Behandel vitale infrastructuren niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbindt deze aan een veilig circuit waar hackers niet bij kunnen. Dat is één van de belangrijkste aanbevelingen uit het omvangrijke rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands.

Het rapport is opgesteld door de Universiteit Twente in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid. ‘Vergeet de klassieke terroristische aanslag’, stellen de onderzoekers. De nieuwste aanvallen komen volgens hen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. De laatste jaren is tijdens alle grote wereldwijde conferenties voor digitale beveiliging vaak dezelfde boodschap te horen. ‘We hebben heel veel geld besteed aan onze digitale weerbaarheid, maar het heeft onvoldoende gewerkt. We winnen niet’, zei Alex Dewdney, binnen de Britse inlichtingendienst verantwoordelijk voor de digitale veiligheid recent nog.

Hackers
Zijn deze zorgen reëel? Kunnen hackers inderdaad ziekenhuizen en elektriciteitscentrales platleggen? “Jazeker”, zegt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente. “Er zijn de laatste jaren soortgelijke voorbeelden. Denk aan het incident in Oekraïne. Het oosten van dat land werd getroffen door een stroomstoring die honderdduizenden mensen trof. Uit onderzoek bleek dat dit het werk was van hackers, mogelijk uit Rusland.”
Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Pras en zijn onderzoeksgroep in Twente wonnen een zogenaamde ‘call’ van de Nederlandse overheid, een opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen.

Hobbyist
“Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software gebruiken de systemen en kan je ze hacken. Zestig vitale systemen kennen meerdere zwakke punten en zijn te hacken. Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet”, aldus Pras.

Wat betekent dit?
Pras en zijn collega’s beschrijven in het rapport dat bovenstaande ontdekking twee dingen kunnen betekenen. “Allereerst kan je denken: dit is schokkend. Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiële aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.”

Politieke keuze
Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. “Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag.”
Pras pleit voor een ‘apart stukje internet dat losstaand te beheren is’. “Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.”

Het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), onderdeel van het Nederlands ministerie van Justitie en Veiligheid, uitgevoerd. Naast prof. Aiko Pras werkten vooral zijn collega’s dr. Jair Santanna, dr. Justyna Chromik en dr. Joao Ceron aan het rapport. Allen zijn onderzoekers binnen de vakgroep Design and Analysis of Communication Systems (DACS) van de faculteit EWI van de UT.