Industriële infrastructuur kwetsbaar door verouderde protocollen: 145.000 ICS-diensten wereldwijd blootgesteld

Industriële infrastructuur staat wereldwijd bloot aan grote risico’s, met naar schatting 145.000 blootgestelde Industrial Control Systems (ICS)-diensten wereldwijd en 50.000 in Europa. Uit een nieuw rapport van Censys blijkt hoe wijdverbreid en ernstig het probleem is. Het blootleggen van deze systemen benadrukt de kwetsbaarheid van kritieke infrastructuur voor cyberaanvallen.

Verouderde technologie in een moderne wereld

De meeste ICS-protocollen stammen uit de jaren zeventig en missen essentiële beveiligingsmechanismen zoals TLS (Transport Layer Security) en moderne authenticatiemethodes. Ondanks deze tekortkomingen zijn veel systemen direct verbonden met het internet, vaak vanwege de behoefte aan externe toegang en monitoring. Dit maakt essentiële infrastructuren zoals waterzuivering, rioolbeheer, landbouwapparatuur en fabrieken een gemakkelijk doelwit voor kwaadwillenden.

Variaties in ICS-protocollen per regio

Het type ICS-protocollen verschilt sterk per regio. In Europa domineren Modbus en Siemens S7, terwijl in de VS FOX het meest voorkomt. FOX wordt veelal gebruikt in gebouwenautomatisering, zoals systemen voor airconditioning en automatische deuren. Deze verschillen betekenen dat aanvallers gespecialiseerde kennis nodig hebben om systemen in specifieke regio's te compromitteren.

Russische aanvallen als waarschuwing

Recente incidenten tonen de potentiële schade van ICS-aanvallen. In Texas leidde een Russische cyberaanval tot een overstroming bij een waterfaciliteit in Muleshoe. Hoewel er geen directe schade of slachtoffers waren, demonstreerde het incident hoe kwetsbaar kritieke infrastructuur is.

Een meer directe dreiging werd zichtbaar in Florida in 2021, waar hackers probeerden de watervoorziening te vergiftigen. Dit werd voorkomen doordat een oplettende ingenieur de aanval op tijd opmerkte. In Oekraïne legden Russische hackers in 2016 een aanzienlijk deel van het elektriciteitsnet plat met behulp van de beruchte Industroyer-malware. Deze werd door beveiligingsbedrijf ESET omschreven als de grootste malwaredreiging voor kritieke infrastructuur sinds Stuxnet.

De rol van HMI’s in ICS-aanvallen

Hoewel ICS-aanvallen complexe technische kennis vereisen, maken Human Machine Interfaces (HMI’s) het werk voor aanvallers aanzienlijk eenvoudiger. HMI’s zijn grafische interfaces die ontworpen zijn voor gebruiksvriendelijke controle van industriële systemen. Echter, deze interfaces zijn vaak slecht beveiligd en direct toegankelijk via internet.

Door: Drifter

Uit de data van Censys blijkt dat 69,4 procent van de HMI’s zich in Noord-Amerika bevindt, tegenover slechts 26,9 procent in Europa. De grafische aard van deze interfaces maakt het voor aanvallers relatief eenvoudig om industriële apparatuur te manipuleren, soms met slechts enkele muisklikken.

Een opvallend voorbeeld is Verizon, dat meer dan 3.000 CELLCO-PART hosts online heeft. Deze systemen draaien vaak niet in de cloud maar via 4G/5G-netwerken of lokale bedrijfsnetwerken. Door een gebrek aan metadata is het lastig om te achterhalen wie de eigenaar van een specifieke HMI is, wat het probleem verder compliceert.

Aanbevelingen voor betere beveiliging

Censys benadrukt dat het essentieel is om verouderde ICS-protocollen te voorzien van moderne beveiligingslagen. Aanbevelingen omvatten:

• Inventarisatie: Zorg voor een uitgebreide lijst van alle verbonden systemen.
• Beperking van internettoegang: Vermijd directe verbindingen met het internet.
• Sterke authenticatie: Gebruik complexe en unieke inloggegevens.

Hoewel deze maatregelen de operationele complexiteit verhogen, maken ze het ook aanzienlijk moeilijker voor aanvallers om systemen te compromitteren.

De urgentie om deze infrastructuren beter te beschermen wordt met de dag duidelijker. Het gebrek aan actie kan niet alleen leiden tot economische schade, maar ook tot risico’s voor de openbare veiligheid en het milieu.