Nog veel te doen om PAC’s cyberweerbaar te maken
Dikke muren, kogelwerend glas en een veiligheidssluis zijn enkele van de verplichte maatregelen die een particuliere alarmcentrale moeten beschermen tegen aanvallen door criminelen. Maar is een PAC ook goed beschermd tegen hackers? Die vraag stond centraal tijdens een onlangs door Kiwa georganiseerd symposium.
Momenteel hebben PAC’s vooral te maken met de EN50518. Die norm gaat weliswaar ook in op informatiebeveiliging, maar de laatste versie is inmiddels 5 jaar oud en gaat voorbij aan ontwikkelingen als Security as a Service en cloudcomputing. Certificering conform deze norm kan ook niet voorkomen dat de PAC getroffen wordt door een ransomware-aanval.
Het is dus hard nodig dat er een wettelijk kader voor cybersecurity komt, aldus Bart Scholten, die teamleider is van het cybersecurityteam bij Kiwa. Zijn team helpt organisaties om cyberweerbaar te worden, onder andere door ethische hackers de cybersecurity te laten testen. Maar hoe kom je tot goede beveiliging tegen cybercriminelen? Over een jaar wordt de Cyberbeveiligingswet van kracht, die gebaseerd wordt op de NIS2. De NIS2 is een Europese richtlijn die vooral de vitale sectoren binnen de EU cyberweerbaar moet maken tegen digitale dreigingen. Ook bedrijven die diensten verlenen aan vitale sectoren kunnen (in)direct te maken krijgen met eisen vanuit de NIS2 en dus de Cyberbeveiligingswet. Organisaties als het Digital Trust Center (DTC) kunnen daarbij helpen. Verder zijn de ISO27001 en deIEC 62443 goede normenkaders die kunnen helpen met compliance. Daarnaast is in België het CyFun Framework ontwikkeld, een goed framework dat handvatten biedt en beschrijft hoe een organisatie aan NIS2 eisen kan voldoen.
Cybersecurityeisen
Cybersecurity is niet alleen voor PAC’s van belang, maar voor de hele ‘supply chain’ in de beveiliging. Dus ook voor installateurs en fabrikanten van apparatuur. Van de aanwezigen bij het symposium was nog vrijwel niemand in gesprek met leveranciers over cybersecurity. Er is volgens Bart Scholten dus nog wel wat te doen. Intussen wordt wel steeds meer met IoT-componenten en andere cybercrimegevoelige producten gewerkt. Hiervoor bestaan nog geen wettelijke cybersecurityeisen. Die komen er wel. De Radio Equipment Directive wordt van kracht voor draadloze producten. En er komen dus cybersecurityeisen voor gigantisch veel producten. Bijvoorbeeld alarmoverdragers zullen moeten voldoen aan standaarden als ETSI EN 303645 en EN 18031-x. Verder zullen op termijn alle digitale componenten moeten voldoen aan de Cyber Resilience Act, die naar verwachting eind dit jaar wordt gelanceerd en na een transitieperiode van kracht wordt.
Grote veranderingen
Er gaat veel veranderen voor de PAC’s, aldus productmanager Dio Kock van Kiwa. Hij ging tijdens het symposium in op hoe nieuwe normen worden ontwikkeld. De huidige 50518 voor PAC’s sluit niet meer aan op wat tegenwoordig voor PAC’s belangrijk is, nu communicatie steeds vaker via datacentra en de cloud verloopt. De uitdaging nu is het geschikt maken van de norm voor de komende 5 jaar.
De grootste dreigingen voor PAC’s zijn discontinuïteit en datalekken. Beide kunnen het gevolg zijn van een ransomware-aanval. Om die tegen te kunnen gaan worden de risico’s in kaart gebracht, waarbij niet alleen naar techniek wordt gekeken, maar ook naar de rol van de mens. Dreigingen komen ten slotte niet altijd van buitenaf. Ook wordt getoetst wie welke rechten heeft, of updates worden uitgevoerd en hoe op incidenten wordt gereageerd. “Het gaat een keer mis en dan kan je daar maar beter op voorbereid zijn”, aldus Kock. Wat geldt voor lokale systemen, geldt ook voor de cloud. Bekend moet zijn wie bij de cloudleverancier bij welke data kan komen. Aan elke leverancier zullen kritische vragen gesteld moeten worden met betrekking tot de cybersecurity van hun producten. “En kijk ook of back-ups werken en hoe lang het gaat duren om na een incident weer operationeel te worden.”
Bewakingscamera’s
Het is voor een cybercrimineel handig om over technische kennis te beschikken, maar noodzakelijk is dat niet. Kennis kan worden ingekocht en er zijn tal van hulpmiddelen verkrijgbaar, die ook door digibeten gebruikt kunnen worden, vertelde productmanager Kevin Veldman van Kiwa. Zo is het volgens hem niet moeilijk om het IP-adres van een organisatie te achterhalen en vervolgens te kijken welke poorten er open staan. Zo staat poort 8554 nogal eens open als de organisatie gebruikmaakt van digitale bewakingscamera’s. Met het online verkrijgbare programma Cameradar zijn dergelijke openstaande poorten eenvoudig te vinden.
Als vergeten is de authenticatie van de camera’s in te stellen – en dat gebeurt nogal eens – kunnen de beelden worden bekeken. Maar dat is nog niet het ergste. Eenmaal binnen op het netwerk kan men eenvoudig op zoek gaan naar andere kwetsbaarheden. En wie dat niet snapt, vindt handleidingen op Github. Met een eveneens daarop te vinden ‘open source’ programma is een hele serie aanvallen uit te voeren. Op het camerasysteem, maar ook op het achterliggende netwerk. Van elk aangesloten apparaat is het lokale IP-nummer op te vragen, zijn kwetsbaarheden op te sporen en is uiteindelijk de volledige controle over alle componenten te verkrijgen. Dan is het nog een koud kunstje om ransomware te installeren en de getroffen organisatie lam te leggen. Dat gaat vooral makkelijk als nog verouderde of niet geüpdatete Windows-versies worden gebruikt.
Om de beveiligingssector cyberweerbaar conform NIS2 te krijgen, zal nog heel veel werk moeten worden verzet, concludeerden de sprekers na afloop. Kiwa wil daaraan bijdragen door organisaties aan de normen te helpen voldoen, maar ook door samenwerking tussen de partners in de supply chain verder te stimuleren.
Meer informatie is te vinden op de website van Kiwa.