De
watervoorziening beschermen - Hacker-editie
Wat kunnen gemeenten
doen om hun watervoorzieningssystemen beter te beschermen?
Onlangs stond een
aanval op de watervoorziening in Oldsmar, Florida in het nieuws. Nu maken we ons
zorgen over mogelijke toekomstige aanvallen en copycat-aanvallen op andere weinig
beschermde waterbehandelingssystemen in kleine steden over de hele wereld en
wat er kan gedaan worden om deze te stoppen.
In Florida gebruikten
criminelen tools voor externe toegang en zo voet aan de grond te krijgen en de
chemicaliënniveaus in de watervoorziening te wijzigen, waardoor ze tot
potentieel gevaarlijke niveaus werden opgedreven.
Dat is zorgwekkend,
omdat hackers normaal gezien specifieke kennis moeten hebben van beheersystemen
voor waterbehandeling, wat zeer specifiek is. Dat is geen 'spray and
bid'-aanval; het is doelgericht en kost tijd om tot stand te brengen en te
implementeren. En hoewel dit incident geen super sluipende zero-day-aanval was
(wasn’t a super stealthy zero-day
attack), is de kans
groot dat iemand al geruime tijd interesse had in het doelwit.
Hoe kan dit gebeuren,
vanuit het perspectief van de aanvaller (in dit geval bedoelen we een typische
opzettelijke aanvaller die een goed doordachte aanval bedenkt en uitvoert).
De aanvallers
identificeren eerst het doelwit, verzamelen informatie en stellen een plan op.
Zodra ze toegang krijgen, moeten ze het netwerk doorzoeken op de
controlesystemen die rechtstreeks in wisselwerking staan met het
waterzuiveringsproces. Dit kan veel tijd en planning vragen.
Zodra potentiële
doelen geïdentificeerd zijn, moeten aanvallers begrijpen welke rol die doelen
hebben in het chemische proces en welke toegang die systemen hebben tot de
fysieke apparatuur voor de waterproductie, of het nu gaat om kleppen, relais,
niveausensoren, thermokoppels of andere bedieningselementen.
Vervolgens moeten ze
een specifieke aanval opzetten binnen de context die ze gaandeweg kunnen
beoordelen. Daarna moeten ze aanvallen op een precies tijdstip dat de meeste
kans op succes biedt, terwijl ze ongemerkt toegang houden tot alle systemen in
de keten.
In Oldsmar waren er,
toen de aanval eenmaal begonnen was, andere systemen die feedback gaven waarmee
het personeel op tijd kon worden gewaarschuwd om de aanval te doen mislukken.
Dat is het goede nieuws. Het slechte nieuws zou zijn dat er weken of maanden
voorafgaand aan de daadwerkelijke vergiftigingspoging, stille aanvallen zouden
geweest zijn waarvan niemand iets had gemerkt.
Bij ESET Research
vraagt Tony Anscombe zich af waarom de Oldsmar-vestiging geen
grondig doorgelicht en geïmplementeerd plan had met de sectorspecifieke
richtlijnen voor water- en afvalwatersystemen van de CISA (CISA sector-specific guidance for
water and wastewater systems), met maatregelen zoals tweefactorauthenticatie (2FA) en gelijkaardige
controles. Het zou erg handig zijn mochten die richtlijnen beschikbaar zijn
voor kleine gemeenten zodat ze die snel kunnen toepassen.
Verwacht ondertussen
toekomstige aanvallen tegen andere
gemeenten. Pogingen tot ransomware-aanvallen (Ransomware attempts) zouden een logisch vervolgtrend kunnen zijn.
Wat kunnen kleine
steden doen? Ze moeten de tijd nemen om de beschikbare richtlijnen te begrijpen
en te implementeren. Dit kan zo simpel zijn als 2FA toevoegen/verplichten, het
patchen van systemen, het implementeren van goede veranderingscontroleprocessen
(volgens mediaberichten werd TeamViewer vervangen als de remote
access-oplossing bij deze waterzuiveringsinstallatie, maar het draaide nog
steeds, waardoor de installatie aan het internet werd blootgesteld via een
niet-vereiste interface) en het personeel training geven in cyberhygiëne.
Ook een praktische
oefening uitvoeren, alsof er een aanval is en “denken als een hacker” om zo te
voorkomen dat die binnendringt. Het is ook een goed idee om een plan te hebben
voor het geval een ransomware-aanval zou plaatsvinden. Kleine steden worden dan
niet geconfronteerd met het onhoudbare vooruitzicht om aan burgers te moeten
uitleggen waarom ze zojuist overheidsgeld hebben uitgegeven om een aanval te
stoppen die in de eerste plaats niet had mogen plaatsvinden.