'Cyberaanvallen op industriële systemen nemen snel toe en worden gevaarlijker'

Cyber security krijgt binnen de industrie steeds meer aandacht, en niet zonder reden: volgens de laatste cijfers is het aantal aanvallen op industriële doelwitten het afgelopen half jaar verdubbeld.

Bron: FHI
Eind juni 2017: groot alarm op de Maasvlakte. Twee containerterminals van APM in Rotterdam lagen meerdere dagen plat. Containers moesten handmatig van de vrachtschepen gehaald worden, een vrijwel onmogelijke taak. Naast APM, dochter van Maersk, werden ook andere bedrijfsonderdelen van Maersk getroffen. De oorzaak: een wereldwijde aanval met Not Petya, malware van vermoedelijk Russische makers.

De schade, veroorzaakt door misgelopen omzet en het vervangen van IT-apparatuur, bedroeg volgens een schatting van Maersk een kleine 300 miljoen dollar. Het logistiekbedrijf moest onder andere 45.000 pc's en 4.000 nieuwe servers plaatsen. Maersk wist deze reusachtige klus in een dag of tien te klaren en trok lering uit de aanvallen, bijvoorbeeld door netwerken beter van elkaar te scheiden en door penetratietesten uit te voeren om zwakke plekken bloot te leggen.

Triton-malware

Maar Maersk is niet de enige grote partij die slachtoffer is van cyberaanvallen. Een ander vrij recent voorbeeld van malware die op grote schaal schade veroorzaakte in industriële systemen is door beveiligingsonderzoekers Triton gedoopt. Triton dook eind 2017 op in de systemen van een niet nader genoemde petrochemische installatie in Saudi-Arabië.

 

Wat Triton van andere malware deed verschillen was dat de code gericht was op het manipuleren van essentiële veiligheidssystemen van de fabriek. Deze systemen vormen de laatste verdedigingslinie en kunnen een installatie preventief stilleggen mochten sensoren gevaarlijke condities detecteren. Triton bood aanvallers de mogelijkheid om op afstand deze systemen te benaderen. Door een foutje in de malware werd deze gedetecteerd en onschadelijk gemaakt, maar een geslaagde aanval had volgens onderzoekers een explosie kunnen veroorzaken en mensenlevens in gevaar hebben kunnen brengen.Ondanks dat Triton tijdig werd ontdekt, zien bedrijven die zich specialiseren op industriële beveiliging dat nieuwe varianten van deze malware opduiken. Bovendien zijn deze varianten niet alleen in het Midden-Oosten gesignaleerd, maar ook daarbuiten.

Cyberaanvallen op industrie nemen toe

Volgens een rapport van IBM is het aantal cyberaanvallen tussen januari en juli 2019 verdubbeld, waarbij de helft van de aanvallen op de industrie is gericht. Naast industriële doelwitten zijn ook bedrijven actief in de olie- en gasindustrie doelwit, evenals onderwijsinstellingen.

 

IBM signaleert meer trends op het gebied van cyberaanvallen op industriële installaties. De tot nu toe meest bekende malware die zich op industriële installaties, zoals Stuxnet en Dark Seoul, werd primair ontwikkeld in opdracht van of door staten. Maar volgens de onderzoekers van X-Force richten ook cybercriminelen hun pijlen op de industrie. Zij ontwikkelen onder meer malware die data niet alleen gijzelt, maar ook een destructief element kent. De ransomware begint bijvoorbeeld om de X minuten een deel van de gegijzelde data te wissen. Zo willen zij de druk op getroffen bedrijven verhogen om snel over te gaan tot betaling van losgeld.

Veel aanvallers slagen binnen te komen door middel van phishing e-mails of het raden van wachtwoorden, maar IBM stelt dat cybercriminelen bedrijfsnetwerken in toenemende mate weten te penetreren door gebruik te maken van netwerkverbindingen van derde partijen. Ook zogeheten watering hole-aanvallen, waarbij malware op door werknemers veelgebruikte maar reeds gekraakte websites wordt verstopt, zijn in opkomst.

Cyber Security Event

Het Industrial Cyber Security Event 2019, georganiseerd door de branche Industriële Automatisering van FHI, wil bedrijven helpen om hun procesbesturingssystemen en de achterliggende IT-infrastructuur zo goed mogelijk te beveiligen.