Onderzoekers van de Universiteit Twente ontdekten zwakke punten in zestig vitale infrastructuren. Of beter gezegd: in de besturingssystemen ervan. De zwakke punten kunnen zogenaamde honeypots zijn, die hackers in de val moeten lokken. Toch opteert hoogleraar Aiko Pras voor meer aandacht voor cybersecurity bij beheerders van vitale systemen zoals elektriciteitscentrales, ziekenhuizen, bruggen en sluizen.
Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Aiko Pras is hoogleraar internetveiligheid aan de Universiteit Twente. Pras en zijn onderzoeksgroep kregen opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen.
Vitale infrastructuren
Pras: ‘Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken? We vonden zestig vitale systemen met meerdere zwakke punten die te hacken zijn. Daarbij gaat het veelal om relatief kleine systemen die worden gebruikt voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.’
Honeypots
Pras en zijn collega’s beschrijven in het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands dat hun ontdekking twee dingen kunnen betekenen. ‘Allereerst kan je denken: dit is schokkend. Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiele aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.’
Politieke keuze
Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. ‘Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet worden gehangen zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag.’
Apart internet
Pras pleit voor een apart stukje internet dat losstaand te beheren is. ‘Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.’
U kunt het rapport downloaden op de site van de TU Twente.