheerders van waterstaatswerken maar met name ook door overheidsingrijpen bijvoorbeeld middels verdergaande wetgeving en inspecties. De reflectie op het onderzoeksproces leidt onder meer tot de afweging dat het versnelde scenario met als trigger één of meer incidenten hier als het meest realistische scenario wordt beschouwd. 4 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

5 5 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

6 1. Inleiding 1.1 Probleemstelling De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds frequenter in de publieke en professionele belangstelling. Een markant voorbeeld uit 2012 is de zaak in de gemeente Veere, aanhangig gemaakt in een televisiereportage van EenVandaag. Bij deze gemeente bleken bruggen en sluizen met een thuiscomputer via het internet te kunnen worden bediend, zie ook bijlage 1. Een ander voorbeeld betreft de mondiale onderzoeksgroep SCADA StrangeLove ( die zeer regelmatig nieuwe kwetsbaarheden in de software van ICS/SCADA-systemen opspoort en via internet en social media publiceert. De essentie van de digitale onveiligheid van waterstaatswerken bestaat uit de mogelijkheid, in casu het risico, dat de systemen die waterstaatswerken bedienen, de zogenaamde ICS/SCADAbesturingssystemen, via het internet ongeautoriseerd toegankelijk zijn en vervolgens bediend of gemanipuleerd kunnen worden. In meer populaire termen: deze ICS/SCADA-systemen, en daarmee dus de waterstaatswerken zelf, kunnen worden gehacked. En doordat dit type besturings- en controlsystemen kwetsbaar voor aanvallen blijken te zijn, kan daarmee ook de veiligheid van fysieke gebieden of van mensen in gevaar komen, bijvoorbeeld ingeval van overstromingen of watervervuiling veroorzaakt door gehackte ICS/SCADA-besturingssystemen. Deze bijzondere veiligheidsproblematiek is inmiddels ook breed aangekaart door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NSCS, 2012 en 2013). Een belangrijke vraag die derhalve rijst is welke veiligheidsrisico s gepaard gaan met de toegankelijkheid van de besturingssystemen van waterstaatswerken via externe digitale (on-line) netwerken en welke oplossingen daarvoor zijn ontwikkeld of zijn te ontwikkelen. De vraag is de aanleiding van het onderzoek naar cybersecurity en ICS/SCADA. De centrale vraagstelling luidt als volgt: Welke veiligheidsrisico s gaan gepaard met de toegankelijkheid van ICS/SCADAbesturingssystemen van waterstaatswerken, zoals bruggen, sluizen en gemalen, bij koppeling met externe digitale (on-line) netwerken en op welke wijze kunnen deze risico s effectief en efficiënt tot een acceptabel niveau worden gemitigeerd? De drie deelvragen van dit onderzoek zijn afgeleid uit de centrale vraagstelling en zijn als volgt geformuleerd: Deelvraag 1: over ontwikkelingen en veiligheidsrisico s rondom waterstaatswerken Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen zich voor en welke veiligheidsrisico s ontstaan hierdoor of worden hierdoor groter? 6 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

7 Deelvraag 2: over de omgang met veiligheidsrisico s in de praktijk Op welke wijze gaan de beheerders van waterstaatswerken in de praktijk om met deze veiligheidsrisico s van waterstaatswerken? Deelvraag 3: over de leerpunten inzake digitale (on)veiligheid van waterstaatswerken en risicomaatregelen Welke essentiële leerpunten zijn te destilleren ten aanzien van de digitale (on)veiligheid van waterstaatswerken en mogelijke maatregelen ter mitigatie van de geconstateerde risico s? 1.2 Onderzoeksmethode Om de centrale vraag en de drie deelvragen te beantwoorden heeft in de periode juli 2013 tot en met maart 2014 een onderzoek plaatsgevonden met enerzijds een theoretisch en anderzijds een praktijk karakter. Het theoretische deel heeft bestaan uit literatuuronderzoek en gesprekken met experts. Voor het praktijkdeel zijn casestudies uitgevoerd bij een tweetal waterschappen. Het onderzoek is als volgt in stappen opgezet en uitgevoerd: Stap 1: Ontwikkelen en uitwerken onderzoeksplan en fasering inclusief eerste analysekader; Stap 2: Verzamelen en bestuderen van relevante (inter)nationale literatuur en bestaand onderzoek; Stap 3: Ontwikkelen en uitwerken van het theoretische kader (resulterend in hoofdstuk 2 en 3); Stap 4: Uitvoeren van interviews met ISC/SCADA-betrokkenen, - experts en leverancier/fabrikant; Stap 5: Nader uitwerken van aanpak en organisatie van de casestudies; Stap 6: Uitvoeren en documenteren van de casestudies (veldwerk); Stap 7: Verwerken van de uitkomsten uit stap 4 t/m 6 in de hoofstukken 2, 3 en 4; Stap 8: Evalueren van de uitkomsten van de casestudies in relatie met het theoretische kader van stap 3; Stap 9: Presentatie en feedback onderzoeksresultaten bij SCADA-college 28 februari 2014 (ICS/SCADA); Stap 10: Uitwerken hoofdstuk 5 over leerpunten en reflectie, finaliseren referaat. 1.3 Leeswijzer De thesis is als volgt opgebouwd: In hoofdstuk 2 wordt de setting beschreven van het vraagstuk, het gaat daarbij om begripsdefinities, ontwikkelingsfasen van ICS/SCADA en een eerste risico-inventarisatie. Hoofdstuk 3 bevat een analyse van actuele ontwikkelingen rondom cybersecurity in relatie met waterstaatswerken uitmonden in een samenvattende risico-plaat. In hoofdstuk 4 worden de casestudies beschreven en de resultaten daarvan. De synthese van het onderzoek wordt uitgewerkt in hoofdstuk 5, dit betreffen de essentiële leerpunten van het onderzoek en een reflectie op het onderzoeks- en leerproces. 7 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

8 2. Waterstaatswerken en ICS/SCADA 2.1 Waterstaatswerken: soorten, doelen en functies Zoals in de inleiding is verwoord heeft het onderzoek betrekking op waterstaatswerken. Waterstaatswerken worden op verschillende plaatsen in wettelijk kader beschreven zoals in de Wet waterbeheer, in de Wet beheer rijkswaterstaatswerken en de Waterstaatswet. Een definitie van waterstaatswerken die in het kader van dit onderzoek relevant is betreft: Waterstaatswerk: Werk waarvan het doel gericht is op het belang van de waterstaat, zoals wegen, dijken, sluizen, bruggen en kanalen (Bron: Watervragen, 2012). Specifiek voor dit onderzoek is deze definitie als volgt aangevuld en in het vervolg van dit referaat als uitgangspunt gebruikt: Waterstaatswerk: Werk waarvan het doel is gericht op het belang van de waterstaat en die door middel van geautomatiseerde besturingssystemen worden aangestuurd, zoals beweegbare bruggen, sluizen en gemalen. De doelen en functies van de genoemde waterstaatswerken zijn de volgende (bron: Wikipedia): Beweegbare brug: een beweegbare verbinding voor het verkeer, tussen twee punten die zijn gescheiden door een rivier of kanaal. Sluis: een waterbouwkundig kunstwerk in een waterkering tussen twee waterwegen met een verschillend waterpeil, dat dient om het water te keren, maar dat door een beweegbaar mechanisme ook water of schepen kan laten passeren. Gemaal: een inrichting om water van een lager naar een hoger niveau te brengen. Naast gemalen voor watersystemen zijn er ook rioolgemalen. Rioolwaterzuiveringsinstallatie of afvalwaterzuiveringsinstallatie: een rioolwaterzuiveringsinstallatie (kortweg rwzi), ook wel afvalwaterzuiveringsinstallatie (kortweg awzi) genoemd, zuivert het afvalwater van huishoudens en bedrijven dat via het riool wordt aangevoerd. Wat deze waterstaatswerken gemeen hebben, is dat (opzettelijke) verstoring van de besturingsprocessen kan leiden tot ernstige schade aan de apparatuur en mechanismen zelf en daarmee aan de (leef)omgeving, wat er zelfs toe kan leiden dat mensenlevens in gevaar worden gebracht. 8 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

9 2.2 ICS/SCADA besturings- en controlsystemen Algemeen De definitie van waterstaatswerken uit de vorige paragraaf gaat uit van geautomatiseerde besturingssystemen die het kernproces van waterstaatswerk aansturen zoals het laten bewegen van de brug en het openen en sluiten van de sluis. In de literatuur en in het spraakgebruik worden voor deze besturingssystemen verschillende termen gebruikt zoals procescontrolesystemen, SCADA-systemen, ICS-systemen, operational technology-systemen (zie onder andere Luiijf 2008, NCSC 2012, Stouffer et al en Wikipedia). Een veel gebruikte term in de context van de waterstaatwerken betreft SCADA-systemen, waarbij SCADA staat voor Supervisory Control and Data Acquisition. Strikt genomen is echter de term Industrial Control System (ICS) beter, omdat die zowel het SCADA-besturingssysteem omvat, waar de mens een belangrijke rol heeft, als de operationele technologie die de feitelijke technische of mechanische bediening uitvoert (zie ook bijlage 2 voor een visualisatie). Definitie van ICS Industrial Control Systems (ICS) is een algemene internationale term waarmee verschillende soorten van besturings- en beheersingssystemen worden aangeduid zoals SCADA-systemen, distributed control systemen (DCS) en andere controlsysteem-configuraties zoals Programmable Logic Controllers (PLC s). In Nederland is een meer gangbare term voor ICS: procescontrolesystemen. Met name Luiijf (2008 & 2012) en CPNI.NL (2012) gebruiken deze terminologie. Definitie van SCADA SCADA staat voor Supervisory Control And Data Acquisition. SCADA-systemen hebben als functionaliteit het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van meerdere systemen als onderdeel van grote industriële systemen. Vaak is sprake van beheersing van meerdere besturingssystemen die geografisch verspreid operationeel zijn, bijvoorbeeld een serie van gemalen in een provincie. Een SCADA-systeem bestaat uit een computer met daarop SCADA-software. Een belangrijk en relevant kenmerk van SCADA-software betreft de grote variëteit ervan. SCADA-software heeft vaak een lange gebruiksduur verbonden aan de lange levensduur van het waterstaatswerk en SCADAsoftware wordt door vele partijen ontwikkeld voor verkoop of eigen gebruik. Definitie van OT - Operational Technology Onder Operational Techology (OT) wordt verstaan de technologie waarmee die feitelijke bediening van het waterstaatswerk wordt uitgevoerd. Kenmerk van deze technologie, met name voor oudere legacysystemen, is dat het relatief kleine hoeveelheid data kan handelen. Gangbare communicatieprotocollen binnen deze technologie zijn onder meer Profinet en Motbus. 9 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

10 Nota bene: bij beheerders van waterstaatswerken wordt de ICS/SCADA-automatisering ook wel onderscheiden van de IT-systemen door de termen Procesautomatisering en Kantoorautomatisering te hanteren. Componenten van ICS/SCADA/OT Constellaties van ICS/SCADA/OT bestaan uit diverse componenten. In het kader van dit referaat wordt, conform NIST , een onderscheid gemaakt tussen Control Components en Network Components: Control Components. Dit de betreffen onderdelen c.q. componenten van het ICS/SCADAsysteem zelf. Relevante componenten zijn onder meer de Master Terminal Unit (MTU), de Remote Terminal Unit (RTU), de Programmable Logic Controller (PLC), de Human-Machine Interface (HMI) en de Data Historian. In de kern beheerst de (centraal gepositioneerde) MTU de decentrale RTU s en PLC s die de mechanieken ter plekke fysiek aansturen. Via de HMI kan de operator het proces beheersen en aansturen (human control); Network Component. Dit betreffen componenten die de ICS/SCADA ondersteunen bij het (veilig) kunnen functioneren. Relevante componenten zijn onder meer Firewalls, Modems, Remote Access Points, Communications Routers en Fieldbus networks die sensoren koppelen aan de PLC; In bijlage 2 zijn de belangrijkste componenten in een vereenvoudigd voorbeeld gevisualiseerd en als verduidelijking opgenomen. 2.3 Ontwikkelingsfasen ICS/SCADA Om de veiligheidsproblematiek rondom ICS/SCADA te kunnen doorgronden en actuele ontwikkelingen in perspectief te plaatsen is in deze paragraaf de opkomst en ontwikkeling van ICS/SCADA systemen uitgewerkt. Er worden de volgende vijf fasen van ontwikkeling onderscheiden (t/m fase IV mede gebaseerd op Nordlander, 2009): Fase I Initiatie. Focus op kostenbesparing. Tussen werden ICS/SCADA systemen voor het eerst ontwikkeld en gebruikt, hoofdzakelijk met het doel om beter overzicht te krijgen ten aanzien van de processen en vanwege besparingen op personele formatie en dus kosten. Fase II Groei en ontwikkeling. Focus op data, beheersing en performance. Tussen werden, mede gedreven door snel groeiende computercapaciteit, ISC/SCADAsystemen complexer en werd de hoeveel beschikbare data steeds groter. De focus lag in deze fase op beheersing van alle data, in combinatie met het behouden van een hoge performance en het kunnen beheersen van de complexere systemen. Beveiliging had nog weinig prioriteit. Alleen mensen met fysieke toegang tot de systemen hadden toegang tot de besturingssystemen en de data. 10 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

11 Fase III Geavanceerde evolutie. Focus op communicatie en opschaling. Vanaf de jaren 80 werden ICS/SCADA-systemen steeds geavanceerder en werden deze steeds meer een integraal onderdeel van de reguliere bedrijfsoperatie in plaats van een middel om kosten te besparen. Omdat in deze jaren de beschikbare bandbreedte ten behoeve van communicatie snel groeide, werden steeds meer meetpunten gebruikt en werden nieuwe ICS/SCADA-componenten geïntroduceerd. Communicatieprotocollen naar de remote terminal units (RTU s) werden in die tijd gestandaardiseerd door de International Electrotechnical Commission (IEC). Bij deze standaardisatie werd echter nauwelijks aandacht besteed aan mogelijke beveiligingsmaatregelen zoals bijvoorbeeld encryptie in het communicatieprotocol. In deze fase waren ICS/SCADA systemen nog geïsoleerde systemen die los stonden van IT-netwerken (de zogenaamde air-gap). Fase IV Integratie met IT en internet. Focus op IT- integratie. Vanaf ongeveer het jaar 2000 worden ICS/SCADA-systemen voor het eerst gekoppeld aan IT netwerken: de zogenaamde air-gap wordt doorbroken. En dit leidt, door de reeds bestaande verbondenheid van IT-netwerken met het internet, tot een grote groei van directe of indirecte koppelingen van ICS/SCADA-systemen met het internet. Vanaf dan worden ICS/SCADA-systemen blootgesteld aan cybersecurity risico s. In de loop van deze fase is er steeds meer behoefte om de ICS/SCADA-systemen verder te integreren met IT-systemen vanwege bijvoorbeeld kostenbesparing, snelheid, gemak en uniformiteit. In deze fase dienen zich overigens ook de eerste security incidenten aan ten aanzien van ICS/SCADA. Fase V Mobiliteit en Security. Het lijkt erop dat we sinds enkele jaren in een nieuwe fase rondom ICS/SCADA-systemen zijn beland. Een fase waarin mobiliteit een hoge vlucht neemt en waarin het thema van ICS/SCADA-security op de agenda is komen te staan. Het is inmiddels praktijk geworden dat ICS/SCADA-systemen door mobile devices zoals tablets of smartphones overal kunnen worden aangestuurd en de graad van mobiliteit zal naar verwachting alleen maar toenemen. Wat betreft ICS/SCADA-security wordt deze fase gekenmerkt door security incidenten, bewustwording van risico s en de eerste stappen op weg naar beheersing van veiligheidsrisico s. In paragraaf 3.3 worden een actuele en toekomstige ontwikkelingen van ICS/SCADA nog nader beschreven. Unsecured legacy design Een niet te onderschatten conclusie die uit het voorgaande kan worden getrokken is het fenomeen van unsecured legacy designs. De gebruiksduur van ICS/SCADA-systemen hangt vaak samen met de (lange) levensduur van de waterstaatswerken, het gaat daarbij dan om decennia. Bij de ICS/SCADAsystemen die tot en met zeker fase IV zijn ontworpen en ontwikkeld was veelal niet sprake van ontwerp met security in mind, deze systemen ontberen vaak basale securitymaatregelen zoals strong authentication of encryptie. Daarnaast beschikken deze ICS/SCADA-systemen (in het OT-deel) vaak over zeer beperkte geheugenruimte waardoor security-maatregelen niet kunnen worden ingebouwd. 11 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

12 2.4 Integratie ICS/SCADA & IT en koppeling met Internet Zoals blijkt uit paragraaf 2.4 functioneren ICS/SCADA-systemen steeds minder geïsoleerd en worden deze meer en meer gekoppeld aan IT-netwerken en (daarmee) indirect of direct aan het internet. Figuur 1: Visualisatie integratie ICS/SCADA en IT en koppeling Internet Larkin (2012) begint zijn thesis met de constatering: SCADA systems are being exposed to the Internet at an alarming rate en vervolgt: Indeed, traditional network security tools like firewalls, proxies and Intrusion Detection Systems may not be compatible with SCADA; however, simply isolating SCADA systems is no longer an option. Daar komt bij dat het oorspronkelijke doel van ICS/SCADA-systemen was om fysieke objecten zoals waterstaatswerken op afstand te kunnen beheersen en aan te sturen. Door de koppeling met ITnetwerken en internet kunnen deze ICS/SCADA-systemen zelf in toenemende mate op afstand worden bestuurd (mobility), bijvoorbeeld via tablets of smartphones op elke denkbare plek waarin internet beschikbaar is. Verschillen tussen ICS/SCADA en IT Een belangrijke oorzaak van de problematiek die in dit referaat aan de orde wordt gesteld bestaat uit het feit dat ICS/SCADA-systemen steeds meer worden geïntegreerd met gewone IT-systemen. Anders gezegd: de procesautomatisering integreert met de kantoorautomatisering. In het licht van deze integratie is het vanuit het oogpunt van security derhalve relevant een analyse te maken van verschillen tussen ICS/SCADA-systemen en IT-systemen en de mogelijke impact daarvan. 12 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

13 In feite kan worden gesteld dat ICS/SCADA-systemen fysiek en technisch zijn gericht terwijl ITsystemen administratief zijn gericht. ICS/SCADA systemen hebben betrekking op fysieke processen in de buitenwereld, IT-systemen hebben juist geen interactie met fysieke processen. Verschillen tussen ICS/SCADA-systemen en IT-systemen manifesteren zich op meerdere gebieden. In de Guide to Industrial Control Systems Security worden deze verschillen door Stouffer et al (NIST , 2011, tabel 3-1) uitgewerkt naar 13 categorieën zoals Performance requirements, Risk Management requirements, System Operation, Communications and Component Lifetime. Door Stouffer et al. wordt de conclusie getrokken dat [ ] the operational and risk differences between ICS and IT systems create the need for increased sophistication in applying cyber security and operational strategies. Larkin (2012) vat in zijn Evaluation of traditional security solutions in the SCADA environment de verschillen tussen ISC/SCADA-netwerken en IT-netwerken als volgt samen: Differences ICS/SCADA Networks/Systems IT Networks/Systems Security Objectives Security Architecture Technology Bases Quality of Services Are concerned with system availability and reliability Use control servers, RTU s, PLC s, field devices, and HMI s Use many different proprietary communication protocols which are very difficult to develop common Host-Based or Network-Based security Solutions Must function uninterrupted without error for long periods of time Are concerned with data integrity and confidentiality Utilize traditional IT assets like computers, servers, routers, firewalls, and proxies Technology base includes Windows, Unix, Linux, and Standard IP-based protocols QoS requirements are usually not time sensitive, do not always require real time monitoring, en can be rebooted or shutdown Tabel 1. Bron: Larkin Evaluation of traditional security solutions in the SCADA environment, table 2-1, page 2-6 Een belangrijke conclusie die uit bovenstaande analyse kan worden getrokken, en die ook bij de interviews naar voren kwam, betreft het verschil in kwaliteitscriteria die (tot op heden) voor ICS/SCADA-systemen en IT-systemen worden gehanteerd. De belangrijkste kwaliteitscriteria voor ICS/SCADA betreffen: Safety, Availability en Performance (SAP). Veiligheid, beschikbaarheid en betrouwbare performance staan voorop. Daarbij wordt met Safety bedoeld the red button : er kan acuut wordt ingegrepen als zich een ernstige en bedreigende procesverstoring voordoet. In deze kwaliteitscriteria zit van oorsprong niet security in de zin van cyberveiligheidsrisico s. De belangrijkste kwaliteitscriteria voor IT-systemen betreffen Confidentiality, Integrity, Availability en Accountability (CIAA). Het verschil in kwaliteitscriteria tussen ICS/SCADA-systemen en IT-systemen werkt door in het ontwerp, ontwikkeling en de implementatie van deze systemen. 13 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

14 Overigens laat Larkin nog twee belangrijke verschillen tussen ICS/SCADA en IT onbenoemd die wel relevant zijn in het kader van dit onderzoek. Het eerste betreft het feit dat er voor IT al sinds lange tijd normenkaders bestaan ten aanzien van onder meer security en performance, te denken valt hierbij aan bijvoorbeeld COBIT of ITIL, terwijl gedegen normenkaders voor (de security van) ICS/SCADA nu pas in echte ontwikkeling komen. Een tweede relevante verschil is dat er rondom IT, naast de productie-omgeving, ook ontwikkel- en testomgevingen bestaan, dit laatste komt bij ICS/SCADA niet of nauwelijks voor. Het testen van securitymaatregelen voor ICS/SCADA is is al erg complex op zich. Als gevolg van de integratie van ICS/SCADA en IT-systemen wordt derhalve functionaliteit bij elkaar gebracht en geïntegreerd die vanuit verschillende kwaliteitseisen zijn ontwikkeld. Dit vergroot de kans op het (onbewust) creëren van nieuwe kwetsbaarheden en/of slechte comptabiliteit. 2.5 Samenvatting en conclusies In het voorgaande zijn eerst de soorten, doelen en functies van waterstaatswerken uitgewerkt met daarop volgend een beschrijving van de geautomatiseerde besturingssystemen (ICS/SCADA) van deze waterstaatwerken. Vervolgens zijn vijf ontwikkelingsfasen van ICS/SCADA beschreven waarin ook de actuele integratie tussen ICS/SCADA en IT-systemen aan de orde is gekomen. In dat licht zijn vervolgens de verschillen tussen ICS/SCADA-systemen en IT systemen geïdentificeerd als ook de betekenis daarvan. De conclusies hieruit worden als volgt samengevat: Waterstaatwerken zoals sluizen, gemalen, bruggen worden aangestuurd met geautomatiseerde besturingssystemen ICS/SCADA; Verstoring van de besturingsprocessen kan leiden tot ernstige schade aan apparatuur, mechanismen en leefomgeving; ICS/SCADA besturingssystemen hebben een grote evolutie doorgemaakt waarbij de actuele ontwikkelingen bestaan uit vergaande integratie met IT-systemen en het op afstand kunnen besturen van ICS/SCADA-systemen zelf; Er bestaan grote verschillen tussen ICS/SCADA-systemen en IT-systemen met betrekking tot kwaliteitseisen, ontwerpeisen, levensduur, toegang tot componenten, communicatieprotocollen etc. ICS/SCADA besturingssystemen worden at an alarming rate direct of indirect, in casu via de IT-systemen, gekoppeld aan het internet. 14 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

15 3. ICS/SCADA: kwetsbaarheden, risico s en ontwikkelingen 3.1 Inleiding Aan de hand van literatuurstudie, een aantal interviews alsmede zelfonderzoek op internet is een uitwerking gemaakt van actuele ontwikkelingen rondom ICS/SCADA in het licht van cybersecurity. Doel hiervan is het uitwerken van een samenvattend risicobeeld aangaande ICS/SCADA die vervolgens mede als input dient voor de casestudies. Bij deze casestudies wordt onderzocht op welke wijze beheerders van waterstaatswerken omgaan met deze risico s. 3.2 Bedreigingen en kwetsbaarheden ICS/SCADA Door de koppeling van, de voorheen geïsoleerde, ICS/SCADA-systemen aan IT-netwerken en internet worden deze systemen blootgesteld aan nieuwe risico s zoals ongeautoriseerde toegang van buiten of doelbewuste manipulatie. Essentieel is daarbij dat deze ICS/SCADA systemen in het verleden niet zijn ontworpen met securitymaatregelen voor deze risico s aangezien deze risico s immers toen nog niet bestonden. De ICS/SCADA-systemen zijn in de praktijk derhalve (erg) kwetsbaar voor nieuwe en dus vooral ook cybersecurity-risico s. Diverse organisaties en auteurs hebben recent publicaties uitgebracht ten aanzien van deze risico s en problematiek. Zo bracht NIST de eerder genoemde Guide tot ICS security (800-82, 2011) uit, het Nationaal Cyber Security Centrum (NSCS) publiceerde Beveiligingsrisico s van on-line SCADAsystemen (2012) en Radvanovsky & Brodsky ontwikkelden het Handbook of SCADA/Control Systems Security (2013). Daarnaast verschenen er direct na de zaak Veere (zie paragraaf 1.1 en bijlage 1) een groot aantal publicaties in de Nederlandse papieren en on-line pers (zie ook het literatuuroverzicht). Risico-spectrum volgens NIST Stouffer et al. maken in de NIST-publicatie (800-82, 2011) een uitgebreide bedreigings- en kwetsbaarheidsanalyse van ICS/SCADA. Zij onderscheiden eerst de karakteristieken van ICS/SCADA en werken daarna de bedreigingen en kwetsbaarheden uit. Bedreigingen voor ICS/SCADA spitsen zich volgens Stouffer et al. toe op zogenaamde typen threat agents, zijnde personen of organisaties die kwaad kunnen doen en/of schade willen aanbrengen. In tabel 3-2 van hun publicatie identificeren zij de volgende 10 threat agents : Tabel 2: Threat agents volgens NIST , table Attackers 6 Phishers 2 Bot-network operators 7 Spammers 3 Criminal Groups 8 Spyware/Malware authors 4 Foreign intelligence services 9 Terrorist 5 Insiders 10 Industrial Spies 15 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

16 Uit deze opsomming is af te leiden dat er in potentie een grote groep aan personen en organisaties te onderkennen is die in staat zijn en/of als doel hebben om ICS/SCADA systemen binnen te dringen, te manipuleren dan wel te beschadigen. Na de uitwerking van de potentiële bedreigingen / threat agents maken Stouffer et al. vervolgens een integrale analyse van de kwetsbaarheden van ICS/SCADA-systemen. Zij onderscheiden daarbij kwetsbaarheden ten aanzien van Policies and Procedures, Platform en Network. Onderstaand is deze analyse samengevat aan de hand van de tabellen 3.3 t/m 3.13 uit NIST , gerubriceerd naar Domein, Onderdeel/Component en Aantal kwetsbaarheden: Figuur 2: overzicht kwetsbaarheden volgens NIST Kwetsbaarheden ten aanzien van het domein policies en procedures zoals security policy, training en awareness programma, security architectuur en ontwerp, implementatierichtlijnen etc. Er worden in totaal 9 kwetsbaarheden onderscheiden. Kwetsbaarheden ten aanzien van het domein platform van de ICS/SCADA-systemen: o Configuratie: 11 kwetsbaarheden; o Hardware: 10 kwetsbaarheden; o Software: 13 kwetsbaarheden; o Malware protectie: 3 kwetsbaarheden. Kwetsbaarheden ten aanzien van het domein ICS/SCADA-netwerk: o Configuratie: 7 kwetsbaarheden; o Hardware: 5 kwetsbaarheden; o Perimeter: 4 kwetsbaarheden; o Monitoring & Logging: 2 kwetsbaarheden; o Communicatie: 4 kwetsbaarheden; o Wireless connectie: 2 kwetsbaarheden. In totaal worden in de NIST-publicatie derhalve 70 mogelijke kwetsbaarheden inzake ICS/SCADAsystemen onderscheiden. Uit deze analyse is dus af te leiden dat er in potentie een groot aantal kwetsbaarheden te onderkennen is inzake ICS/SCADA-systemen. In het literatuuroverzicht bij dit referaat is een serie van on-line artikelen opgenomen die concreet verwijzen naar allerlei kwetsbaarheden van ICS/SCADA. Dit betreffen de publicaties van: Reijerman (2012), Schellevis (2012), Schoemaker (2012 en 2013), Zwaap (2012) en Security.nl (2012 en 2013). Ward (2012) publiceerde in 2013 het artikel How to hack a nation s infrastructure dat ook helder kwetsbaarheden en risico s aangeeft. Er zijn overigens daarnaast ook diverse bronnen beschikbaar die gedocumenteerde incidenten publiceren (onder andere NIST en Larkin) ten aanzien van ICS/SCADA. Het meest bekende ICS/SCADA-incident betreft de Stuxnet worm die specifiek is ontwikkeld om ICS/SCADA-systemen van het merk Siemens aan te vallen. Tot op heden hebben zich in Nederland nog geen majeure bekend gemaakte incidenten voorgedaan, wel is sinds 2012 door de zaak Veere de aandacht voor de cybersecurity-risico s toegenomen. 16 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

17 3.3 Actuele en toekomstige ontwikkelingen inzake ICS/SCADA Na de schets van bedreigen en kwetsbaarheden volgt onderstaand een uitwerking van actuele en (mogelijke) toekomstige ontwikkelingen omtrent ICS/SCADA. Deze ontwikkelingen zijn inzichtelijk gemaakt op basis van literatuuranalyse en gesprekken met experts. Voor enkele van de geschetste ontwikkelingen heeft verificatieonderzoek plaatsgevonden met behulp van websitebezoek en googlesearches inclusief content-onderzoek. Het deel met de analyse van mogelijke toekomstige ontwikkelingen is met name gebaseerd op The future of SCADA and Control Systems Security (Radvanovsky & Brodsky, 2013, H18). De volgende veertien actuele ontwikkelingen zijn naar voren gekomen uit de onderzoeksactiviteiten: Nr Ontwikkeling/trend Uitwerking 1 Integratie ICS/SCADA met ITnetwerken (office-it) 2 Koppeling van ICS/SCADAcomponenten met Internet 3 Toenemende behoefte aan mobility bij aansturing ICS/SCADA 4 Toenemende belangstelling hackers voor ICS/SCADA 5 Toenemende beschikbaarheid van off the shelf, standaard software en hardware voor ICS/SCADA 6 Beschikbaarheid van laagdrempelige zoekmachines en hackertooling 7 Opkomst ethical hackers en samenwerking fabrikanten ICS/SCADA-systemen, in casu de voorheen geisoleerde procesautomatisering worden geïntegreerd met IT-systemen, in casu de kantoorautomatisering. ICS/SCADA systemen worden in toenemende mate gekoppeld aan het internet, hetzij rechtstreeks hetzij via integratie met (reeds aan internet gekoppelde) ITnetwerken/systemen. Er is sprake van een groeiende behoefte aan mobiliteit in het besturen van de ICS/SCADA systemen zelf, bijvoorbeeld met behulp van tablets of mobiele telefoons. Hackers of andere threat agents tonen meer en meer belangstelling voor ICS/SCADA getuige buitenlandse security-incidenten van de afgelopen jaren. Er komt steeds meer standaard hard- en software beschikbaar voor ICS/SCADA systemen. Een aanpalende trend is meer integratie (fusie/overname) van grote SCADA-leveranciers. Er komen steeds meer en makkelijker te hanteren tools beschikbaar die gebruikt worden voor aanvallen op of het binnendringen van netwerken en ICS/SCADAsystemen. SHODAN, Nessus, Metasploit. Er ontstaan steeds meer (goedwillende) groepen van mensen die pogen kwetsbaarheden in ICS/SCADA systemen op te sporen en publiekelijk te maken (oa SCADAstrangelove) mede ten behoeve van de fabrikanten (patches). 8 Publieke informatie Er is relatief veel informatie publiekelijk beschikbaar inzake ICS/SCADA en omtrent netwerken van beheerders. Onder andere via zoekmachines en social media is veel informatie te vinden. 9 Bewustwording Er is momenteel sprake van meer bewustwording van risico s ten aanzien van ICS/SCADA. Dit blijkt uit onder meer uit de hoeveelheid en aard van recente publicaties rondom ICS/SCADA security. 10 Politieke en overheidsbemoeienis De overheid heeft steeds grotere bemoeienis met ICS/SCADA vraagstukken. Bijvoorbeeld via ministeries, via Tweede Kamer, via NCSC, via Taskforce BID. Tabel 3 (deel 1): actuele ontwikkelingen 17 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

18 Nr Ontwikkeling/trend Uitwerking 11 Ontwikkeling van eerste normenkaders 12 Toenemend onderzoek naar ICS/SCADA 13 Toenemende aantal opleidingen training en seminars 14 Security-eisen in ICS/SCADA aanbestedingstrajecten Met de publicatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG, 2013) en de Baseline Informatiebeveiliging Waterschappen (BIWA, 2013) worden de eerste concrete stappen gezet naar normenkaders. Er vindt in binnen- en buitenland steeds meer onderzoek plaats naar ICS/SCADA en risico s. Een recent Nederlands voorbeeld is het tweejarige onderzoek informatiebeveiliging Veilig water (Haagse Hogeschool, TNO, NSCS en waterschappen). Er is een groeiend aantal trainingen, seminars en ook opleiding die betrekking hebben op cybersecurity in relatie met ICS/SCADA. Dit betreft zowel vanuit overheden, commerciële bureaus als door groepen geïnteresseerden zelf opgerichte communities. Er is een ontwikkeling gaande dat in aanbestedingen van ICS/SCADA systemen security criteria worden opgenomen. Tabel 3 (deel 2): actuele ontwikkelingen De toekomst van ICS/SCADA Radvanovsky & Brodsky zijn twee van de weinige onderzoekers en auteurs die een blik in de toekomst van ICS/SCADA security durven te werpen. Zij kaarten de volgende thema s daarbij aan c.q. zij formuleren denkbeelden over in hun ogen belangrijke zaken voor de toekomst: Er moet volgens hen, het liefst mondiaal, een uitspraak en een afspraak komen over het al dan niet bekend en transparant maken van (nieuw ontdekte) kwetsbaarheden in ICS/SCADA systemen en het proces hoe deze kwetsbaarheden worden opgelost: mutually agree upon a common disclosure process framework. Via SCADAstrangelove.org komen overigens al veel kwetsbaarheden naar buiten; Security eisen voor ICS/SCADA systemen zullen volgens hen nimmer aansluiten op de security-eisen voor IT-systemen; Het is volgens hen belangrijk dat alle betrokkenen in het ICS/SCADA domein komen tot een classificatiesystematiek ten aanzien van kwetsbaarheden inclusief een risicomitigatiestrategie; Het is noodzakelijk dat stakeholders in het ICS/SCADA domein worden opgeleid en getrained met betrekking tot het (h)erkennen van de complexiteit van security-issues, het nemen van verantwoordelijkheid voor oplossingen, en het permanent verbeteren van ICS/SCADA systemen; Het is wellicht noodzakelijk en technisch mogelijk het gehele ICS/SCADA domein te herdefiniëren. Nieuwe technieken en devices zoals Field-Programmable gate array (FPGA) chips en (zeer) kleine micro controllers kunnen inmiddels al grote ICS/SCADA constellaties vervangen en in deze types devices kunnen securitymaatregelen eenvoudiger en effectiever beter worden ingebouwd; Samenwerking tussen overheden, onderzoekers, ontwerpers, fabrikanten en gebruikers van ICS/SCADA is onontbeerlijk om verbetering en (meer) veiligheid te bereiken. 18 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

19 3.4 Risicobeeld van ICS/SCADA bij waterstaatswerken Op basis van hoofdstuk 2 en het voorgaande uit dit hoofdstuk kan deelvraag 1 van het onderzoek nu worden beantwoord. Deze deelvraag luidde als volgt (uit paragraaf 1.2): Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen zich voor en welke veiligheidsrisico s ontstaan hierdoor of worden hierdoor groter? Het antwoord op deze vraag is dat als gevolg van een aantal actuele ontwikkelingen in combinatie met kwetsbaarheden van ICS/SCADA systemen de veiligheidsrisico s in grote mate zullen toenemen indien geen maatregelen worden getroffen. Vastgesteld is dat er een groot aantal typen threat agents in de vorm van personen en organisaties bestaan die ten doel kunnen hebben en in staat zijn ICS/SCADA van waterstaatswerken te manipuleren of te beschadigen. Vastgesteld is ook dat ICS/SCADA systemen een groot aantal potentiële kwetsbaarheden kent. De volgende actuele ontwikkelingen brengen potentiële veiligheidsrisico s en werkelijke incidenten dichter bij elkaar: Ten eerste worden ICS/SCADA-systemen steeds meer geïntegreerd met ITsystemen en daarmee gekoppeld aan het internet. ICS/SCADA systemen worden ook steeds meer rechtstreeks met internet verbonden. Ten tweede is er daarnaast steeds meer behoefte om ICS/SCADA-systemen van afstand te besturen door middel van bijvoorbeeld tablets of applicaties op smartphones waardoor de behoefte aan connectivity (met internet) sterk toeneemt. Ten derde komen er steeds meer geavanceerde zoekmachines (SHODAN) en hackerstools (Metasploit) beschikbaar die op internet eenvoudig vindbaar zijn en ook eenvoudig bruikbaar zijn. Ten vierde is het relatief eenvoudig om op organisatieniveau te kunnen achterhalen welke ICS/SCADA constellaties in gebruik zijn. Een google-search levert ook al snel bruikbare informatie op. 3.5 ICS/SCADA security: normenkaders en maatregelen In de voorgaande paragrafen is het risicobeeld inzake ICS/SCADA uitgewerkt in termen van bedreigingen, kwetsbaarheden en een inventarisatie van actuele en (mogelijke) toekomstige ontwikkelingen. Tegenover geïdentificeerde veiligheidsrisico s kunnen maatregelen ter mitigatie worden genomen. Ter afsluiting van dit hoofdstuk wordt ingegaan op mogelijke maatregelen en normenkaders inzake security / veiligheid. Normenkaders security Zowel Nordlander (2009) als Van Gils (2012) gaan in op normenkaders / frameworks voor ICS/SCADA security. Voorbeelden daarvan zijn NIST en ISA99. Beiden concluderen dat er inmiddels diverse normenkaders ontstaan en bestaan, maar ook dat er sprake is van overlap. Van Gils concludeert bovendien dat veel organisaties hun eigen normenkader ontwikkelen op basis van onderdelen uit verschillende mondiale of landelijke normenkaders. Zoals aangegeven bij nummer 11 in de tabel van paragraaf 3.3 zijn voor gemeenten en waterschappen als belangrijke beheerders van waterstaatswerken zeer recent baselines ontwikkeld inzake informatiebeveiliging. Deze baselines dekken alle processen, activiteiten, documenten en eigendommen af en alle gemeenten en waterschappen zijn verplicht en gecommitteerd deze standaarden te gaan gebruiken. 19 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

20 Overzicht van mogelijke security maatregelen Zoals eerder is geschetst is ICS/SCADA security een complexe aangelegenheid en bestaat er geen one size fits all oplossing. Met name legacy-systemen kunnen niet of niet eenvoudig worden beveiligd ten aanzien van nieuwe risico s zoals cybersecurity risico s. De afgelopen jaren is sprake van meer bewustwording van risico s en heeft meer gestructureerd onderzoek naar en ontwikkeling van security-maatregelen plaatsgevonden. Het eerder genoemd onderzoek Veilig water zal zich ook richten op veiligheidsmaatregelen. Drie (groepen van) auteurs hebben recent een verdieping gemaakt van security-maatregelen voor ICS/SCADA. Dit betreffen: Stouffer et al. in de NIST Guide tot Industrial Control Systems Security (NIST , 2011); Radvanovsky en Brodsky in het Handbook of SCADA / Control Systems Security (2013); Nordlander in de thesis Wat is special about SCADA system cyber security? (2009). Nordlander heeft zich in zijn onderzoek meer gericht op het voorkomen van security-maatregelen in verschillende security-frameworks. NIST en het Handbook of SCADA / Controls Systems Security zijn geschreven als leidraad voor het treffen en verbeteren van het security-stelsel van individuele organisaties. In bijlage 3 zijn de security-maatregelen die deze drie (groepen van) auteurs hebben geïdentificeerd gerecapituleerd in een totaaloverzicht. NIST identificeert 33 verschillende typen maatregelen, het Handbook identificeert er 34 en Nordlander 25 verschillende. De overlap tussen NIST en het Handbook is groot, de top-down structuur en de inkadering van NIST geeft een meer logisch leesbaar overzicht met vooral eerst aandacht voor de ontwikkeling van een integraal securityprogramma al vorens in te gaan op technische maatregelen en management en operationele controls. In het interview met Hernando benadrukt hij de noodzakelijkheid van een full security cycle ten aanzien van ICS/SCADA. Deze cycle bestaat uit vijf onderdelen, te weten: 1. Know: Ken de assets en ken de bedreigers (permanente intelligence); 2. Prevent: Tref en test beveiligingsmaatregelen; 3. Detect: Check permanent en ontdek tijdig security-incidenten; 4. Respond: Acteer adequaat op geconstateerde security-incidenten; 5. Recover: Breng de situatie terug naar het niveau van voor het incident. 3.6 Samenvatting en conclusies In dit hoofdstuk is deelvraag 1 van het referaat beantwoord. Deze deelvraag heeft betrekking op de ontwikkelingen en veiligheidsrisico s rondom waterstaatswerken. De deelvraag is beantwoord door eerst een analyse te maken van bedreigers en kwetsbaarheden omtrent ICS/SCADA en vervolgens actuele en mogelijke toekomstige ontwikkelingen te schetsen. Vervolgens is nagegaan op welke wijze volgens de theorie de risico s door middel van maatregelen gemitigeerd kunnen worden. 20 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

21 De conclusies uit deze analyses kunnen als volgt worden samengevat: Er zijn 10 verschillende typen van threat agents te onderkennen die een bedreiging kunnen vormen voor (de veiligheid van) ICS/SCADA van waterstaatwerken; Er is een groot aantal van potentiële kwetsbaarheden te onderscheiden ten aanzien van de veiligheid van ICS/SCADA systemen. NIST classificeert 70 verschillende potentiële kwetsbaarheden; Er zijn ten aanzien van de veiligheid van ICS/SCADA veel positieve maar ook negatieve ontwikkelingen vast te stellen. Koppeling met internet, toenemende behoefte aan mobiliteit en toenemende belangstelling van hackers zijn voorbeelden van sterk risico-verhogende factoren; De complexiteit van het ICS/SCADA vraagstuk is groot als gevolg van legacy-systemen en het feit dat er geen one size fits all oplossing bestaat ; Er zijn ontwikkelingen vast te stellen ten aanzien van normenkaders voor ICS/SCADA; voor beheerders van waterstaatswerken zoals gemeenten en waterschappen gelden de recent uitgebracht BIG en BIWA; Er zijn in Nederland nog geen specifieke normenkaders voor ICS/SCADA van waterstaatswerken met bijvoorbeeld normen voor PLC s; Er bestaan veel verschillende typen security-maatregelen voor ICS/SCADA, deze komen uit buitenlandse literatuur, er is nog geen coherent overzicht of systeem van maatregelen die bruikbaar voor de specifiek Nederlandse context. 21 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

22 4. Casestudies ICS/SCADA 4.1 Inleiding Voor de beantwoording van deelvraag 2 (over hoe in de praktijk met veiligheidsrisico s wordt omgegaan) is een tweetal casestudies uitgevoerd bij beheerders van waterstaatwerken. Daarbij is gekozen voor waterschappen aangezien zij vaak meerdere typen waterstaatwerken beheren. De samenvattende verslagen van casestudies zijn in dit referaat, in samenspraak met de betreffende waterschappen, geanonimiseerd opgenomen. De hier opgenomen verslagen zijn door de waterschappen gevalideerd. 4.2 Aanpak van de casestudies De aanpak van de casestudies is gebaseerd op Yin (2013). De volgende stappen zijn uitgevoerd: Oriënterend gesprek met vertegenwoordigers van het waterschap; Toezenden documentatie ICS/SCADA casestudie en informatie-uitvraag; Initieel interview met IT-medewerker(s) en proceseigenaren; Verzamelen informatie op basis van informatie-uitvraag; Bezoeken hoofdvestiging waterschap en uitvoeren site-visits bij waterstaatswerken; Uitwerken en laten valideren casestudieverslag. De informatie-uitvraag bij de casestudies bestond uit de volgende onderdelen: 1. De Architectuurplaat Beschrijving of visualisatie van de ICS/SCADA-architectuur en haar omgeving en betrekking hebbend op (de groep van) de waterstaatwerken. 2. Het Framework van risico- en bedreigingsmanagement Beschrijving van toepaste framework van risico- en bedreigingsmanagement zoals rollen, verantwoordelijkheden, processtappen, input- en outputvormen etc. 3. Recente risico/bedreigingsanalyse De uitwerking van de meeste recente risico/bedreigingsanalyse ICS/SCADA. 4. Reactie op risico-onderzoekslijst Reactie op het omgaan met ontwikkelingen zoals mobility, social engineering, nieuwe hackertools (zie ook tabel paragraaf 3.3). 5. Operationele maatregelenset Uitwerking van actuele veiligheidsmaatregelen die getroffen zijn. 6. Incidentenoverzicht ICS/SCADA Overzicht van recente ICS/SCADA incidenten 7. Ontwikkelingsbeeld ICS/SCADA Overzicht van recente, verwachte en/of voorgenomen ontwikkelingen ICS/SCADA. 22 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

23 De paragrafen 4.3 en 4.4 bevat de case-studie verslagen en zijn gebaseerd op de initiële gesprekken, de ontvangen informatie naar aanleiding van de uitvragen, de site visits en de evaluerende gesprekken. 4.3 Casestudie 1: Middelgroot waterschap Situatieschets De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor meerdere soorten waterstaatswerken zoals sluizen, bruggen, stuwen, gemalen en zuiveringsinstallaties. Het waterschap kent een beheergebied van circa km2 met meer dan 300 voor de casestudie relevante waterstaatswerken. Er werken circa 300 personen bij het waterschap. Onderdeel van de casestudie waren site visits bij een aantal grote waterstaatswerken. Deze site visits bij de objecten en de lokale operator zijn uitgevoerd samen met de proceseigenaar (peilbeheer), de beleidsadviseur automatisering en de concerncontroller. Governance omtrent procesautomatisering Bij het betreffende waterschap is altijd een procesmanager verantwoordelijk voor specifieke beheersprocessen, de daarbij behorende waterstaatswerken inclusief de procesautomatisering (SCADA). De IT-functie heeft in de organisatie een overwegend ondersteunende en dienstverlenende rol. De organisatie kent geen specifieke SCADA-expert(s). Essentiële beslissingen inzake het waterbeheer (zoals bijvoorbeeld het moment, de duur en intensiteit van het lozen van water) worden zoveel mogelijk decentraal genomen alwaar ook de feitelijke aansturing (via de Human Machine Interface, HMI) van het waterstaatswerk plaatsvindt. Procesautomatisering Waterstaatswerken zoals sluizen, gemalen en stuwen hebben deels geautomatiseerde besturing alsmede telemetrie-aansluitingen. Zuiveringsinstallaties worden bestuurd door PLC-systemen (Programmable Logic Controller) en bediend via SCADA. Rioolgemalen werken met een telemetriesysteem. Er is sprake van een centraal hoofdpostsysteem, echter niet alle objecten kunnen vanuit het hoofdpostsysteem worden bediend. Er is geen scheiding tussen kantoor- en procesautomatisering, het geïntegreerde netwerk is ingericht naar een ster-structuur met het hoofdkantoor (hoofdpost) als het hart van de ster. SCADAcomponenten en telemetrie zijn altijd via modems verbonden met het IT-netwerk. Het beveiligingsniveau van de kantoorautomatisering op het hoofdkantoor is recent verhoogd en wordt periodiek getest door middel van externe penetratie-testen. Het waterschap kent vijf verschillende besturingssystemen (en leveranciers), drie verschillende telemetriesystemen en drie verschillende SCADA-systemen. Op IT- en SCADA-.gebied hebben zich recent geen markante ontwikkelingen voorgaan en worden vooralsnog geen specifieke of substantiële ontwikkelingen verwacht anders dan regulier onderhoud en reguliere vervanging / uitbreiding. Tot op heden hebben zich geen security-incidenten ten aanzien van de procesautomatisering voorgedaan. 23 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

24 Risico- en bedreigingsmanagement Framework risicomanagement Het waterschap beschikt niet over een raamwerk of systematiek van risicomanagement en bedreigingsmanagement gericht op informatieveiligheid en SCADA. Er is dus geen integrale risicoanalyse voorhanden en geen integraal beleid inzake de veiligheid van procesautomatisering c.q. SCADA. Naar aanleiding van de zaak Veere is begin 2012 wel een quick scan uitgevoerd naar SCADArisico s. De uitkomsten van deze quick scan zijn destijds gedeeld met directie en bestuur. Namens IT participeert de beleidsadviseur automatisering in een landelijke werkgroep informatieveiligheid waterschappen en richt hij zich daarbij specifiek op de veiligheid van procesautomatisering. Het thema van risicomanagement staat derhalve op de IT-agenda, het doel is om een plan inzake informatieveiligheid te formuleren. Informeel risicomanagement Hoewel er geen formeel risicomanagement is georganiseerd komen tijdens de casestudie (toch) een aantal relevante uitgangspunten ten aanzien van veiligheid naar voren die in de praktijk worden gehanteerd (informeel risicomanagement): Hoe kwetsbaarder een waterstaatswerk is voor de omgeving en burger en hoe meer tijd nodig is voor herstel na een incident, hoe meer het waterstaatswerk en bijbehorende SCADA door het waterschap wordt geïsoleerd; Kantoor- en procesautomatisering is niet gescheiden omdat juist de verbindingen ertussen als risicovol worden ervaren (mogelijke lekken); Op cruciale plaatsen worden altijd nog (extra) fysieke beveiligingen aangebracht rondom de besturingssystemen zoals fysieke slot/sleutelcombinaties. Quick scan risicoanalyse voorjaar 2012 De eerder genoemde quick scan van begin 2012 had betrekking op de veiligheid van de procesautomatisering bij het waterschap. In deze quick scan worden de waterstaatswerken / objecten beschreven alsmede het netwerk van verbindingen en de beveiliging van de objecten. Daarnaast worden 8 concrete risico s benoemd inclusief voorgestelde maatregelen en acties. Van de 8 benoemde risico s kunnen er 6 in direct verband worden gebracht met cybersecurity-risico s. Uit oogpunt van vertrouwelijkheid worden deze risico s hier niet nader geduid. 24 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

25 Maatregelenset Op basis van informeel risicomanagement en de quick scan uit 2012 zijn de volgende veiligheidsmaatregelen getroffen (niet limitatief): Isolatie van specifieke risicovolle waterstaatswerken zodanig dat centrale SCADA-aansturing daarvan niet mogelijk is; Integratie van kantoor- en procesautomatisering om kwetsbare koppelingen te elimineren en te vermijden; Aanvullende fysieke beveiligingsmaatregelen tussen de logische en mechanische techniek door middel van sloten en sleutels, bij afwezigheid van de operator zijn de sloten in werking; DMZ tussen interne netwerk en internet; toegang vanaf internet alleen door middel van strong authentication, Breed gebruik van VPN verbindingen; Hoog autorisatie-niveau in SCADA-applicaties voor aansturing op afstand; Telemetrie wordt niet rechtstreeks, maar alleen via modem aan het netwerk verbonden; Jaarlijkse externe penetratietest gericht op eventuele zwakheden van het netwerk. Zowel van buiten naar binnen als van binnen naar buiten. Specifieke bevindingen uit de casestudie/site visits Aangezien het waterschap geen integrale risic0-analyse kent en ook geen integraal veiligheidsplan voorhanden is bestaat er intern geen normenset inzake veiligheid die bijvoorbeeld kan dienen als handvat voor bewustzijn van en gebruik door lokale operators. Bij de site visits bleken enerzijds basale beveiligingsmaatregelen te zijn aangebracht of getroffen maar anderzijds dat deze niet allemaal effectief waren. Onder meer username/password-combinaties bleken zichtbaar en in één geval was een specifieke veiligheidsmaatregel doorbreken wegens lokaal ongewenste neveneffecten. Op één HMI/SCADA-computer ontbrak een virusscanner met risico s op het nestelen van trojans. 25 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

26 4.4 Casestudie 2: Middelgroot waterschap Situatieschets De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor meerdere soorten waterstaatswerken zoals gemalen, rioolgemalen en zuiveringsinstallaties. Het waterschap kent een beheergebied van circa km2 met circa 100 voor deze casestudie relevante waterstaatswerken. Een groot deel hiervan wordt via SCADA aangestuurd. Het aantal werkzame fte bedraagt circa 250. Onderdeel van de casestudie was een site visit bij een grote, relatief nieuwe, afvalwaterzuiveringsinstallatie (AWZI). De site visit bij deze AWZI en haar lokale operators is uitgevoerd samen met de Security Officer en de Systeembeheerder Waterkwantiteit. Nota bene: procesautomatisering wordt bij dit waterschap de Technische Automatisering (TA) genoemd. Governance omtrent technische automatisering (procesautomatisering) Proceseigenaren zijn (eind)verantwoordelijk voor de SCADA-systemen die de betreffende processen ondersteunen. De rol van ICT in dit geheel is adviserend en faciliterend. ICT stelt wel de eisen en uitgangspunten inzake de platformen waar SCADA op draait. Bij ontwikkeling op het domein TA en SCADA wordt ICT betrokken. De organisatie kent geen specifieke functie of rol inzake SCADA. De systeembeheerders van ICT zijn verantwoordelijk voor de SCADA-systemen in termen van onderhoud en changemanagement. Bij de lokale operators is relatief gedetailleerde kennis aanwezig inzake het functioneren van PLC s, PLC-besturing en PLC-programmering. Deze kennis is opgedaan bij externe opleidingen en cursussen. Lokale operators zijn verantwoordelijk voor de directe aansturing van de afvalwaterzuiveringsprocessen en oplossen van storingen. Beslissingen daaromtrent mogen decentraal worden genomen alwaar ook de feitelijke aansturing (via de HMI/SCADA) van het waterstaatswerk plaatsvindt. Lokale operators zijn in staat van afstand (bijvoorbeeld via een tablet of laptop thuis) de SCADA van de eigen werkplek aan te sturen. Technisch Automatiseringsnetwerk De technische automatisering is gescheiden van de kantoorautomatisering (KA). Het actuele beveiligingsniveau van de TA wordt laag tot gemiddeld genoemd. Het actuele beveiligingsniveau van de KA wordt zeer hoog genoemd. De beveiligingsniveaus van TA en KA wijken derhalve van elkaar af. Centraal bekende kwetsbaarheden inzake de TA zijn onder meer het gebruik van zeer eenvoudige passwords, het gebruik van een onvoldoende veilige remote access applicatie en het niet voorzien in logging van activiteiten. Communicatie met de PLC s van de gemalen, zuiveringsinstallaties en andere waterstaatswerken vindt vanuit het TA-netwerkplaats plaats via Cloud/private APN en private glasvezelnetwerk, de hoofdlocaties zijn door middel van het glasvezelnetwerk met elkaar verbonden. Het waterschap heeft recent een supportcontract voor haar SCADA afgesloten waardoor nieuwe versies van de SCADAsoftware, middels downloading, snel ter beschikking komen te staan. SCADA-software voor kwantiteitsbeheer kan (lokaal) worden aangepast: het beheer is in eigen huis. Het beheer van de SCADA-software voor kwaliteitsbeheer, inclusief patching en upgrading, is uitbesteed aan de externe leverancier. Een werkgroep is bezig met het thema van mobility met als doel het op afstand kunnen bedienen van SCADA via mobile devices te faciliteren. Tot op heden hebben zich geen security-incidenten ten aanzien van de technische automatisering voorgedaan. 26 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

27 Risico- en bedreigingsmanagement Framework risicomanagement Het waterschap heeft, in aanvulling op het reeds aanwezige en gestructureerde financieel risicomanagement, in 2013 een uitgebreide risicoanalyse uitgevoerd inzake informatieveiligheid. De Security Officer heeft deze risicoanalyse aangestuurd, beheert de resultaten en initieert de verbeteracties. Doel van het waterschap inzake informatieveiligheid is het op termijn kunnen voldoen aan de BIWA. De uitgebreide en uitgewerkte risicoanalyse inclusief maatregelen is vastgelegd in het Informatiebeveiligingsplan. Dit plan is door de directie vastgesteld, de opvolging en voortgang wordt systematisch vastgelegd in een, van het informatiebeveiligingsplan afgeleid Excelbestand. De technische automatisering maakt deel uit van de risicoanalyse. Er is derhalve een integrale risicoanalyse aanwezig inzake informatieveiligheid en te treffen maatregelen. De maatregelen worden momenteel stapsgewijs ingevoerd. Er is nog onvoldoende aandacht besteed aan risico-awareness op site-niveau. Een belangrijke voorgestelde maatregel zijnde het creëren van een incident-responseteam is onderhanden. Maatregelenset Met betrekking tot TA is er nog geen formele set aan maatregelen geïmplementeerd. Wel kent men een aantal basis security-afspraken die zijn gemaakt direct na de zaak Veere. Deze afspraken zijn als volgt (bron waterschap, letterlijke teksten): Windows lock na opstart van het systeem en na x tijd niet gebruikt; Een degelijk password voor inlog niet zijnde bijvoorbeeld welkom01; Symantec virus-scan installeren en beheren; Scada voorzien van persoonlijke inlog zodat ook wijzigingen\parameter instellingen op naam gelogd kunnen worden; Toegang van buiten\thuis via de ICT\KA security dus portaal met token enz. Uit de bovengenoemde uitgebreide risico-analyse van 2013 zijn 6 risico s benoemd die specifiek betrekking op de Technische Automatisering. Voor alle 6 risico s zijn beheersmaatregelen opgesteld en wordt de status daarvan periodiek gemeten. Daarnaast zijn vanuit de benoemde risico s en beheersmaatregelen aanbevelingen uitgewerkt ter actualisatie en completering van het informatiebeveiligingsplan van het waterschap. De 6 risico s zien op (1) toegang tot locaties met TA, op (2) de continuïteit van de TA in termen van energievoorziening, op (3) TA-apparatuur buiten de eigen terreinen, op (4) de beheersing van de operationele programmatuur, op (5) de bescherming van testdata en op (6) procedures voor wijzigingsbeheer. Specifieke bevindingen uit de casestudie Uit de site visit bij de AWZI komt een aantal specifieke zaken naar voren. Ten eerste blijkt dat de lokale operators goede kennis hebben van de SCADA en gebruikte PLC s. De lokale operators zijn ook goed op de hoogte van de kwetsbaarheden van de in gebruik zijnde SCADA-software en de (remote) communicatieapplicaties. Enerzijds heeft dit een positieve kant omdat door de één van de operators zelf een specifieke security-maatregel was getroffen om bepaalde toegangsrisico s te beperken (een eigen verzwaarde password instelling op een SCADA-applicatie. Anderzijds blijkt dat men in staat is om ongeautoriseerd op de eigen mobiele telefoon en thuiscomputer besturingssoftware te plaatsen waarmee de SCADA op de werkplek kan worden bediend. Ten tweede bleek dat een aantal basale, intern afgesproken, veiligheidsmaatregelen niet werking waren: op een aantal werkstations met SCADA was geen virusdetectie geïnstalleerd en er was geen automatische screen-locking geactiveerd. Daarnaast bleek dat dat er geen sprake van automatische uitlogging uit SCADA-applicaties: eenmaal ingelogd blijft ingelogd. 27 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

28 4.5 Bevindingen uit de casestudies Op basis van de casestudies kan nu ook deelvraag 2 van het onderzoek worden beantwoord. Deze deelvraag gaat over de wijze waarop beheerders van waterstaatwerken in de praktijk omgaan met de veiligheidsrisico s van ICS/SCADA. Uit de casestudies komen de volgende bevindingen: De beheerders van waterstaatswerken zijn zich bewust van het feit dat er specifieke risico s spelen inzake ICS/SCADA in relatie met IT-netwerken en internet; Bij beide waterschappen werd de zaak Veere in 2012 (bijlage 1) genoemd als reden om een quick scan risicoanalyse uit te voeren, respectievelijk om specifieke security-afspraken te maken; De BIWA was bij beide waterschappen mede een reden om ICS/SCADA security (nader) op de managementagenda te zetten; vertegenwoordigers van beide waterschappen zijn betrokken bij landelijke werkgroepen in relatie met de verdere ontwikkeling van de BIWA; Bij één waterschap was recent een integrale risicoanalyse informatieveiligheid uitgevoerd waar ook ICS/SCADA onderdeel van uitmaakt. Bij het andere waterschap dateerde de meest recente risicoanalyse (quick scan) uit 2012, geïnitieerd vanwege Veere ; Risicomanagement inzake ICS/SCADA staat nog in de kinderschoenen, bedreigingsmanagement past men in het geheel nog niet toe. Er was geen specifiek ICS-SCADA normenkader voor security opgesteld en/of in gebruik. Bij beide waterschappen is, ten aanzien van de reguliere IT-omgeving (kantoorautomatisering) en de koppeling daarvan met internet, sprake van een uitgebreide set aan technische securitymaatregelen; Beide waterschappen hebben vanuit de ICT-functie specifieke security-maatregelen voor ICS/SCADA gedefinieerd en (deels) getroffen. Deze maatregelen zijn hoofdzakelijk technisch van aard; Wat betreft het op afstand besturen van de ICS/SCADA zelf (mobility) zijn beide waterschappen daar reeds vergaand mee bezig in termen van planvorming c.q. (voltooide) implementatie; Lokale operators worden weinig tot niet betrokken bij het ontwikkelen van een securitymaatregelen voor ICS/SCADA; Bij één van de site visits bleken lokale operators over zeer ruime PLC-ervaring te beschikken ten aanzien van architectuur, aansturing, communicatieprotocollen en het kunnen programmeren van PLC s; Op site niveau bleek bij beide casestudies dat een aantal basale security maatregelen niet waren getroffen dan wel buiten gebruik te zijn gesteld of dat specifieke interne afspraken over security niet werden nagekomen. Men vertrouwt er ook op dat ingeval van security-incidenten inzake ICS/SCADA men tijdig via fysieke handelingen kan bijsturen c.q. de schade kan beperken: handmatig aan-/uitzetten. 28 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

29 4.6 Conclusies uit het praktijkonderzoek Beheerders van waterstaatswerken zijn steeds meer bekend met de veiligheidsrisico s van ICS/SCADA. De zaak Veere heeft de bewustwording daaromtrent in 2012 versneld. De zaak Veere kwam tijdens de casestudies ook aan de orde en heeft ook tot zichtbare stappen geleid op het gebied van risicomanagement. ICS/SCADA is een thema dat anno 2014 op agenda is komen te staan van de beheerders van waterstaatswerken, gedreven door onder meer de BIWA en publiciteit in de media. Naast de constatering dat risico-management gericht op ICS/SCADA nu plaatsvindt, is een tweede constatering dat de IT-functie in beide situaties een scala aan technische maatregelen heeft geïnitieerd. Dit betreffen overigens wel IT- securitymaatregelen waarmee een deel van de ICS/SCADA security risico s wordt afgedekt. Heel specifieke ICS/SCADA security-maatregelen zijn nog weinig tot niet getroffen. De derde conclusie is dat er bij beide waterschappen niet sprake was van een integraal ICS/SCADA beveiligingsplan inclusief aandacht voor ontwikkelingen, security-awareness en aandacht voor heel specifieke ICS/SCADA security issues. Een vierde conclusie is dat op site-niveau sprake was van het niet altijd voldoen aan afgesproken securitymaatregelen zoals bijvoorbeeld het geheimhouden van passwords en het gebruiken van virusscanners. 29 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

30 5. Essentiële leerpunten uit het onderzoek en reflectie 5.1 Inleiding De derde en laatste deelvraag van dit onderzoek gaat over welke essentiële leerpunten nu zijn te destilleren ten aanzien van de digitale (on)veiligheid van waterstaatswerken en mogelijke maatregelen ter mitigatie van de geconstateerde risico s. In paragraaf 2 wordt daartoe een synthese tussen theorie en praktijk uitgewerkt, in paragraaf 3 volgen de leerpunten in de vorm van een tweetal scenario s, in paragraaf 4 wordt kort op de rol van de IT-auditor ingegaan en tot slot volgen aanbevelingen voor nader onderzoek (paragraaf 5) en de persoonlijke reflectie (paragraaf 6) 5.2 Synthese tussen theorie en praktijk De synthese van dit referaat bestaat uit het bij elkaar brengen van het theoretische deel van het onderzoek en de casestudies als praktijkonderzoek. Gekozen is om deze synthese te formuleren in termen van opvallende overeenkomsten en verschillen tussen theorie en praktijk. Opvallende overeenkomsten tussen theorie en praktijk ICS/SCADA security bij waterstaatswerken blijkt zowel vanuit de theorie als vanuit de praktijk een complexe problematiek waar geen one size fits all oplossing voor bestaat. De ontwikkelingspatronen van ICS/SCADA zoals geschetst in hoofdstuk 3, de risico s omtrent ICS/SCADA security en de actuele ontwikkelingen zoals mobility komen ook terug in de casestudies. Vanuit de theorie is nog geen allesomvattend kader ontwikkeld zoals een integraal security ICS/SCADA framework die toepasbaar is voor alle beheerders van waterstaatswerken, hoewel met de BIG en BIWA de eerste stappen zijn gezet. Lopende onderzoeken zoals Veilig Water, interventies van de overheid en diverse publicaties maken vanuit de theorie duidelijk dat er nog geen gezamenlijke route is om ICS/SCADA security problemen grondig aan te pakken ter preventie van mogelijke majeure incidenten. Uit de praktijk blijkt ook op organisatieniveau nog geen intern gezamenlijk pad is om ICS/SCADA security grondig aan te pakken. Hier sluiten de theorie en de praktijk op elkaar aan. Dit geldt eveneens voor het thema van securityawareness. Uit de theoretische verkenning blijkt dat awareness zijn intrede heeft gedaan, in de praktijk geldt hetzelfde. Risicoanalyses in de theorie blijken nog voor het overgrote deel te wijzen op de technische kwetsbaarheden en technische maatregelen. Security awareness en bedreigingsmanagement blijven daarin nog onderbelicht. Ook dit punt sluit de praktijk aan op de theorie. Opvallende verschillen tussen theorie en praktijk Zoals blijkt uit dit onderzoek zijn er in de literatuur inmiddels veel analyses te vinden van ICS/SCADA- problemen, kwetsbaarheden, risico s, securitymaatregelen etc. Er zijn echter twee belangrijke punten die in de praktijk wel naar voren komt maar in de theorie nog onderbelicht blijven of niet worden. Het eerste punt betreft de permanente afweging in de praktijk tussen de ontwikkeling van nieuwe functionaliteit versus de ontwikkeling van security. De neiging om prioriteit te blijven leggen op functionaliteit is uiteraard groot. Deze afweging wordt in de theorie niet genoemd. 30 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

31 Een tweede punt betreft het kennis- en kostenaspect. Specifiek voor Nederland blijkt dat de verantwoordelijkheid van de mogelijk duizenden waterstaatswerken en ICS/SCADA-systemen is verdeeld over meer dan 20 waterschappen en een aanzienlijke groep van gemeenten. Al deze organisaties beschikken niet over specifieke ICS/SCADA-experts en de kosten om deze experts aan te trekken, in dienst te hebben en op te (blijven) leiden zijn (te) hoog. Dat geldt ook voor eventuele inhuur van deze kennis en kunde. Dat zou ook macro gezien niet efficiënt en niet effectief zijn. Op micro-niveau geldt het kostenvraagstuk overigens ook in termen van wie de securitykosten in eerste instantie gaat dragen: IT of de business in de persoon van de proceseigenaar. 5.3 Leerpunten digitale veiligheid waterstaatswerken Het belangrijkste leerpunt uit het onderzoek naar de digitale veiligheid van waterstaatwerken is dat er nog een (hele) lange weg te gaan is om tot een situatie te komen waar sprake is van in control zijn ten aanzien van ICS/SCADA security. Dit geldt op microniveau (waterstaatswerken, waterschap, gemeente) maar zeker ook op overstijgend landelijk niveau. Daarbij is relevant dat de complexiteit hoog is en er enerzijds geen one size fits all - oplossing bestaat en dat anderzijds ook sprake is van digitale veiligheid als een bewegend doel (moving target). Met dit laatste wordt bedoeld dat momenteel de technische ontwikkelingen en wensen zo snel gaan dat voorgenomen of getroffen security-maatregelen al snel verouderd of achterhaald blijken te zijn. Dit, in combinatie met de financiële druk die vrijwel alle organisaties momenteel voelen, leidt tot de situatie waarin security van ICS/SCADA bij waterstaatwerken nog geen grote prioriteit of urgentie kent. Dat neemt niet weg dat de eerder geconstateerde risico s en kwetsbaarheden onverminderd blijven bestaan en mogelijk zelfs toenemen in het licht van de mobiliteit-bewegingen zoals ICS/SCADA aansturing vanuit huis. Maar hoe nu verder? Om deze vraag te beantwoorden is een tweetal realistische scenario s ontwikkeld op weg naar meer digitale veiligheid voor ICS/SCADA bij waterstaatswerken. Deze scenario s zijn ontwikkeld op basis van de bevindingen van dit ICS/SCADA onderzoek: 1. Het incrementele ICS/SCADA security-scenario; 2. Het versnelde ICS/SCADA security-scenario. Scenario 1: Het incrementele ICS/SCADA security-scenario In dit eerste scenario is sprake van continuering van de bestaande praktijk op weg naar meer adequate security voor de ICS/SCADA van waterstaatswerken. In dit scenario blijft de focus van de beheerders van waterstaatswerken nog voornamelijk liggen op het ontwikkelen van nieuwe, betere of snellere ICS/SCADA-functionaliteit zelf, zoals het toepasbaar maken van ICS/SCADA voor vergaande vormen van mobilititeit. De BIG voor gemeenten en de BIWA voor waterschappen zullen in dit scenario de belangrijkste drivers zijn om uiteindelijk tot een meer coherent en integraal security-pakket te komen voor ICS/SCADA. Dit security-pakket is daarbij dan een onderdeel van een integraal en organisatiebreed informatieveiligheidsbeleid zoals de BIG en BIWA dat voorstaan. In dit scenario bestaat het risico dat actuele ICS/SCADA ontwikkelingen en de aard en omvang van bedreigingen sneller gaan dan de ontwikkeling van security kan bijhouden. 31 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

32 Een globale inschatting van de duur van bewandelen van deze incrementele weg, gemaakt mede op basis van de vijf ontwikkelingsfasen van paragraaf 2.4 en de ervaringen uit de casestudies komt op zeker een periode van één tot twee decennia. De onzekerheid die aan deze tijdsraming is verbonden ligt met name op het vlak het eerdergenoemde moving target: ontwikkelingen van ICS/SCADA functionaliteit kunnen sneller gaan dan de ontwikkelingen van security-maatregelen waardoor de kloof niet kleiner kan worden gemaakt of gedicht. Scenario 2: Het versnelde ICS/SCADA security-scenario In dit tweede scenario doet zich binnen enkele jaren, dus op relatief korte termijn, één of meer significante of zelfs ernstige cybersecurity-incidenten voor op het gebied van ICS/SCADA bij waterstaatswerken. Deze incidenten leiden in dit scenario tot schade en onrust en tot een grote versnelling op de weg naar meer adequate security voor ICS/SCADA van waterstaatswerken. Deze versnelling zal in dit scenario enerzijds door beheerders van de waterstaatswerken zelf worden geïnitieerd om verdere of nieuwe schade te beperken en te voorkomen. Aan de andere kant zal de overheid ICS/SCADA security versneld gaan afdwingen door middel van bijvoorbeeld wetgeving in combinatie met toezicht en inspectie. In dit scenario zullen de BIG en BIWA en bestaande instrumenten zoals de checklijsten van het NCSC ontoereikend blijken om de vereiste versnelling te kunnen faciliteren. Een robuust en relatief gedetailleerd normenkader voor ICS/SCADA security bij waterstaatswerken zal daarvoor in de plaats nodig zijn als detaillering van een vergaand wettelijk kader. 5.4 Rol voor de IT auditor(s) Dit referaat is geschreven in het kader van de Post Graduate Opleiding IT Audit, Compliance & Advisory. Het is dan ook interessant vast te stellen in het kader van de leerpunten of en zo ja welke rol de IT auditor kan spelen bij het vraagstuk van cybersecurity van waterstaatswerken. Om dit vast stellen dient eerst te worden bepaald welke rollen een IT auditor in dit kader kan spelen. Dit zijn de volgende: 1. De interne IT auditor die audits en onderzoek uitvoert naar informatieveiligheid in brede of specifieke zin; 2. De externe IT auditor in het kader van de jaarrekeningcontrole; 3. De externe IT auditor die een specifieke audit uitvoert op informatieveiligheid in brede zin (bijvoorbeeld in het licht van de BIG of BIWA) of in specifieke zin (in casu de security van ICS/SCADA van waterstaatswerken); 4. De externe IT auditor die optreedt als adviseur inzake informatieveiligheid en/of ICS/SCADA; 5. De IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied van ICS/SCADA. Voor interne IT auditor is sprake van een relevant thema die hij (/zij) op de agenda kan zetten voor het management van de beheerders van waterstaatswerken. De rol van de IT auditor zal met name kunnen liggen in het opzetten van een specifiek normenkader die gebruikt kan worden voor ontwikkeling en auditing van ICS/SCADA security. Gezien de soms zeer specifieke en unieke waterstaatswerken die er bestaan kunnen dan zelfs op site-level deelnormenkaders worden ontwikkeld. 32 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

33 Voor de externe IT auditor in het kader van jaarrekeningcontrole is er minder snel een rol vast te stellen. ICS/SCADA gaat immers niet over financiële data die relevant zijn voor de jaarrekening. Een rol zou kunnen zijn dat deze IT auditor vaststelt dat de beheerders voldoen aan bijvoorbeeld BIG en BIWA, een andere rol zou kunnen zijn dat de IT auditor nagaat of ICS/SCADA risico s in de praktijk zo groot zijn dat de betrouwbaarheid en continuïteit van de geautomatiseerde gegevens in gevaar komt. Dit lijkt (te) vergezocht. De externe IT auditor die een specifieke audit uitvoert zal in deze rol veel aandacht moeten schenken het normenkader dat gebruikt gaat worden en het realistische tijdspad om te kunnen voldoen aan de daarin beschreven normen. Het is in deze rol van belang te beseffen en vooraf te communiceren dat de kans reëel is dat de audits niet direct tot positieve oordelen zullen leiden, maar dat dat een proces van jaren kan zijn. De externe IT auditor die optreedt als adviseur heeft gegeven de uitkomsten van dit onderzoek een grote potentiële markt voorhanden, maar zal moeten waken voor een aantal zaken in zijn beroepsuitoefening. Deze zaken zijn: over specifieke kennis en ervaring beschikken inzake ICS/SCADA, geduld hebben en diep leren inzoomen op de specifieke ICS/SCADA constellaties die het object van advies zijn waarbij site visits onontbeerlijk zijn. Tot slot de IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied. Uit dit onderzoek blijkt dat er vele interessante thema s zijn voor nader onderzoek (zie ook de volgende paragraaf). Tevens blijkt dat er reeds onderzoeksinitiatieven lopen. De rol van dit type IT auditor kan zijn dat een bijdrage wordt geleverd aan het ontwikkelen van integrale ICS/SCADA normenkaders (voor waterstaatswerken) en/of voor het mede ontwikkelen van ketenoptimalisatie rondom ICS/SCADA waarin alle relevante stakeholders worden betrokken. 5.5 Aanbevelingen voor nader onderzoek Dit onderzoek naar de digitale veiligheid van waterstaatwerken heeft geleid tot een serie van interessante bevindingen en conclusies. Tegelijkertijd blijkt sprake van een complex security-domein waar een groot aantal stakeholders betrokken is zoals beheerders van waterstaatswerken, ICS/SCADA-leveranciers, overheid, adviseurs en onderzoekers. Binnen dit domein en naar aanleiding van dit onderzoek kunnen in ieder geval de volgende thema s aan de orde worden gesteld die de aanbeveling verdienen om nader onderzocht te worden: Hoe kan de samenwerking tussen alle stakeholders op het gebied van ICS/SCADA security van waterstaatswerken zodanig worden georganiseerd dat sprake is van een gezamenlijke win-win-situatie? Hoe is het mogelijk tot om tot standaardisatie te komen van technieken in termen ICS/SCADA-software en communicatieprotocollen alsmede van de patching- en upgradeprocessen, naast effectieve en specifieke security-frameworks? Hoe kan in Nederland het bedreigingsmanagement van ICS/SCADA bij waterstaatswerken het meeste effectief en efficiënt worden vormgegeven? Hoe zit de landelijke business case er uit voor ICS/SCADA effectieve security bij waterstaatswerken in termen van te beveiligen componenten, de financiële waarden en de (financiële) kwantificering van bedreigingen? 33 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

34 5.6 Reflectie op het onderzoeks- en leerproces Tot slot van dit referaat mijn persoonlijke reflectie op het onderzoeks- en leerproces en mijn inschatting welke van de twee scenario s uit paragraaf 5.3 het meest realistische is. Menig maal is in dit referaat de zaak Veere aan de orde gekomen: een televisierapportage over de gemeente Veere en haar slecht beveiligde SCADA die schetst hoe eenvoudig het is om sluizen, bruggen en gemalen te manipuleren waardoor grote schade kan ontstaan. Een rapportage die landelijk tot veel onrust en publiciteit heeft geleid. Gedurende mijn onderzoek is mij gebleken dat de achterliggende situatie van ICS/SCADA daarentegen niet eenvoudig maar juist bijzonder ingewikkeld is en dat er geen snelle en eenvoudige oplossingen voorhanden zijn. Via Veere is met dit onderzoek een domein betreden dat actueel, gevarieerd en complex is, getuige alleen al de literatuurlijst op de volgende pagina s als een samenvattende representatie van vele onderzoeken, artikelen en weblogs die recent over SCADA-risico s zijn verschenen. Een boeiend domein omdat het de directe wereld om ons heen (bruggen, sluizen, gemalen, water) direct verbindt met techniek, mechaniek, internet en security. Een boeiend domein ook omdat het laat zien dat actuele ontwikkelingen op IT gebied grote impact kunnen hebben op ICS/SCADA-systemen die soms decennia geleden zijn ontwikkeld en in gebruik zijn genomen. Als reflectiepunt kan ik dan ook zeggen dat het van belang is en blijft om bij toekomstige ICS/SCADA-ontwikkelingen altijd flexibiliteit in te bouwen, dit kan zijn flexibiliteit in de architectuur of in IT- en OT-componenten zelf, dan wel de flexibiliteit om ICS/SCADA-constellaties snel en tegen aanvaardbare kosten te kunnen vervangen. Dit vereist een ketenaanpak, waar alle partijen samen zullen moeten werken. Een ketenaanpak die mogelijk kan leiden tot herontwerp van ICS/SCADA in het licht van security. Een tweede reflectiepunt betreft het proces van het onderzoek. In veel situaties bestaat praktijkonderzoek uit, naast documentstudie, enquêteren en/of het uitvoeren van een aantal interviews. Voor dit onderzoek heeft naast de interviews alle nadruk gelegen op de site visits bij sluizen, gemalen en afvalwaterzuiveringsinstallatie en de aansturing daarvan. Op deze wijze kon een totaalbeeld worden verkregen van ICS/SCADA in de praktijk en de securitymaatregelen die wel en soms ook niet in gebruik waren. De casestudies zijn onmisbaar geweest in mijn onderzoek. De site visits waren daarnaast ook voor alle anderen betrokkenen van de waterschappen zelf leerzame momenten van inventarisatie, kennisuitwisseling en dialoog met ongetwijfeld nog interne discussie en opvolging. Ter afsluiting mijn mening over de twee in paragraaf 5.3 geschetste scenario s. Ik denk, alles afwegende, dat scenario 2 het meest realistische is. Mijn verwachting is dat zich één of meer ernstige cyber-security-incidenten op het gebied van waterstaatswerken zullen voordoen die uiteindelijk de security als geheel zullen versnellen: het versnelde ICS/SCADA securityscenario. Één geruststelling daarbij: alle operators bij de site visits gaven aan nog steeds handmatig te kunnen interveniëren in de regeltechniek en de mechanica. Ze moeten er dan wel fysiek tijdig bij zijn. 34 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

35 Literatuuroverzicht Bloem, W.J. en Blokzijl, J. (redactie), 2012, Sluizen, gemalen en bruggen slecht beveiligd, Éénvandaag, t_beveiligd, geraadpleegd 14 september (zie ook Bijlage 1). CPNI.NL, 2012, Beveiliging van legacy procescontrolesystemen, op weg naar veilige procescontrolesystemen, White Paper Platform voor Cybersecurity, versie februari GEENSTIJL, 2013, WTF! Hackers kunnen heel Nederland platleggen, geraadpleegd 14 september Gils, van W., 2012, Process Control Frameworks which frameworks are available for PCS s and how do companies use these frameworks, Thesis PGO IT audit, VU Amsterdam. Larkin, R.D., 2012, Evaluation of traditional security solutions in the SCADA environment, Thesis Air Force Institute of Technology, Ohio, USA. Luiijf, H.A.M., 2008, Beveiliging procescontrole is een onderbelicht onderwerp, Vakblad Informatiebeveiliging nummer , Platform voor Informatiebeveiliging. Luiijf, H.A.M., 2012, Onbewust onveilig, Vakblad Informatiebeveiliging nummer , Platform voor Informatiebeveiliging. Molenaar, M. 2003, De performance van web enabled telemetrie, KNW, Neerslag Magazine (2003), geraadpleegd 28 september Nl.wikipedia.org, 2013, lemma SCADA, geraadpleegd 14 september NCSC, 2012, Beveiligingsrisico s van on-line SCADA systemen, Factsheet FS NSCS, 2012, Checklist beveiliging van ICS/SCADA0-systemen, PDF bestand, via: geraadpleegd 14 september NSCS, 2013, Cybersecuritybeeld Nederland 3 CSBN-3, geraadpleegd 14 september CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

36 Norlander, J., 2009, What is special about SCADA system cyber security? A comparison between existing SCADA system security standards and ISO 17799, Master Thesis Report in collaboration with Department of Industrial Information and Control Systems Royal Institute of Technology and Svenska Kraftnät, Stockholm, Zweden. Ouchn, N.J. 2013, New SCADA Default Passwords added to DPE xml Database, geraadpleegd 28 september Peters, J., 2013, SCADA Systems: Myths, Inaccuracies and Chaos Surrounding Our Critical Infrastructure, geraadpleegd 27 september Radvanovsky, R. en Brodsky, J., 2013, Handbook of SCADA / Control Systems Security, CRC Press Taylor & Francis Group, USA. Reijerman, D., 2012, Nederlandse scada-systemen zijn kwetsbaar voor aanvallen, Tweakers.net, geraadpleegd 20 september Schellevis, J., 2012, Scada-beveiliging: een structureel probleem system, Tweakers.net, geraadpleegd 27 september Schellevis, J., 2012, Onderzoekers vinden 20 bugs in scada-systemen Siemens, geraadpleegd 27 september Schoemaker, R., 2012, Kabinet niet verantwoordelijk voor lekke SCADA, Webwereld.nl, geraadpleegd 27 september Schoemaker, R., 2012, Minister: SCADA-systemen van het Rijk zijn veilig, Webwereld.nl, geraadpleegd 27 september Schoemaker, R., 2012, SCADA-leveranciers nemen security niet serieus, Webwereld.nl, geraadpleegd 27 september Schoemaker, R., 2013, Kwetsbare SCADA-systemen in kaart gebracht, Webwereld.nl, geraadpleegd 27 september Security.nl, 2012, Nederlandse bruggen kwetsbaar voor hackers, tml, geraadpleegd 27 september CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

37 Security.nl, 2012, Nederlandse hacker onthult open SCADA-systemen, geraadpleegd 16 september 2013 Security.nl, 2012, Gapend gat bij honderden SCADA-leveranciers, geraadpleegd 27 september Security.nl, 2013, SCADA- leverancier verhelpt backdoor na anderhalf jaar, geraadpleegd 27 september Stouffer, K., Falco, J., en Scarfone, K., 2011, Guide to Industrial Control Systems Security; Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC); Recommendations of the National Institute of Standards and Technology, NIST, Special Publication , USA. Trouw, 2012, Kinderlijk eenvoudig om vanuit huis een sluis te bedienen, geraadpleegd 14 september Ward, M., 2012, How to hack a nation s infrastructure, BBC News Technology, geraadpleegd 14 september Watervragen, 2012, Water ABC, geraadpleegd 7 oktober Zwaap, R., 2011, Nederland kwetsbaar voor cybercriminaliteit De wereld na Stuxnet, Public Mission, geraadpleegd 27 september Yin, R.K., 2013, Case Study Research Design and Methods, 5 th edition, SAGE Publications, USA 37 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

38 Overzicht interviews SCADA-experts en overige SCADA expert / betrokkene Rol / functie Onderwerp Datum Interview De heer O.Koeroo KPN CISO Red Team De technische details van casus Veere (casus bijlage 1) De heer H.Wubs Manager Engineering & Development van een SCADAleverancier ICS en SCADA security vanuit het blikveld van een supplier en engineer De heer S.de Vries Manager Operations van een SCADA-leverancier ICS en SCADA security vanuit het blikveld van een supplier en engineer De heer S.Hernando CISA CISM CISSP CRISC GCFA Senior Manager Security & Privacy Deloitte Risk Services Industrial Control System security vanuit het blikveld van consultancy De heren DP, VRH en SJ (en lokale SCADAoperators) van waterschap uit casestudie 1 Concerncontroller, beleidsadviseur/coördinator automatisering en proceseigenaar SCADA bij waterschap Meerdere gesprekken in december 2013 en januari 2014 De heren SF, ME, DR en WF van waterschap casestudie 2 Security Officer, Systeembeheerder Waterkwantiteit en lokale SCADA-operators SCADA bij waterschap Meerdere gesprekken in februari en maart 2014 Deloitte / Siemens seminar ICS/SCADA Security Intelligence Session. ICS security vanuit een praktisch perspectief. Presentaties en paneldiscussie. Sprekers: - Generaal (b.d). D. Berlijn, namens Deloitte; - De heer A. van der Touw, namens Siemens; - De heer S. Hernando, namens Deloitte; - De heer G. Bravenboer, namens Siemens; - Professor S. Etalle namens TU/e; - De heer J. Eikelboom, namens ENCS. 19 maart 2014 Zeist 38 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

39 Bijlage 1: EenVandaag : Sluizen, gemalen en bruggen slecht beveiligd EenVandaag: televisie reportage van 14 februari Bron: Bloem, W.J. en Blokzijl, J. (redactie), 2012, Sluizen, gemalen en bruggen slecht beveiligd, t_beveiligd Het blijkt kinderlijk eenvoudig om sluizen, gemalen, rioleringspompen en zelfs bruggen in Nederland via internet op afstand te bedienen. In EenVandaag een reportage die bijvoorbeeld laat zien hoe slecht de rioleringspompen en gemalen van de gemeente Veere zijn beveiligd. Met een paar simpele handelingen zijn ze vanaf een thuiscomputer te bedienen. De Nationaal Coördinator Terrorismebestrijding (NCTB) waarschuwt al enkele jaren voor de kwetsbaarheid van deze zogenoemde SCADA-systemen maar dat lijkt weinig te helpen. Beveiligingsexperts van instituut NIKHEF en kennisorganisatie TNO zeggen dat veel meer Scada-systemen in Nederland kwetsbaar zijn, variërend van parkeergarages en verwarmingssystemen tot complete bruggen en sluizen. Een nieuwe zoekmachine laat zelfs honderden Nederlandse systemen zien die met gemak te hacken zijn. In sommige gevallen zijn die beveiligd met een standaard wachtwoord, in andere gevallen is er in het geheel geen wachtwoord nodig om in de betreffende apparatuur binnen te dringen. Beveiligingsspecialist Oscar Koeroo, werkzaam bij het Nationaal instituut voor subatomaire fysica (NIKHEF) is geschokt. Over de situatie in Veere zegt hij: 'De machines staan bloot aan het internet. Er is geen beveiliging die ervoor zorgt dat alleen de beheerder toegang heeft'. 39 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

40 Niet slim Eric Luiijf, Scada-expert en onderzoeker bij TNO waarschuwt al jaren voor de gevaren van dit soort systemen. 'Vanaf 2001 ben ik hier al mee bezig en in 2005 hebben we de overheid zelfs al gewaarschuwd. Volgens hem hoef je geen ervaren hacker te zijn om in de systemen in te kunnen breken: Je hoeft hier helemaal niet slim voor te zijn, dat is juist het gevaarlijke'. Ernstige bedreiging De NCTB schreef in december 2011 nog over de gevaren van aanvallen op Scada-systemen: 'Dergelijke aanvallen vormen een potentieel ernstige bedreiging voor de nationale veiligheid wanneer zij de vitale infrastructuur (zoals energie, water, financiën) treffen. Bij dergelijke complexe aanvallen is het risico van maatschappelijke ontwrichting reëel'. In een reactie laat de NCTB weten bezorgd te zijn over de door EenVandaag ontdekte situatie en de organisatie staat de gemeente Veere bij om voor de uitzending van vanavond de systemen goed te beveiligen. Onderlopen Peter van Rooij, expert op het gebied van de waterhuishouding, is geschrokken. 'Als je dit niet goed beveiligd, dan loopt Nederland onder, zo kwetsbaar zijn we hier. Eric Luiijf van TNO benadrukt dat het gevaar nog niet eens van hackers hoeft te komen. 'De echter hacker, die denkt nog na over welke schade hij aanbrengt. De eerste de beste 13-jarige die binnenkomt en pompen uitzet veroorzaakt behoorlijke schade'. 40 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

41 Bijlage 2: ICS/SCADA systemen nader toegelicht Algemeen ICS/SCADA-systemen hebben als taak het centraal volgen, beheersen en aansturen van decentraal verspreide processen, besturingssystemen en middelen zoals sensoren, pompen, sluizen, gemalen etc. SCADA staat voor Supervisory Control And Data Acquisitie, zoals blijkt uit deze definitie speelt het inwinnen en opslaan van data ook een belangrijke rol. Een voorbeeld van ICS/SCADA is een centrale hoofdpost van een waterschap van waaruit sluizen en gemalen, gelegen in een groot geografiscg=h gebied, worden beheerst en aangestuurd. ICS/SCADA systemen zijn er in allerlei soorten, varianten, versies en er zijn veel ondernemingen die bezig houden met de ontwikkeling en het vermarkten van ICS/SCADA-systemen. Diverse organisaties beschikken ook over (vaak in het verleden) zelf ontwikkelde SCADA-systemen. In de kern gaat het bij ICS/SCADA om een permante loop waarin informatie over decentrale processen of activa wordt verzameld en naar de centrale ICS/SCADAserver wordt verzonden. Daar wordt de data opgeslagen, geïnterpreteerd en gevisualiseerd en gebruikt voor het aansturen of bijsturen van de decentrale processen en systemen. Dat laatste kan geheel automatisch dan wel door operators plaatsvinden. Basis componenten De basiscomponenten waaruit een ICS/SCADA-systeem bestaat zijn de volgende: SCADA-server of Master Terminal Unit (MTU) De SCADA-server of MTU is een component, een device, die dient als de zogenaamde master in of het hart van de SCADA-omgeving waarin de Remote Terminal Units (RTU s) of PCL s, die als slaaf dienen, zijn verbonden. De MTU kan RTU s volgen, beheersen en aansturen. Bij grote organisaties kan de MTU ook de vorm hebben van een grote control-kamer met schermen waarin de waterstaatswerken worden gevisualiseerd in actuele staat. Remote Terminal Unit (RTU) De RTU is een device of control systeem die een fysiek proces kan besturen en tegelijk kan communiceren met de MTU. In feite heeft de RTU de functionaliteit van een PLC maar kan daarnaast communiceren met de MTU via bijvoorbeeld Wi-Fi, GSM, Ethernet etc. Programmable Logic Controller (PLC) Een PLC is een controller die in staat is complexe (fysieke) processen aan te sturen, ingeval van waterstaatswerken stuurt de PLC de sluis-bewegingen aan. In de PLC zit specifieke programma-code voor het specifieke proces. Human-Machine Interface (HMI) De HMI betreft de hard- en software die er voor zorgt dat operators (dus mensen) het fysieke proces kunnen beheersen. De HMI kent daardoor een veelheid aan functionaliteit zoals het tonen van historische en actuele statusinformatie, het kunnen laten configureren van meetpunten, het alarmeren ingeval van dreigingen of noodsituaties, verwerken van handmatige input en interventies etc. 41 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

42 Data Historian Dit betreft een centrale database waarin alle verzamelde procesinformatie wordt opgeslagen. Dit ten behoeve van rapportage, (trend-)analyse, planning, procesverbetering etc. Sensor Een sensor is een device ten behoeve van metingen op veld-niveau. Bijvoorbeeld ingeval van een sluis betreft dit een device die de waterstanden meet en doorgeeft aan de PLC. Figuur 3: voorbeeld visualisatie ICS/SCADA 42 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

43 Bijlage 3: Praktijktoetsing actuele ontwikkelingen Ten behoeve van het onderzoek is op een aantal momenten in het najaar van 2013 door middel van google-searches nagegaan welke informatie over specifieke ICS/SCADA systemen publiek te vinden was (reconnaissance). Deze praktijksearch leverde een aantal bevindingen op: Een aantal waterschappen maakt direct of indirect (bijvoorbeeld via een vakblad) informatie over hun ICS/SCADA-omgeving openbaar; Leveranciers van ICS/SCADA-systemen maken specifieke informatie van ICS/SCADAomgevingen van bij naam genoemde cliënten openbaar, met name door deze als referentie te publiceren; Werknemers en IT-consultants maken specifieke informatie over ICS/SCADA-constellaties openbaar, bijvoorbeeld in hun Linked-in profielen. Onderstaand zijn hits van twee eenvoudige Google-searches opgenomen. Het eerste voorbeeld toont, op basis van zoekterm SCADA [naam waterschap X], de eerste vier hits van hits met publieke informatie over: Het type in gebruik zijn ICS/SCADA-pakket inclusief leverancier. Op de website van deze leverancier zijn overigens gedetailleerde productspecificaties te downloaden; Interne activiteiten ten aanzien van autorisatie-niveaus en daarmee het impliciet creëren van aanleidingen en uitdagingen voor hackers om die niveaus te doorbreken; Het integrale informatiebeleid inclusief SCADA van het waterschap X NAAM SCADAPAKKET EN LEVERANCIER BEKEND KWETSBAARHEDEN BEKEND EN CREËREN UITDAGINGEN VOOR HACKERS INTEGRALE NFORMATIEBELEIDS- PLAN ONLINE INCL SCADA 43 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY

44 Het tweede voorbeeld toont de samenvattingen van de Linked-in profielen van een drietal personen, op basis van de Google- zoekterm SCADA [Waterschap Y] 44 CYBERSECURITY BIJ WATERSTAATSWERKEN PGO IT AUDIT, COMPLIANCE & ADVISORY