Hack-a-Bit

Grip op een veilig en vertrouwd internet

Missie

Hack-a-Bit heeft als doel om internetters zo te helpen, dat ze grip krijgen op een veilig en betrouwbaar gebruik van het internet. Dit doen we via voorlichting en bewustwording, via onze WebCheck en met advies op maat.

Diensten

Hack-a-Bit levert haar bijdrage aan een veiliger internet met drie diensten.

  • Door voorlichting over hoe je kunt controleren of je van een betrouwbaar internet gebruik maakt.
  • Met de WebCheck: een eenvoudige check van de door webhosters aangeboden diensten op de juiste toepassing van industriele normen over beveiliging
  • Met advies op maat voor een diepgaande en persoonlijke analyse van de aanwezigheid op het web van een bedrijf en hulp bij het implementeren van betere beveiliging en de zichtbaarheid ervan naar de klanten toe

Blog

Mensenwerk en SCADA, zie jij een risico?

De techniek is er, de industrie is online. Kunnen wij er mee overweg? De automatisering van industriële systemen (SCADA) vergt een goede kennis van de techniek. Om de systemen veilig te houden, is meer nodig dan techniek alleen.

19 augustus 2016

Als je net een nieuwe computer gekocht hebt, vraag je je een maand later af hoe je al die jaren met dat ouwe ding ooit je werkt hebt kunnen doen. De dag dat je die fantastische laptop gekocht hebt, is die al weer oud. De meeste telefoons zijn met twee jaar al wel vervangen, thuis koop je elke vijf jaar een nieuwe computer, laptop of tablet. De computers op je werk zijn al geheel uitgebannen: dat kastje waar je monitor, toetsenbord en muis aan hangen is slechts de toegang tot de op de centrale servers draaiende computer waar je je werk op doet. Los van dat je dus ieder jaar wel ergens aan een nieuw stukje toekomstige ‘rommel’ zult moeten wennen, is ook de software die op de computers draait aan inflatie onderhevig. Elke één à twee jaar een nieuwe versie, elk jaar wel een service update en voor computers elke maand wel security en functionele updates.

Vergelijk dat eens met computers in de industrie. Bedrijfsprocessen in fabrieken, installaties, sluizen en elektriciteitscentrales draaien op computerkastjes ter grootte van pak ‘m beet, een flesje Spa. Elk proces draait op een eigen programmeerbare logische controller die eindeloos dezelfde processtappen evalueert en uitvoert. Het doel van deze ‘PLC’s is om zo betrouwbaar mogelijk het productieproces te blijven uitvoeren. Jaar in, jaar uit. Zolang het bedrijfsproces niet veranderd, hoeft er ook niets aangepast te worden aan dat kastje. Sterker nog, aanpassen kan betekenen dat de gehele productieketen ontregeld wordt. Zolang als dat het werkt, is het devies dan ook ‘Afblijven!’. Als een sluis of fabriek wordt opgeleverd, dan horen al deze computers bij de installatie en ze gaan ook even lang mee. In de industrie hebben computers én software de levensduur van beton.

De meeste van ons zullen niet vaak in zo’n geautomatiseerde industriële omgeving komen of in de controle of technische ruimten waar al die PLCs staan te zoemen. Als bezoeker zul je langs de interessante en fotogenieke ruimten geleid worden, ‘Oh’ en ‘Ah’ mogen roepen en daarna met de gids weer buiten staan. En terecht. SCADA systemen worden niet ontworpen met de beveiliging van de software in het achterhoofd. Alleen gecertificeerde software inladen bij het opstarten, zoals bij onze computers? Botst met de eis om eenvoudig componenten uit te kunnen wisselen. Doorvoeren van beveiligingspatches tegen bekende exploits? Dat zou wel eens de werking van de PLC kunnen beïnvloeden en dus het productieproces ontregelen! Op bijna elk vlak van beveiliging wordt in de industrie gekozen voor degelijkheid en vervangbaarheid, voor functionaliteit boven bescherming tegen misbruik.

En toch wil ook de industrie profiteren van de mogelijkheden die het internet biedt. Monitoring en bediening van meerdere fabrieken, sluizen of centrales vanuit één bediencentrale. Het cameratoezicht dat gecombineerd kan worden met toegangscontrole via een landelijke centrale. Alarmering en storingsmelding die direct bij de relevante onderhoudspartijen binnen komen. De voordelen zijn evident. Maar zijn de nadelen en risico’s dat ook?

Om binnen de industrie gebruik te kunnen maken van het internet zullen al die PLCs dus ook gekoppeld moeten worden aan het internet. De camera’s, de toegangscontrole, de bedieningssystemen, allemaal zullen ze op een of andere manier verbonden raken met het internet. Waar eerst de bezoekers enkel veilig langs de zijlijn ‘Oh’ en ‘Ah’ konden roepen, worden ze nu via het internet uitgenodigd om alle ruimten te betreden en staat het hen vrij om op al die knopjes te gaan drukken.

Of is dat overdreven?

Ja, dat is overdreven. Met een goede netwerkarchitectuur, door gebruik te maken van firewalls, VPNs, proxy servers, jump servers en wat al niet meer, is het zeker goed te doen om het SCADA deel geheel af te zonderen van dat grote boze internet.

Wat is dan nog het probleem?

Zoals altijd: de gebruikers. De bediening moet ook zaken kunnen rapporteren, mailtjes kunnen versturen, het nieuws volgen voor het geval er een calamiteit is. Er zal dus ergens een systeem met een open internetverbinding aanwezig zijn. Dat kan via een 4G modem of in een apart VPN meeliften met de andere verbindingen. Dat zal geen kwaad kunnen, toch? Als mensen robots waren, niet. Maar wij mensen zijn geneigd te denken ‘Dat overkomt ons niet’, ‘Ik kan dat wel aan’ of ‘Als het verkeerd gaat, dan zien we dat dan wel weer’. Dus als er rustige uren zijn, zal men de eigen administratie bijwerken, een muziekje of filmpje downloaden, nu.nl lezen of hun telefoon opladen via de computer. En als die ene computer te traag is geworden, dan stapt men wel over op een van die andere computers in de centrale, toch?

Met als gevolg dat er dan alsnog die bezoekers komen die zomaar alle ruimten in lopen en op alle knopjes gaan drukken...

Het gaat er dus niet alleen om, om de industriële systemen goed te scheiden van het internet, het is ook van belang om te accepteren dat daar waar gewerkt wordt, er ménsen werken en er dus menselijke fouten gemaakt zullen worden. Dat erkennen en herkennen vereist dat je zowel een goede P&O afdeling hebt als goede teamleiders. Zij moeten het goede voorbeeld blijven geven en hun mensen helpen om het juiste gedrag te blijven tonen. En, hun rol zal ondersteund moeten worden vanuit de techniek. Door alle systemen in de gaten te houden zodat er automatisch een alarm af gaat zodra er gebruikers zijn die het niet zo nauw met de regels nemen.

Ik ben benieuwd naar wat jullie ervaringen zijn!

Contact

Leon Commandeur

leon[at]hackabit.nl
PGP 0xD704BB04