referaat over cybersecurity bij...

REFERAAT OVER

CYBERSECURITY BIJ WATERSTAATSWERKEN

JAN-HARMEN DE VRIES

VRIJE UNIVERSITEIT AMSTERDAM

PGO IT AUDIT, COMPLIANCE & ADVISORY

VU REFERENTIE #2013

APRIL 2014

VOORWOORD .................................................................................................................................................. 3

1. INLEIDING ................................................................................................................................................ 6

1.1 PROBLEEMSTELLING .................................................................................................................................... 6

1.2 ONDERZOEKSMETHODE ............................................................................................................................... 7

1.3 LEESWIJZER ............................................................................................................................................... 7

2. WATERSTAATSWERKEN EN ICS/SCADA ................................................................................................... 8

2.1 WATERSTAATSWERKEN: SOORTEN, DOELEN EN FUNCTIES ................................................................................... 8

2.2 ICS/SCADA BESTURINGS- EN CONTROLSYSTEMEN ........................................................................................... 9

2.3 ONTWIKKELINGSFASEN ICS/SCADA ............................................................................................................ 10

2.4 INTEGRATIE ICS/SCADA & IT EN KOPPELING MET INTERNET ............................................................................ 12

2.5 SAMENVATTING EN CONCLUSIES .................................................................................................................. 14

3. ICS/SCADA: KWETSBAARHEDEN, RISICO’S EN ONTWIKKELINGEN .......................................................... 15

3.1 INLEIDING ............................................................................................................................................... 15

3.2 BEDREIGINGEN EN KWETSBAARHEDEN ICS/SCADA ........................................................................................ 15

3.3 ACTUELE EN TOEKOMSTIGE ONTWIKKELINGEN INZAKE ICS/SCADA ................................................................... 17

3.4 RISICOBEELD VAN ICS/SCADA BIJ WATERSTAATSWERKEN ............................................................................... 19

3.5 ICS/SCADA SECURITY: NORMENKADERS EN MAATREGELEN ............................................................................. 19

3.6 SAMENVATTING EN CONCLUSIES .................................................................................................................. 20

4. CASESTUDIES ICS/SCADA ....................................................................................................................... 22

4.1 INLEIDING ............................................................................................................................................... 22

4.2 AANPAK VAN DE CASESTUDIES .................................................................................................................... 22

4.3 CASESTUDIE 1: MIDDELGROOT WATERSCHAP ................................................................................................ 23

4.4 CASESTUDIE 2: MIDDELGROOT WATERSCHAP ................................................................................................ 26

4.5 BEVINDINGEN UIT DE CASESTUDIES .............................................................................................................. 28

4.6 CONCLUSIES UIT HET PRAKTIJKONDERZOEK .................................................................................................... 29

5. ESSENTIËLE LEERPUNTEN UIT HET ONDERZOEK EN REFLECTIE ............................................................... 30

5.1 INLEIDING ............................................................................................................................................... 30

5.2 SYNTHESE TUSSEN THEORIE EN PRAKTIJK ....................................................................................................... 30

5.3 LEERPUNTEN DIGITALE VEILIGHEID WATERSTAATSWERKEN ................................................................................ 31

5.4 ROL VOOR DE IT AUDITOR(S) ...................................................................................................................... 32

5.5 AANBEVELINGEN VOOR NADER ONDERZOEK ................................................................................................... 33

5.6 REFLECTIE OP HET ONDERZOEKS- EN LEERPROCES ............................................................................................ 34

LITERATUUROVERZICHT ................................................................................................................................. 35

OVERZICHT INTERVIEWS SCADA-EXPERTS EN OVERIGE ................................................................................. 38

BIJLAGE 1: EENVANDAAG 14-02-2012: “SLUIZEN, GEMALEN EN BRUGGEN SLECHT BEVEILIGD” .................... 39

BIJLAGE 2: ICS/SCADA SYSTEMEN NADER TOEGELICHT .................................................................................. 41

BIJLAGE 3: PRAKTIJKTOETSING ACTUELE ONTWIKKELINGEN.......................................................................... 43

BIJLAGE 4: OVERZICHT VAN ICS/SCADA SECURITYMAATREGELEN ................................................................. 45

3 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY

Voorwoord

Dit referaat is geschreven in kader van de Post Graduate Opleiding IT Audit, Compliance & Advisory

aan de Vrije Universiteit Amsterdam. Bij de keuze van mijn onderzoeksonderwerp heb ik mij laten

leiden door een aantal wensen: ten eerste de behoefte aan een thema dat eerder breed in de publiciteit

is geweest, ten tweede de wens om een theoretische en deels ook technische verkenning te combineren

met “real-life” casestudies en ten derde de wens om de uitkomsten van het onderzoek ook direct te

kunnen gebruiken bij mijn IT-audit en – advieswerkzaamheden. Een onderzoek naar cybersecurity bij

sluizen, bruggen en gemalen sprong daar al snel uit. De zaak Veere uit 2012, dat ook in het referaat

aan de orde zal komen, en de landelijke publiciteit daaromheen reikte het thema van dit onderzoek

feitelijk aan. Na een aantal verkennende gesprekken bij cliënten in casu gemeenten en waterschappen

bleek ook de combinatie van theorie en casestudies passend bij dit onderwerp en reeds in deze fase

werd ook een aantal van deze organisaties enthousiast en stelden zij zich beschikbaar als object voor

een casestudie.

De casestudies en dan in het bijzonder de site visits waren erg bijzonder, niet alleen voor mij maar ook

voor alle betrokkenen van de desbetreffende organisaties, immers ter plekke bij de waterstaatswerken

en de bij ICS/SCADA-systemen zelf zijn risico’s pas goed te aan- en beschouwen.

Een woord van dank is op zijn plaats voor de volgende personen: Marko van Zwam, partner Security

en Privacy bij Deloitte Risk Services en dr. Eli de Vries namens de Vrije Universiteit voor hun

begeleiding bij mijn onderzoek. In het bijzonder ook dank aan dr. Eli de Vries voor de samenwerking

bij het schrijven van een publicatie op basis van eerdere tussenresultaten van dit onderzoek. Tevens

dank aan Prof. Drs. J. Arno Oosterhaven die mij de gelegenheid heeft geboden een deel van het

SCADA-college te verzorgen dat deel uitmaakte van Module 2.3 - 2014.

Daarnaast wil ik dank uit spreken naar de organisaties en betrokken personen die mij de gelegenheid

hebben geboden een casestudie uit te voeren zonder enige beperking ten aanzien van de

beschikbaarheid van medewerkers, documentatie, data, fysieke locaties en prachtige anekdotes.

Amsterdam,

Jan-Harmen de Vries

April 2014


Samenvatting

De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds meer in

de publieke en professionele belangstelling. Er is sprake van toenemende bewustwording van de

cybersecurityrisico’s met betrekking tot de specifieke technologie die deze waterstaatswerken

aansturen: ICS/SCADA genaamd. Manipulatie van deze systemen kan tot grote schade leiden en zelfs

mensenlevens in gevaar brengen. Het onderzoek richt zich op de vraag welke veiligheidsrisico’s

gepaard gaan met de koppeling van de besturingssystemen van waterstaatswerken met IT-netwerken

en het internet. Het onderzoek kent een theoretische analyse en praktijkonderzoek in de vorm van een

tweetal casestudies. De casestudies hebben plaatsgevonden bij middelgrote waterschappen.

Het blijkt dat de ontwikkeling van ICS/SCADA sinds 1930 kan worden verdeeld in 5 fasen. Momenteel

bevinden we ons in de overgang van fase 4 naar 5 met kenmerken als: snelle integratie van

ICS/SCADA met IT, toenemende introductie van mobility en eerste aandacht voor security. Het blijkt

ook dat er van oudsher grote en diverse verschillen bestaan tussen ICS/SCADA en IT. Juist daardoor

brengt de koppeling tussen ICS/SCADA en IT/internet aanzienlijke risico’s met zich mee: de

ICS/SCADA-systemen worden door deze koppeling blootgesteld aan nieuwe bedreigingen en kennen

weinig tot geen security-maatregelen daarvoor. NIST 800-82 onderscheidt 10 ‘threat agents’ en 70

mogelijke kwetsbaarheden omtrent ICS/SCADA-systemen. Uit het onderzoek komen 14 actuele

ontwikkelingen inzake ICS/SCADA naar voren, naast nog 6 mogelijke toekomstige ontwikkelingen. Er

zijn zowel ontwikkelingen met een positieve als met een negatieve invloed op cybersecurityrisico’s

voor waterstaatswerken. Al deze ontwikkelingen in combinatie met de threat agents en de

kwetsbaarheden van ICS/SCADA security leveren een hoog risico-profiel op.

Tijdens de casestudies is onderzocht op welke wijze de beheerders van waterstaatswerken in de

praktijk omgaan met de veiligheidsrisico’s van ICS/SCADA. Het blijkt dat, naar aanleiding van de zaak

Veere in 2012, er bij beide organisaties sprake is van het ontwikkelen en uitvoeren van risicoanalyses

en het ontwikkelen van de eerste sets aan veiligheidsmaatregelen. Deze maatregelen hebben echter

nog veelal het karakter van IT-securitymaatregelen en nog niet zozeer specifieke ICS/SCADA

securitymaatregelen. Bij beide organisaties hebben zich tot op heden geen ICS/SCADA security

incidenten voorgedaan. Uit het veldwerk (site-visits) blijkt bij beide casestudies dat ICS/SCADA

security nog niet hoog in het vaandel staat, maar ook dat locale operators niet bij de risicoanalyse en

het ontwikkelen van veiligheidsmaatregelen worden betrokken. Bij beide organisaties was ook sprake

van het verder ontwikkelen van specifieke functionaliteit zoals (voor) mobility, het op afstand

besturen van ICS/SCADA-systemen zelf. Het risico bestaat daardoor dat de ontwikkeling van

functionaliteit sneller gaat dan het ontwikkelen en implementeren van (basis-)security.

Het onderzoek sluit af met twee scenario’s met betrekking tot de ontwikkeling van security van

ICS/SCADA bij waterstaatswerken: een incrementeel scenario en een versneld scenario. Het

incrementele scenario gaat uit van een gestage ontwikkeling van ICS/SCADA security die één tot twee

decennia zal kosten en met het risico dat de ontwikkeling van functionaliteit veel sneller gaat dan de

ontwikkeling van security. Het versneld scenario gaat uit van de premisse dat zich op korte termijn

één of meer ernstige ICS/SCADA incidenten zullen voordoen bij waterstaatswerken. Deze incidenten

zullen in dit scenario leiden tot het versneld ontwikkelen en implementeren van security op eigen

initiatief van de beheerders van waterstaatswerken maar met name ook door overheidsingrijpen

bijvoorbeeld middels verdergaande wetgeving en inspecties. De reflectie op het onderzoeksproces leidt

onder meer tot de afweging dat het versnelde scenario met als trigger één of meer incidenten hier als

het meest realistische scenario wordt beschouwd.


1. Inleiding

1.1 Probleemstelling

De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds

frequenter in de publieke en professionele belangstelling. Een markant voorbeeld uit 2012 is de zaak

in de gemeente Veere, aanhangig gemaakt in een televisiereportage van EenVandaag. Bij deze

gemeente bleken bruggen en sluizen met een thuiscomputer via het internet te kunnen worden

bediend, zie ook bijlage 1. Een ander voorbeeld betreft de mondiale onderzoeksgroep “SCADA

StrangeLove” (www.scadastrangelove.org) die zeer regelmatig nieuwe kwetsbaarheden in de software

van ICS/SCADA-systemen opspoort en via internet en social media publiceert.

De essentie van de digitale onveiligheid van waterstaatswerken bestaat uit de mogelijkheid, in casu het

risico, dat de systemen die waterstaatswerken bedienen, de zogenaamde ICS/SCADA-

besturingssystemen, via het internet ongeautoriseerd toegankelijk zijn en vervolgens bediend of

gemanipuleerd kunnen worden. In meer populaire termen: deze ICS/SCADA-systemen, en daarmee

dus de waterstaatswerken zelf, kunnen worden gehacked. En doordat dit type besturings- en

controlsystemen kwetsbaar voor aanvallen blijken te zijn, kan daarmee ook de veiligheid van fysieke

gebieden of van mensen in gevaar komen, bijvoorbeeld ingeval van overstromingen of watervervuiling

veroorzaakt door gehackte ICS/SCADA-besturingssystemen.

Deze bijzondere veiligheidsproblematiek is inmiddels ook breed aangekaart door de Nationaal

Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum

(NSCS, 2012 en 2013).

Een belangrijke vraag die derhalve rijst is welke veiligheidsrisico’s gepaard gaan met de

toegankelijkheid van de besturingssystemen van waterstaatswerken via externe digitale (on-line)

netwerken en welke oplossingen daarvoor zijn ontwikkeld of zijn te ontwikkelen. De vraag is de

aanleiding van het onderzoek naar cybersecurity en ICS/SCADA.

De centrale vraagstelling luidt als volgt:

Welke veiligheidsrisico’s gaan gepaard met de toegankelijkheid van ICS/SCADA-

besturingssystemen van waterstaatswerken, zoals bruggen, sluizen en gemalen, bij koppeling

met externe digitale (on-line) netwerken en op welke wijze kunnen deze risico’s effectief en

efficiënt tot een acceptabel niveau worden gemitigeerd?

De drie deelvragen van dit onderzoek zijn afgeleid uit de centrale vraagstelling en zijn als volgt

geformuleerd:

Deelvraag 1: over ontwikkelingen en veiligheidsrisico’s rondom waterstaatswerken

Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen

zich voor en welke veiligheidsrisico’s ontstaan hierdoor of worden hierdoor groter?

http://www.scadastrangelove.org/


Deelvraag 2: over de omgang met veiligheidsrisico’s in de praktijk

Op welke wijze gaan de beheerders van waterstaatswerken in de praktijk om met deze

veiligheidsrisico’s van waterstaatswerken?

Deelvraag 3: over de leerpunten inzake digitale (on)veiligheid van waterstaatswerken en

risicomaatregelen

Welke essentiële leerpunten zijn te destilleren ten aanzien van de digitale (on)veiligheid van

waterstaatswerken en mogelijke maatregelen ter mitigatie van de geconstateerde risico’s?

1.2 Onderzoeksmethode

Om de centrale vraag en de drie deelvragen te beantwoorden heeft in de periode juli 2013 tot en met

maart 2014 een onderzoek plaatsgevonden met enerzijds een theoretisch en anderzijds een praktijk

karakter. Het theoretische deel heeft bestaan uit literatuuronderzoek en gesprekken met experts. Voor

het praktijkdeel zijn casestudies uitgevoerd bij een tweetal waterschappen.

Het onderzoek is als volgt in stappen opgezet en uitgevoerd:

Stap 1: Ontwikkelen en uitwerken onderzoeksplan en –fasering inclusief eerste analysekader;

Stap 2: Verzamelen en bestuderen van relevante (inter)nationale literatuur en bestaand onderzoek;

Stap 3: Ontwikkelen en uitwerken van het theoretische kader (resulterend in hoofdstuk 2 en 3);

Stap 4: Uitvoeren van interviews met ISC/SCADA-betrokkenen, - experts en –leverancier/fabrikant;

Stap 5: Nader uitwerken van aanpak en organisatie van de casestudies;

Stap 6: Uitvoeren en documenteren van de casestudies (veldwerk);

Stap 7: Verwerken van de uitkomsten uit stap 4 t/m 6 in de hoofstukken 2, 3 en 4;

Stap 8: Evalueren van de uitkomsten van de casestudies in relatie met het theoretische kader van stap 3;

Stap 9: Presentatie en feedback onderzoeksresultaten bij SCADA-college 28 februari 2014 (ICS/SCADA);

Stap 10: Uitwerken hoofdstuk 5 over leerpunten en reflectie, finaliseren referaat.

1.3 Leeswijzer

De thesis is als volgt opgebouwd:

In hoofdstuk 2 wordt de setting beschreven van het vraagstuk, het gaat daarbij om begripsdefinities,

ontwikkelingsfasen van ICS/SCADA en een eerste risico-inventarisatie.

Hoofdstuk 3 bevat een analyse van actuele ontwikkelingen rondom cybersecurity in relatie met

waterstaatswerken uitmonden in een samenvattende risico-plaat.

In hoofdstuk 4 worden de casestudies beschreven en de resultaten daarvan.

De synthese van het onderzoek wordt uitgewerkt in hoofdstuk 5, dit betreffen de essentiële leerpunten

van het onderzoek en een reflectie op het onderzoeks- en leerproces.


2. Waterstaatswerken en ICS/SCADA

2.1 Waterstaatswerken: soorten, doelen en functies

Zoals in de inleiding is verwoord heeft het onderzoek betrekking op waterstaatswerken.

Waterstaatswerken worden op verschillende plaatsen in wettelijk kader beschreven zoals in de Wet

waterbeheer, in de Wet beheer rijkswaterstaatswerken en de Waterstaatswet. Een definitie van

waterstaatswerken die in het kader van dit onderzoek relevant is betreft:

Waterstaatswerk: Werk waarvan het doel gericht is op het belang van de waterstaat, zoals wegen, dijken, sluizen, bruggen

en kanalen” (Bron: Watervragen, 2012).

Specifiek voor dit onderzoek is deze definitie als volgt aangevuld en in het vervolg van dit referaat als

uitgangspunt gebruikt:

Waterstaatswerk:

Werk waarvan het doel is gericht op het belang van de waterstaat en die door middel van

geautomatiseerde besturingssystemen worden aangestuurd, zoals beweegbare bruggen, sluizen en

gemalen.

De doelen en functies van de genoemde waterstaatswerken zijn de volgende (bron: Wikipedia):

Beweegbare brug: een beweegbare verbinding voor het verkeer, tussen twee punten die zijn gescheiden

door een rivier of kanaal.

Sluis: een waterbouwkundig kunstwerk in een waterkering tussen twee waterwegen met een verschillend

waterpeil, dat dient om het water te keren, maar dat door een beweegbaar mechanisme ook water of

schepen kan laten passeren.

Gemaal: een inrichting om water van een lager naar een hoger niveau te brengen. Naast gemalen voor

watersystemen zijn er ook rioolgemalen.

Rioolwaterzuiveringsinstallatie of afvalwaterzuiveringsinstallatie: een rioolwaterzuiveringsinstallatie

(kortweg rwzi), ook wel afvalwaterzuiveringsinstallatie (kortweg awzi) genoemd, zuivert het afvalwater

van huishoudens en bedrijven dat via het riool wordt aangevoerd.

Wat deze waterstaatswerken gemeen hebben, is dat (opzettelijke) verstoring van de besturings-

processen kan leiden tot ernstige schade aan de apparatuur en mechanismen zelf en daarmee aan de

(leef)omgeving, wat er zelfs toe kan leiden dat mensenlevens in gevaar worden gebracht.


2.2 ICS/SCADA besturings- en controlsystemen

Algemeen

De definitie van waterstaatswerken uit de vorige paragraaf gaat uit van geautomatiseerde

besturingssystemen die het kernproces van waterstaatswerk aansturen zoals het laten bewegen van de

brug en het openen en sluiten van de sluis. In de literatuur en in het spraakgebruik worden voor deze

besturingssystemen verschillende termen gebruikt zoals procescontrolesystemen, SCADA-systemen,

ICS-systemen, operational technology-systemen (zie onder andere Luiijf 2008, NCSC 2012, Stouffer

et al. 2011 en Wikipedia).

Een veel gebruikte term in de context van de waterstaatwerken betreft SCADA-systemen, waarbij

SCADA staat voor Supervisory Control and Data Acquisition. Strikt genomen is echter de term

Industrial Control System (ICS) beter, omdat die zowel het SCADA-besturingssysteem omvat, waar de

mens een belangrijke rol heeft, als de operationele technologie die de feitelijke technische of

mechanische bediening uitvoert (zie ook bijlage 2 voor een visualisatie).

Definitie van ICS

Industrial Control Systems (ICS) is een algemene internationale term waarmee verschillende soorten

van besturings- en beheersingssystemen worden aangeduid zoals SCADA-systemen, distributed

control systemen (DCS) en andere controlsysteem-configuraties zoals Programmable Logic

Controllers (PLC’s). In Nederland is een meer gangbare term voor ICS: procescontrolesystemen. Met

name Luiijf (2008 & 2012) en CPNI.NL (2012) gebruiken deze terminologie.

Definitie van SCADA

SCADA staat voor Supervisory Control And Data Acquisition. SCADA-systemen hebben als

functionaliteit het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van

meerdere systemen als onderdeel van grote industriële systemen. Vaak is sprake van beheersing van

meerdere besturingssystemen die geografisch verspreid operationeel zijn, bijvoorbeeld een serie van

gemalen in een provincie.

Een SCADA-systeem bestaat uit een computer met daarop SCADA-software. Een belangrijk en

relevant kenmerk van SCADA-software betreft de grote variëteit ervan. SCADA-software heeft vaak

een lange gebruiksduur verbonden aan de lange levensduur van het waterstaatswerk en SCADA-

software wordt door vele partijen ontwikkeld voor verkoop of eigen gebruik.

Definitie van OT - Operational Technology

Onder Operational Techology (OT) wordt verstaan de technologie waarmee die feitelijke bediening

van het waterstaatswerk wordt uitgevoerd. Kenmerk van deze technologie, met name voor oudere

legacysystemen, is dat het relatief kleine hoeveelheid data kan handelen. Gangbare communicatie-

protocollen binnen deze technologie zijn onder meer Profinet en Motbus.


Nota bene: bij beheerders van waterstaatswerken wordt de ICS/SCADA-automatisering ook wel

onderscheiden van de IT-systemen door de termen Procesautomatisering en Kantoorautomatisering

te hanteren.

Componenten van ICS/SCADA/OT

Constellaties van ICS/SCADA/OT bestaan uit diverse componenten. In het kader van dit referaat

wordt, conform NIST 800-82, een onderscheid gemaakt tussen Control Components en Network

Components:

Control Components. Dit de betreffen onderdelen c.q. componenten van het ICS/SCADA-

systeem zelf. Relevante componenten zijn onder meer de Master Terminal Unit (MTU), de

Remote Terminal Unit (RTU), de Programmable Logic Controller (PLC), de Human-Machine

Interface (HMI) en de Data Historian. In de kern beheerst de (centraal gepositioneerde) MTU

de decentrale RTU’s en PLC’s die de mechanieken ter plekke fysiek aansturen. Via de HMI

kan de operator het proces beheersen en aansturen (human control);

Network Component. Dit betreffen componenten die de ICS/SCADA ondersteunen bij het

(veilig) kunnen functioneren. Relevante componenten zijn onder meer Firewalls, Modems,

Remote Access Points, Communications Routers en Fieldbus networks die sensoren koppelen

aan de PLC;

In bijlage 2 zijn de belangrijkste componenten in een vereenvoudigd voorbeeld gevisualiseerd

en als verduidelijking opgenomen.

2.3 Ontwikkelingsfasen ICS/SCADA

Om de veiligheidsproblematiek rondom ICS/SCADA te kunnen doorgronden en actuele

ontwikkelingen in perspectief te plaatsen is in deze paragraaf de opkomst en ontwikkeling van

ICS/SCADA systemen uitgewerkt. Er worden de volgende vijf fasen van ontwikkeling onderscheiden

(t/m fase IV mede gebaseerd op Nordlander, 2009):

Fase I – Initiatie. Focus op kostenbesparing.

Tussen 1930-1960 werden ICS/SCADA systemen voor het eerst ontwikkeld en gebruikt, hoofdzakelijk

met het doel om beter overzicht te krijgen ten aanzien van de processen en vanwege besparingen op

personele formatie en dus kosten.

Fase II – Groei en ontwikkeling. Focus op data, beheersing en performance.

Tussen 1960-1980 werden, mede gedreven door snel groeiende computercapaciteit, ISC/SCADA-

systemen complexer en werd de hoeveel beschikbare data steeds groter. De focus lag in deze fase op

beheersing van alle data, in combinatie met het behouden van een hoge performance en het kunnen

beheersen van de complexere systemen. Beveiliging had nog weinig prioriteit. Alleen mensen met

fysieke toegang tot de systemen hadden toegang tot de besturingssystemen en de data.


Fase III – Geavanceerde evolutie. Focus op communicatie en opschaling.

Vanaf de jaren 80 werden ICS/SCADA-systemen steeds geavanceerder en werden deze steeds meer

een integraal onderdeel van de reguliere bedrijfsoperatie in plaats van een middel om kosten te

besparen. Omdat in deze jaren de beschikbare bandbreedte ten behoeve van communicatie snel

groeide, werden steeds meer meetpunten gebruikt en werden nieuwe ICS/SCADA-componenten

geïntroduceerd. Communicatieprotocollen naar de remote terminal units (RTU’s) werden in die tijd

gestandaardiseerd door de International Electrotechnical Commission (IEC). Bij deze standaardisatie

werd echter nauwelijks aandacht besteed aan mogelijke beveiligingsmaatregelen zoals bijvoorbeeld

encryptie in het communicatieprotocol. In deze fase waren ICS/SCADA systemen nog geïsoleerde

systemen die los stonden van IT-netwerken (de zogenaamde air-gap).

Fase IV – Integratie met IT en internet. Focus op IT- integratie.

Vanaf ongeveer het jaar 2000 worden ICS/SCADA-systemen voor het eerst gekoppeld aan IT–

netwerken: de zogenaamde air-gap wordt doorbroken. En dit leidt, door de reeds bestaande

verbondenheid van IT-netwerken met het internet, tot een grote groei van directe of indirecte

koppelingen van ICS/SCADA-systemen met het internet. Vanaf dan worden ICS/SCADA-systemen

blootgesteld aan cybersecurity risico’s. In de loop van deze fase is er steeds meer behoefte om de

ICS/SCADA-systemen verder te integreren met IT-systemen vanwege bijvoorbeeld kostenbesparing,

snelheid, gemak en uniformiteit. In deze fase dienen zich overigens ook de eerste security incidenten

aan ten aanzien van ICS/SCADA.

Fase V – Mobiliteit en Security.

Het lijkt erop dat we sinds enkele jaren in een nieuwe fase rondom ICS/SCADA-systemen zijn beland.

Een fase waarin mobiliteit een hoge vlucht neemt en waarin het thema van ICS/SCADA-security op de

agenda is komen te staan. Het is inmiddels praktijk geworden dat ICS/SCADA-systemen door mobile

devices zoals tablets of smartphones overal kunnen worden aangestuurd en de graad van mobiliteit zal

naar verwachting alleen maar toenemen. Wat betreft ICS/SCADA-security wordt deze fase

gekenmerkt door security incidenten, bewustwording van risico’s en de eerste stappen op weg naar

beheersing van veiligheidsrisico’s.

In paragraaf 3.3 worden een actuele en toekomstige ontwikkelingen van ICS/SCADA nog nader

beschreven.

Unsecured legacy design

Een niet te onderschatten conclusie die uit het voorgaande kan worden getrokken is het fenomeen van

“unsecured legacy designs”. De gebruiksduur van ICS/SCADA-systemen hangt vaak samen met de

(lange) levensduur van de waterstaatswerken, het gaat daarbij dan om decennia. Bij de ICS/SCADA-

systemen die tot en met zeker fase IV zijn ontworpen en ontwikkeld was veelal niet sprake van

ontwerp met “security in mind”, deze systemen ontberen vaak basale securitymaatregelen zoals strong

authentication of encryptie. Daarnaast beschikken deze ICS/SCADA-systemen (in het OT-deel) vaak

over zeer beperkte geheugenruimte waardoor security-maatregelen niet kunnen worden ingebouwd.


2.4 Integratie ICS/SCADA & IT en koppeling met Internet

Zoals blijkt uit paragraaf 2.4 functioneren ICS/SCADA-systemen steeds minder geïsoleerd en worden

deze meer en meer gekoppeld aan IT-netwerken en (daarmee) indirect of direct aan het internet.

Figuur 1: Visualisatie integratie ICS/SCADA en IT en koppeling Internet

Larkin (2012) begint zijn thesis met de constatering: “SCADA systems are being exposed to the

Internet at an alarming rate” en vervolgt: “Indeed, traditional network security tools like firewalls,

proxies and Intrusion Detection Systems may not be compatible with SCADA; however, simply

isolating SCADA systems is no longer an option”.

Daar komt bij dat het oorspronkelijke doel van ICS/SCADA-systemen was om fysieke objecten zoals

waterstaatswerken op afstand te kunnen beheersen en aan te sturen. Door de koppeling met IT-

netwerken en internet kunnen deze ICS/SCADA-systemen zelf in toenemende mate op afstand

worden bestuurd (mobility), bijvoorbeeld via tablets of smartphones op elke denkbare plek waarin

internet beschikbaar is.

Verschillen tussen ICS/SCADA en IT

Een belangrijke oorzaak van de problematiek die in dit referaat aan de orde wordt gesteld bestaat uit

het feit dat ICS/SCADA-systemen steeds meer worden geïntegreerd met “gewone” IT-systemen.

Anders gezegd: de procesautomatisering integreert met de kantoorautomatisering. In het licht van

deze integratie is het vanuit het oogpunt van security derhalve relevant een analyse te maken van

verschillen tussen ICS/SCADA-systemen en IT-systemen en de mogelijke impact daarvan.


In feite kan worden gesteld dat ICS/SCADA-systemen fysiek en technisch zijn gericht terwijl IT-

systemen administratief zijn gericht. ICS/SCADA systemen hebben betrekking op fysieke processen in

de buitenwereld, IT-systemen hebben juist geen interactie met fysieke processen. Verschillen tussen

ICS/SCADA-systemen en IT-systemen manifesteren zich op meerdere gebieden. In de “Guide to

Industrial Control Systems Security” worden deze verschillen door Stouffer et al (NIST 800-82, 2011,

tabel 3-1) uitgewerkt naar 13 categorieën zoals Performance requirements, Risk Management

requirements, System Operation, Communications and Component Lifetime.

Door Stouffer et al. wordt de conclusie getrokken dat “[……] the operational and risk differences

between ICS and IT systems create the need for increased sophistication in applying cyber security

and operational strategies”. Larkin (2012) vat in zijn “Evaluation of traditional security solutions in

the SCADA environment” de verschillen tussen ISC/SCADA-netwerken en IT-netwerken als volgt

samen:

Differences ICS/SCADA Networks/Systems IT Networks/Systems

Security Objectives Are concerned with system availability

and reliability

Are concerned with data integrity and

confidentiality

Security

Architecture

Use control servers, RTU’s, PLC’s, field

devices, and HMI’s

Utilize traditional IT assets like computers,

servers, routers, firewalls, and proxies

Technology Bases Use many different proprietary

communication protocols which are very

difficult to develop common Host-Based

or Network-Based security Solutions

Technology base includes Windows, Unix, Linux,

and Standard IP-based protocols

Quality of Services Must function uninterrupted without

error for long periods of time

QoS requirements are usually not time sensitive,

do not always require real time monitoring, en

can be rebooted or shutdown

Tabel 1. Bron: Larkin – Evaluation of traditional security solutions in the SCADA environment, table 2-1, page 2-6

Een belangrijke conclusie die uit bovenstaande analyse kan worden getrokken, en die ook bij de

interviews naar voren kwam, betreft het verschil in kwaliteitscriteria die (tot op heden) voor

ICS/SCADA-systemen en IT-systemen worden gehanteerd. De belangrijkste kwaliteitscriteria voor

ICS/SCADA betreffen: Safety, Availability en Performance (SAP). Veiligheid, beschikbaarheid en

betrouwbare performance staan voorop. Daarbij wordt met Safety bedoeld “the red button”: er kan

acuut wordt ingegrepen als zich een ernstige en bedreigende procesverstoring voordoet. In deze

kwaliteitscriteria zit van oorsprong niet security in de zin van cyberveiligheidsrisico’s. De belangrijkste

kwaliteitscriteria voor IT-systemen betreffen Confidentiality, Integrity, Availability en Accountability

(CIAA). Het verschil in kwaliteitscriteria tussen ICS/SCADA-systemen en IT-systemen werkt door in

het ontwerp, ontwikkeling en de implementatie van deze systemen.


Overigens laat Larkin nog twee belangrijke verschillen tussen ICS/SCADA en IT onbenoemd die wel

relevant zijn in het kader van dit onderzoek. Het eerste betreft het feit dat er voor IT al sinds lange tijd

normenkaders bestaan ten aanzien van onder meer security en performance, te denken valt hierbij

aan bijvoorbeeld COBIT of ITIL, terwijl gedegen normenkaders voor (de security van) ICS/SCADA nu

pas in echte ontwikkeling komen. Een tweede relevante verschil is dat er rondom IT, naast de

productie-omgeving, ook ontwikkelen testomgevingen bestaan, dit laatste komt bij ICS/SCADA niet

of nauwelijks voor. Het testen van securitymaatregelen voor ICS/SCADA is is al erg complex op zich.

Als gevolg van de integratie van ICS/SCADA en IT-systemen wordt derhalve functionaliteit bij elkaar

gebracht en geïntegreerd die vanuit verschillende kwaliteitseisen zijn ontwikkeld. Dit vergroot de kans

op het (onbewust) creëren van nieuwe kwetsbaarheden en/of slechte comptabiliteit.

2.5 Samenvatting en conclusies

In het voorgaande zijn eerst de soorten, doelen en functies van waterstaatswerken uitgewerkt met

daarop volgend een beschrijving van de geautomatiseerde besturingssystemen (ICS/SCADA) van deze

waterstaatwerken. Vervolgens zijn vijf ontwikkelingsfasen van ICS/SCADA beschreven waarin ook de

actuele integratie tussen ICS/SCADA en IT-systemen aan de orde is gekomen. In dat licht zijn

vervolgens de verschillen tussen ICS/SCADA-systemen en IT systemen geïdentificeerd als ook de

betekenis daarvan.

De conclusies hieruit worden als volgt samengevat:

Waterstaatwerken zoals sluizen, gemalen, bruggen worden aangestuurd met geautomatiseerde besturingssystemen ICS/SCADA;

Verstoring van de besturingsprocessen kan leiden tot ernstige schade aan apparatuur, mechanismen en leefomgeving;

ICS/SCADA besturingssystemen hebben een grote evolutie doorgemaakt waarbij de actuele ontwikkelingen bestaan uit vergaande integratie met IT-systemen en het op afstand kunnen besturen van ICS/SCADA-systemen zelf;

Er bestaan grote verschillen tussen ICS/SCADA-systemen en IT-systemen met betrekking tot kwaliteitseisen, ontwerpeisen, levensduur, toegang tot componenten, communicatie-protocollen etc.

ICS/SCADA besturingssystemen worden “at an alarming rate” direct of indirect, in casu via de IT-systemen, gekoppeld aan het internet.


3. ICS/SCADA: kwetsbaarheden, risico’s en ontwikkelingen

3.1 Inleiding

Aan de hand van literatuurstudie, een aantal interviews alsmede zelfonderzoek op internet is een

uitwerking gemaakt van actuele ontwikkelingen rondom ICS/SCADA in het licht van cybersecurity.

Doel hiervan is het uitwerken van een samenvattend risicobeeld aangaande ICS/SCADA die

vervolgens mede als input dient voor de casestudies. Bij deze casestudies wordt onderzocht op welke

wijze beheerders van waterstaatswerken omgaan met deze risico’s.

3.2 Bedreigingen en kwetsbaarheden ICS/SCADA

Door de koppeling van, de voorheen geïsoleerde, ICS/SCADA-systemen aan IT-netwerken en internet

worden deze systemen blootgesteld aan nieuwe risico’s zoals ongeautoriseerde toegang van buiten of

doelbewuste manipulatie. Essentieel is daarbij dat deze ICS/SCADA systemen in het verleden niet zijn

ontworpen met securitymaatregelen voor deze risico’s aangezien deze risico’s immers toen nog niet

bestonden. De ICS/SCADA-systemen zijn in de praktijk derhalve (erg) kwetsbaar voor nieuwe en dus

vooral ook cybersecurity-risico’s.

Diverse organisaties en auteurs hebben recent publicaties uitgebracht ten aanzien van deze risico’s en

problematiek. Zo bracht NIST de eerder genoemde “Guide tot ICS security” (800-82, 2011) uit, het

Nationaal Cyber Security Centrum (NSCS) publiceerde “Beveiligingsrisico’s van on-line SCADA-

systemen” (2012) en Radvanovsky & Brodsky ontwikkelden het “Handbook of SCADA/Control

Systems Security” (2013). Daarnaast verschenen er direct na de zaak Veere (zie paragraaf 1.1 en bijlage

1) een groot aantal publicaties in de Nederlandse “papieren” en on-line pers (zie ook het

literatuuroverzicht).

Risico-spectrum volgens NIST 800-82

Stouffer et al. maken in de NIST-publicatie (800-82, 2011) een uitgebreide bedreigings- en

kwetsbaarheidsanalyse van ICS/SCADA . Zij onderscheiden eerst de karakteristieken van ICS/SCADA

en werken daarna de bedreigingen en kwetsbaarheden uit. Bedreigingen voor ICS/SCADA spitsen zich

volgens Stouffer et al. toe op zogenaamde typen ‘threat agents’, zijnde personen of organisaties die

kwaad kunnen doen en/of schade willen aanbrengen.

In tabel 3-2 van hun publicatie identificeren zij de volgende 10 ‘threat agents’:

Tabel 2: Threat agents volgens NIST 800-82, table 3-2

1 Attackers 6 Phishers

2 Bot-network operators 7 Spammers

3 Criminal Groups 8 Spyware/Malware authors

4 Foreign intelligence services 9 Terrorist

5 Insiders 10 Industrial Spies


Uit deze opsomming is af te leiden dat er in potentie een grote groep aan personen en organisaties te

onderkennen is die in staat zijn en/of als doel hebben om ICS/SCADA systemen binnen te dringen, te

manipuleren dan wel te beschadigen.

Na de uitwerking van de potentiële bedreigingen / threat agents maken Stouffer et al. vervolgens een

integrale analyse van de kwetsbaarheden van ICS/SCADA-systemen. Zij onderscheiden daarbij

kwetsbaarheden ten aanzien van “Policies and Procedures”, “Platform” en “Network”. Onderstaand is

deze analyse samengevat aan de hand van de tabellen 3.3 t/m 3.13 uit NIST 800-82, gerubriceerd

naar Domein, Onderdeel/Component en Aantal kwetsbaarheden:

Figuur 2: overzicht kwetsbaarheden volgens NIST 800-82

Kwetsbaarheden ten aanzien van het domein policies en procedures zoals security policy, training en awareness programma, security architectuur en ontwerp, implementatierichtlijnen etc. Er worden in totaal 9 kwetsbaarheden onderscheiden.

Kwetsbaarheden ten aanzien van het domein platform van de ICS/SCADA-systemen: o Configuratie: 11 kwetsbaarheden; o Hardware: 10 kwetsbaarheden; o Software: 13 kwetsbaarheden; o Malware protectie: 3 kwetsbaarheden.

Kwetsbaarheden ten aanzien van het domein ICS/SCADA-netwerk: o Configuratie: 7 kwetsbaarheden; o Hardware: 5 kwetsbaarheden; o Perimeter: 4 kwetsbaarheden; o Monitoring & Logging: 2 kwetsbaarheden; o Communicatie: 4 kwetsbaarheden; o Wireless connectie: 2 kwetsbaarheden.

In totaal worden in de NIST-publicatie derhalve 70 mogelijke kwetsbaarheden inzake ICS/SCADA-

systemen onderscheiden. Uit deze analyse is dus af te leiden dat er in potentie een groot aantal

kwetsbaarheden te onderkennen is inzake ICS/SCADA-systemen.

In het literatuuroverzicht bij dit referaat is een serie van on-line artikelen opgenomen die concreet

verwijzen naar allerlei kwetsbaarheden van ICS/SCADA. Dit betreffen de publicaties van: Reijerman

(2012), Schellevis (2012), Schoemaker (2012 en 2013), Zwaap (2012) en Security.nl (2012 en 2013).

Ward (2012) publiceerde in 2013 het artikel “How to hack a nation’s infrastructure” dat ook helder

kwetsbaarheden en risico’s aangeeft.

Er zijn overigens daarnaast ook diverse bronnen beschikbaar die gedocumenteerde incidenten

publiceren (onder andere NIST 800-82 en Larkin) ten aanzien van ICS/SCADA. Het meest bekende

ICS/SCADA-incident betreft de Stuxnet worm die specifiek is ontwikkeld om ICS/SCADA-systemen

van het merk Siemens aan te vallen. Tot op heden hebben zich in Nederland nog geen majeure bekend

gemaakte incidenten voorgedaan, wel is sinds 2012 door de zaak Veere de aandacht voor de

cybersecurity-risico’s toegenomen.


3.3 Actuele en toekomstige ontwikkelingen inzake ICS/SCADA

Na de schets van bedreigen en kwetsbaarheden volgt onderstaand een uitwerking van actuele en

(mogelijke) toekomstige ontwikkelingen omtrent ICS/SCADA. Deze ontwikkelingen zijn inzichtelijk

gemaakt op basis van literatuuranalyse en gesprekken met experts. Voor enkele van de geschetste

ontwikkelingen heeft verificatieonderzoek plaatsgevonden met behulp van websitebezoek en google-

searches inclusief content-onderzoek.

Het deel met de analyse van mogelijke toekomstige ontwikkelingen is met name gebaseerd op “The

future of SCADA and Control Systems Security” (Radvanovsky & Brodsky, 2013, H18).

De volgende veertien actuele ontwikkelingen zijn naar voren gekomen uit de onderzoeksactiviteiten:

Nr Ontwikkeling/trend Uitwerking

1 Integratie ICS/SCADA met IT-

netwerken (office-IT)

ICS/SCADA-systemen, in casu de voorheen geisoleerde procesautomatisering

worden geïntegreerd met IT-systemen, in casu de kantoorautomatisering.

2 Koppeling van ICS/SCADA-

componenten met Internet

ICS/SCADA systemen worden in toenemende mate gekoppeld aan het internet,

hetzij rechtstreeks hetzij via integratie met (reeds aan internet gekoppelde) IT-

netwerken/systemen.

3 Toenemende behoefte aan

mobility bij aansturing

ICS/SCADA

Er is sprake van een groeiende behoefte aan mobiliteit in het besturen van de

ICS/SCADA systemen zelf, bijvoorbeeld met behulp van tablets of mobiele

telefoons.

4 Toenemende belangstelling

hackers voor ICS/SCADA

Hackers of andere threat agents tonen meer en meer belangstelling voor

ICS/SCADA getuige buitenlandse security-incidenten van de afgelopen jaren.

5 Toenemende beschikbaarheid

van “off the shelf”, standaard

software en hardware voor

ICS/SCADA

Er komt steeds meer standaard hard- en software beschikbaar voor ICS/SCADA

systemen. Een aanpalende trend is meer integratie (fusie/overname) van grote

SCADA-leveranciers.

6 Beschikbaarheid van laag-

drempelige zoekmachines en

hackertooling

Er komen steeds meer en makkelijker te hanteren tools beschikbaar die gebruikt

worden voor aanvallen op of het binnendringen van netwerken en ICS/SCADA-

systemen. SHODAN, Nessus, Metasploit.

7 Opkomst ethical hackers en

samenwerking fabrikanten

Er ontstaan steeds meer (goedwillende) groepen van mensen die pogen

kwetsbaarheden in ICS/SCADA systemen op te sporen en publiekelijk te maken

(oa SCADAstrangelove) mede ten behoeve van de fabrikanten (patches).

8 Publieke informatie Er is relatief veel informatie publiekelijk beschikbaar inzake ICS/SCADA en

omtrent netwerken van beheerders. Onder andere via zoekmachines en social

media is veel informatie te vinden.

9 Bewustwording Er is momenteel sprake van meer bewustwording van risico’s ten aanzien van

ICS/SCADA. Dit blijkt uit onder meer uit de hoeveelheid en aard van recente

publicaties rondom ICS/SCADA security.

10 Politieke en

overheidsbemoeienis

De overheid heeft steeds grotere bemoeienis met ICS/SCADA vraagstukken.

Bijvoorbeeld via ministeries, via Tweede Kamer, via NCSC, via Taskforce BID.

Tabel 3 (deel 1): actuele ontwikkelingen


Nr Ontwikkeling/trend Uitwerking

11 Ontwikkeling van eerste

normenkaders

Met de publicatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten

(BIG, 2013) en de Baseline Informatiebeveiliging Waterschappen (BIWA, 2013)

worden de eerste concrete stappen gezet naar normenkaders.

12 Toenemend onderzoek naar

ICS/SCADA

Er vindt in binnen- en buitenland steeds meer onderzoek plaats naar ICS/SCADA

en risico’s. Een recent Nederlands voorbeeld is het tweejarige onderzoek

informatiebeveiliging “Veilig water” (Haagse Hogeschool, TNO, NSCS en

waterschappen).

13 Toenemende aantal opleidingen

training en seminars

Er is een groeiend aantal trainingen, seminars en ook opleiding die betrekking

hebben op cybersecurity in relatie met ICS/SCADA. Dit betreft zowel vanuit

overheden, commerciële bureaus als door groepen geïnteresseerden zelf

opgerichte communities.

14 Security-eisen in ICS/SCADA

aanbestedingstrajecten

Er is een ontwikkeling gaande dat in aanbestedingen van ICS/SCADA systemen

security criteria worden opgenomen.

Tabel 3 (deel 2): actuele ontwikkelingen

De toekomst van ICS/SCADA

Radvanovsky & Brodsky zijn twee van de weinige onderzoekers en auteurs die een blik in de toekomst

van ICS/SCADA security durven te werpen. Zij kaarten de volgende thema’s daarbij aan c.q. zij

formuleren denkbeelden over in hun ogen belangrijke zaken voor de toekomst:

Er moet volgens hen, het liefst mondiaal, een uitspraak en een afspraak komen over het al dan niet bekend en transparant maken van (nieuw ontdekte) kwetsbaarheden in ICS/SCADA systemen en het proces hoe deze kwetsbaarheden worden opgelost: “mutually agree upon a common disclosure process framework”. Via SCADAstrangelove.org komen overigens al veel kwetsbaarheden naar buiten;

Security eisen voor ICS/SCADA systemen zullen volgens hen nimmer aansluiten op de security-eisen voor IT-systemen;

Het is volgens hen belangrijk dat alle betrokkenen in het ICS/SCADA domein komen tot een classificatiesystematiek ten aanzien van kwetsbaarheden inclusief een risico-mitigatiestrategie;

Het is noodzakelijk dat stakeholders in het ICS/SCADA domein worden opgeleid en getrained met betrekking tot het (h)erkennen van de complexiteit van security-issues, het nemen van verantwoordelijkheid voor oplossingen, en het permanent verbeteren van ICS/SCADA systemen;

Het is wellicht noodzakelijk en technisch mogelijk het gehele ICS/SCADA domein te herdefiniëren. Nieuwe technieken en devices zoals Field-Programmable gate array (FPGA) chips en (zeer) kleine micro controllers kunnen inmiddels al grote ICS/SCADA constellaties vervangen en in deze types devices kunnen securitymaatregelen eenvoudiger en effectiever beter worden ingebouwd;

Samenwerking tussen overheden, onderzoekers, ontwerpers, fabrikanten en gebruikers van ICS/SCADA is onontbeerlijk om verbetering en (meer) veiligheid te bereiken.


3.4 Risicobeeld van ICS/SCADA bij waterstaatswerken

Op basis van hoofdstuk 2 en het voorgaande uit dit hoofdstuk kan deelvraag 1 van het onderzoek nu

worden beantwoord. Deze deelvraag luidde als volgt (uit paragraaf 1.2):

“Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen zich

voor en welke veiligheidsrisico’s ontstaan hierdoor of worden hierdoor groter?“

Het antwoord op deze vraag is dat als gevolg van een aantal actuele ontwikkelingen in combinatie met

kwetsbaarheden van ICS/SCADA systemen de veiligheidsrisico’s in grote mate zullen toenemen indien

geen maatregelen worden getroffen. Vastgesteld is dat er een groot aantal typen threat agents in de

vorm van personen en organisaties bestaan die ten doel kunnen hebben en in staat zijn ICS/SCADA

van waterstaatswerken te manipuleren of te beschadigen.

Vastgesteld is ook dat ICS/SCADA systemen een groot aantal potentiële kwetsbaarheden kent. De

volgende actuele ontwikkelingen brengen potentiële veiligheidsrisico’s en werkelijke incidenten

dichter bij elkaar: Ten eerste worden ICS/SCADA-systemen steeds meer geïntegreerd met IT-

systemen en daarmee gekoppeld aan het internet. ICS/SCADA systemen worden ook steeds meer

rechtstreeks met internet verbonden. Ten tweede is er daarnaast steeds meer behoefte om

ICS/SCADA-systemen van afstand te besturen door middel van bijvoorbeeld tablets of applicaties op

smartphones waardoor de behoefte aan connectivity (met internet) sterk toeneemt. Ten derde komen

er steeds meer geavanceerde zoekmachines (SHODAN) en hackerstools (Metasploit) beschikbaar die

op internet eenvoudig vindbaar zijn en ook eenvoudig bruikbaar zijn. Ten vierde is het relatief

eenvoudig om op organisatieniveau te kunnen achterhalen welke ICS/SCADA constellaties in gebruik

zijn. Een google-search levert ook al snel bruikbare informatie op.

3.5 ICS/SCADA security: normenkaders en maatregelen

In de voorgaande paragrafen is het risicobeeld inzake ICS/SCADA uitgewerkt in termen van

bedreigingen, kwetsbaarheden en een inventarisatie van actuele en (mogelijke) toekomstige

ontwikkelingen. Tegenover geïdentificeerde veiligheidsrisico’s kunnen maatregelen ter mitigatie

worden genomen. Ter afsluiting van dit hoofdstuk wordt ingegaan op mogelijke maatregelen en

normenkaders inzake security / veiligheid.

Normenkaders security

Zowel Nordlander (2009) als Van Gils (2012) gaan in op normenkaders / frameworks voor

ICS/SCADA security. Voorbeelden daarvan zijn NIST 800-82 en ISA99. Beiden concluderen dat er

inmiddels diverse normenkaders ontstaan en bestaan, maar ook dat er sprake is van overlap. Van Gils

concludeert bovendien dat veel organisaties hun eigen normenkader ontwikkelen op basis van

onderdelen uit verschillende mondiale of landelijke normenkaders. Zoals aangegeven bij nummer 11

in de tabel van paragraaf 3.3 zijn voor gemeenten en waterschappen als belangrijke beheerders van

waterstaatswerken zeer recent baselines ontwikkeld inzake informatiebeveiliging. Deze baselines

dekken alle processen, activiteiten, documenten en eigendommen af en alle gemeenten en

waterschappen zijn verplicht en gecommitteerd deze standaarden te gaan gebruiken.


Overzicht van mogelijke security maatregelen

Zoals eerder is geschetst is ICS/SCADA security een complexe aangelegenheid en bestaat er geen “one

size fits all” oplossing. Met name legacy-systemen kunnen niet of niet eenvoudig worden beveiligd ten

aanzien van nieuwe risico’s zoals cybersecurity risico’s. De afgelopen jaren is sprake van meer

bewustwording van risico’s en heeft meer gestructureerd onderzoek naar en ontwikkeling van

security-maatregelen plaatsgevonden. Het eerder genoemd onderzoek “Veilig water” zal zich ook

richten op veiligheidsmaatregelen.

Drie (groepen van) auteurs hebben recent een verdieping gemaakt van security-maatregelen voor

ICS/SCADA. Dit betreffen:

Stouffer et al. in de NIST Guide tot Industrial Control Systems Security (NIST 800-82, 2011);

Radvanovsky en Brodsky in het Handbook of SCADA / Control Systems Security (2013);

Nordlander in de thesis “Wat is special about SCADA system cyber security?” (2009).

Nordlander heeft zich in zijn onderzoek meer gericht op het voorkomen van security-maatregelen in

verschillende security-frameworks. NIST en het Handbook of SCADA / Controls Systems Security zijn

geschreven als leidraad voor het treffen en verbeteren van het security-stelsel van individuele

organisaties. In bijlage 3 zijn de security-maatregelen die deze drie (groepen van) auteurs hebben

geïdentificeerd gerecapituleerd in een totaaloverzicht. NIST 800-82 identificeert 33 verschillende

typen maatregelen, het Handbook identificeert er 34 en Nordlander 25 verschillende. De overlap

tussen NIST 800-82 en het Handbook is groot, de top-down structuur en de inkadering van NIST

800-82 geeft een meer logisch leesbaar overzicht met vooral eerst aandacht voor de ontwikkeling van

een integraal securityprogramma al vorens in te gaan op technische maatregelen en management en

operationele controls.

In het interview met Hernando benadrukt hij de noodzakelijkheid van een “full security cycle” ten

aanzien van ICS/SCADA. Deze cycle bestaat uit vijf onderdelen, te weten:

1. Know: Ken de assets en ken de bedreigers (permanente intelligence);

2. Prevent: Tref en test beveiligingsmaatregelen;

3. Detect: Check permanent en ontdek tijdig security-incidenten;

4. Respond: Acteer adequaat op geconstateerde security-incidenten;

5. Recover: Breng de situatie terug naar het niveau van voor het incident.

3.6 Samenvatting en conclusies

In dit hoofdstuk is deelvraag 1 van het referaat beantwoord. Deze deelvraag heeft betrekking op de

ontwikkelingen en veiligheidsrisico’s rondom waterstaatswerken. De deelvraag is beantwoord door

eerst een analyse te maken van bedreigers en kwetsbaarheden omtrent ICS/SCADA en vervolgens

actuele en mogelijke toekomstige ontwikkelingen te schetsen. Vervolgens is nagegaan op welke wijze

volgens de theorie de risico’s door middel van maatregelen gemitigeerd kunnen worden.


De conclusies uit deze analyses kunnen als volgt worden samengevat:

Er zijn 10 verschillende typen van threat agents te onderkennen die een bedreiging kunnen vormen voor (de veiligheid van) ICS/SCADA van waterstaatwerken;

Er is een groot aantal van potentiële kwetsbaarheden te onderscheiden ten aanzien van de veiligheid van ICS/SCADA systemen. NIST 800-82 classificeert 70 verschillende potentiële kwetsbaarheden;

Er zijn ten aanzien van de veiligheid van ICS/SCADA veel positieve maar ook negatieve ontwikkelingen vast te stellen. Koppeling met internet, toenemende behoefte aan mobiliteit en toenemende belangstelling van hackers zijn voorbeelden van sterk risico-verhogende factoren;

De complexiteit van het ICS/SCADA vraagstuk is groot als gevolg van legacy-systemen en het feit dat er geen “one size fits all oplossing bestaat”;

Er zijn ontwikkelingen vast te stellen ten aanzien van normenkaders voor ICS/SCADA; voor beheerders van waterstaatswerken zoals gemeenten en waterschappen gelden de recent uitgebracht BIG en BIWA;

Er zijn in Nederland nog geen specifieke normenkaders voor ICS/SCADA van waterstaatswerken met bijvoorbeeld normen voor PLC’s;

Er bestaan veel verschillende typen security-maatregelen voor ICS/SCADA, deze komen uit buitenlandse literatuur, er is nog geen coherent overzicht of systeem van maatregelen die bruikbaar voor de specifiek Nederlandse context.


4. Casestudies ICS/SCADA

4.1 Inleiding

Voor de beantwoording van deelvraag 2 (over hoe in de praktijk met veiligheidsrisico’s wordt

omgegaan) is een tweetal casestudies uitgevoerd bij beheerders van waterstaatwerken. Daarbij is

gekozen voor waterschappen aangezien zij vaak meerdere typen waterstaatwerken beheren. De

samenvattende verslagen van casestudies zijn in dit referaat, in samenspraak met de betreffende

waterschappen, geanonimiseerd opgenomen. De hier opgenomen verslagen zijn door de

waterschappen gevalideerd.

4.2 Aanpak van de casestudies

De aanpak van de casestudies is gebaseerd op Yin (2013). De volgende stappen zijn uitgevoerd:

Oriënterend gesprek met vertegenwoordigers van het waterschap;

Toezenden documentatie ICS/SCADA casestudie en informatie-uitvraag;

Initieel interview met IT-medewerker(s) en proceseigenaren;

Verzamelen informatie op basis van informatie-uitvraag;

Bezoeken hoofdvestiging waterschap en uitvoeren site-visits bij waterstaatswerken;

Uitwerken en laten valideren casestudieverslag.

De informatie-uitvraag bij de casestudies bestond uit de volgende onderdelen:

1. De Architectuurplaat Beschrijving of visualisatie van de ICS/SCADA-architectuur en haar omgeving en betrekking hebbend op (de groep van) de waterstaatwerken.

2. Het Framework van risico- en bedreigingsmanagement Beschrijving van toepaste framework van risico- en bedreigingsmanagement zoals rollen, verantwoordelijkheden, processtappen, input- en outputvormen etc.

3. Recente risico/bedreigingsanalyse De uitwerking van de meeste recente risico/bedreigingsanalyse ICS/SCADA.

4. Reactie op risico-onderzoekslijst Reactie op het omgaan met ontwikkelingen zoals mobility, social engineering, nieuwe hackertools (zie ook tabel paragraaf 3.3).

5. Operationele maatregelenset Uitwerking van actuele veiligheidsmaatregelen die getroffen zijn.

6. Incidentenoverzicht ICS/SCADA Overzicht van recente ICS/SCADA incidenten

7. Ontwikkelingsbeeld ICS/SCADA Overzicht van recente, verwachte en/of voorgenomen ontwikkelingen ICS/SCADA.


De paragrafen 4.3 en 4.4 bevat de case-studie verslagen en zijn gebaseerd op de initiële gesprekken, de

ontvangen informatie naar aanleiding van de uitvragen, de site visits en de evaluerende gesprekken.

4.3 Casestudie 1: Middelgroot waterschap

Situatieschets

De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor

meerdere soorten waterstaatswerken zoals sluizen, bruggen, stuwen, gemalen en zuiverings-

installaties. Het waterschap kent een beheergebied van circa 1.500 km2 met meer dan 300 voor de

casestudie relevante waterstaatswerken. Er werken circa 300 personen bij het waterschap. Onderdeel

van de casestudie waren site visits bij een aantal grote waterstaatswerken. Deze site visits bij de

objecten en de lokale operator zijn uitgevoerd samen met de proceseigenaar (peilbeheer), de

beleidsadviseur automatisering en de concerncontroller.

Governance omtrent procesautomatisering

Bij het betreffende waterschap is altijd een procesmanager verantwoordelijk voor specifieke

beheersprocessen, de daarbij behorende waterstaatswerken inclusief de procesautomatisering

(SCADA). De IT-functie heeft in de organisatie een overwegend ondersteunende en dienstverlenende

rol. De organisatie kent geen specifieke SCADA-expert(s). Essentiële beslissingen inzake het

waterbeheer (zoals bijvoorbeeld het moment, de duur en intensiteit van het lozen van water) worden

zoveel mogelijk decentraal genomen alwaar ook de feitelijke aansturing (via de Human Machine

Interface, HMI) van het waterstaatswerk plaatsvindt.

Procesautomatisering

Waterstaatswerken zoals sluizen, gemalen en stuwen hebben deels geautomatiseerde besturing

alsmede telemetrie-aansluitingen. Zuiveringsinstallaties worden bestuurd door PLC-systemen

(Programmable Logic Controller) en bediend via SCADA. Rioolgemalen werken met een

telemetriesysteem. Er is sprake van een centraal hoofdpostsysteem, echter niet alle objecten kunnen

vanuit het hoofdpostsysteem worden bediend.

Er is geen scheiding tussen kantoor- en procesautomatisering, het geïntegreerde netwerk is ingericht

naar een ster-structuur met het hoofdkantoor (hoofdpost) als het hart van de ster. SCADA-

componenten en telemetrie zijn altijd via modems verbonden met het IT-netwerk. Het

beveiligingsniveau van de kantoorautomatisering op het hoofdkantoor is recent verhoogd en wordt

periodiek getest door middel van externe penetratie-testen. Het waterschap kent vijf verschillende

besturingssystemen (en leveranciers), drie verschillende telemetriesystemen en drie verschillende

SCADA-systemen.

Op IT- en SCADA-.gebied hebben zich recent geen markante ontwikkelingen voorgaan en worden

vooralsnog geen specifieke of substantiële ontwikkelingen verwacht anders dan regulier onderhoud en

reguliere vervanging / uitbreiding.

Tot op heden hebben zich geen security-incidenten ten aanzien van de procesautomatisering

voorgedaan.


Risico- en bedreigingsmanagement

Framework risicomanagement

Het waterschap beschikt niet over een raamwerk of systematiek van risicomanagement en

bedreigingsmanagement gericht op informatieveiligheid en SCADA. Er is dus geen integrale

risicoanalyse voorhanden en geen integraal beleid inzake de veiligheid van procesautomatisering c.q.

SCADA. Naar aanleiding van de zaak Veere is begin 2012 wel een quick scan uitgevoerd naar SCADA-

risico’s. De uitkomsten van deze quick scan zijn destijds gedeeld met directie en bestuur.

Namens IT participeert de beleidsadviseur automatisering in een landelijke werkgroep

informatieveiligheid waterschappen en richt hij zich daarbij specifiek op de veiligheid van

procesautomatisering. Het thema van risicomanagement staat derhalve op de IT-agenda, het doel is

om een plan inzake informatieveiligheid te formuleren.

Informeel risicomanagement

Hoewel er geen formeel risicomanagement is georganiseerd komen tijdens de casestudie (toch) een

aantal relevante uitgangspunten ten aanzien van veiligheid naar voren die in de praktijk worden

gehanteerd (informeel risicomanagement):

Hoe kwetsbaarder een waterstaatswerk is voor de omgeving en burger en hoe meer tijd nodig is voor herstel na een incident, hoe meer het waterstaatswerk en bijbehorende SCADA door het waterschap wordt geïsoleerd;

Kantoor- en procesautomatisering is niet gescheiden omdat juist de verbindingen ertussen als risicovol worden ervaren (mogelijke lekken);

Op cruciale plaatsen worden altijd nog (extra) fysieke beveiligingen aangebracht rondom de besturingssystemen zoals fysieke slot/sleutelcombinaties.

Quick scan risicoanalyse voorjaar 2012

De eerder genoemde quick scan van begin 2012 had betrekking op de veiligheid van de

procesautomatisering bij het waterschap. In deze quick scan worden de waterstaatswerken / objecten

beschreven alsmede het netwerk van verbindingen en de beveiliging van de objecten. Daarnaast

worden 8 concrete risico’s benoemd inclusief voorgestelde maatregelen en acties. Van de 8 benoemde

risico’s kunnen er 6 in direct verband worden gebracht met cybersecurity-risico’s. Uit oogpunt van

vertrouwelijkheid worden deze risico’s hier niet nader geduid.


Maatregelenset

Op basis van informeel risicomanagement en de quick scan uit 2012 zijn de volgende

veiligheidsmaatregelen getroffen (niet limitatief):

Isolatie van specifieke risicovolle waterstaatswerken zodanig dat centrale SCADA-aansturing daarvan niet mogelijk is;

Integratie van kantoor- en procesautomatisering om kwetsbare koppelingen te elimineren en te vermijden;

Aanvullende fysieke beveiligingsmaatregelen tussen de logische en mechanische techniek door middel van sloten en sleutels, bij afwezigheid van de operator zijn de sloten in werking;

DMZ tussen interne netwerk en internet; toegang vanaf internet alleen door middel van strong authentication,

Breed gebruik van VPN verbindingen;

Hoog autorisatie-niveau in SCADA-applicaties voor aansturing op afstand;

Telemetrie wordt niet rechtstreeks, maar alleen via modem aan het netwerk verbonden;

Jaarlijkse externe penetratietest gericht op eventuele zwakheden van het netwerk. Zowel van buiten naar binnen als van binnen naar buiten.

Specifieke bevindingen uit de casestudie/site visits

Aangezien het waterschap geen integrale risic0-analyse kent en ook geen integraal veiligheidsplan

voorhanden is bestaat er intern geen normenset inzake veiligheid die bijvoorbeeld kan dienen als

handvat voor bewustzijn van en gebruik door lokale operators. Bij de site visits bleken enerzijds basale

beveiligingsmaatregelen te zijn aangebracht of getroffen maar anderzijds dat deze niet allemaal

effectief waren. Onder meer username/password-combinaties bleken zichtbaar en in één geval was

een specifieke veiligheidsmaatregel doorbreken wegens lokaal ongewenste neveneffecten. Op één

HMI/SCADA-computer ontbrak een virusscanner met risico’s op het nestelen van trojans.


4.4 Casestudie 2: Middelgroot waterschap

Situatieschets

De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor

meerdere soorten waterstaatswerken zoals gemalen, rioolgemalen en zuiveringsinstallaties. Het

waterschap kent een beheergebied van circa 1.500 km2 met circa 100 voor deze casestudie relevante

waterstaatswerken. Een groot deel hiervan wordt via SCADA aangestuurd. Het aantal werkzame fte

bedraagt circa 250. Onderdeel van de casestudie was een site visit bij een grote, relatief nieuwe,

afvalwaterzuiveringsinstallatie (AWZI). De site visit bij deze AWZI en haar lokale operators is

uitgevoerd samen met de Security Officer en de Systeembeheerder Waterkwantiteit. Nota bene:

procesautomatisering wordt bij dit waterschap de Technische Automatisering (TA) genoemd.

Governance omtrent technische automatisering (procesautomatisering)

Proceseigenaren zijn (eind)verantwoordelijk voor de SCADA-systemen die de betreffende processen

ondersteunen. De rol van ICT in dit geheel is adviserend en faciliterend. ICT stelt wel de eisen en

uitgangspunten inzake de platformen waar SCADA op draait. Bij ontwikkeling op het domein TA en

SCADA wordt ICT betrokken. De organisatie kent geen specifieke functie of rol inzake SCADA. De

systeembeheerders van ICT zijn verantwoordelijk voor de SCADA-systemen in termen van onderhoud

en changemanagement. Bij de lokale operators is relatief gedetailleerde kennis aanwezig inzake het

functioneren van PLC’s, PLC-besturing en PLC-programmering. Deze kennis is opgedaan bij externe

opleidingen en cursussen. Lokale operators zijn verantwoordelijk voor de directe aansturing van de

afvalwaterzuiveringsprocessen en oplossen van storingen. Beslissingen daaromtrent mogen

decentraal worden genomen alwaar ook de feitelijke aansturing (via de HMI/SCADA) van het

waterstaatswerk plaatsvindt. Lokale operators zijn in staat van afstand (bijvoorbeeld via een tablet of

laptop thuis) de SCADA van de eigen werkplek aan te sturen.

Technisch Automatiseringsnetwerk

De technische automatisering is gescheiden van de kantoorautomatisering (KA). Het actuele

beveiligingsniveau van de TA wordt laag tot gemiddeld genoemd. Het actuele beveiligingsniveau van

de KA wordt zeer hoog genoemd. De beveiligingsniveaus van TA en KA wijken derhalve van elkaar af.

Centraal bekende kwetsbaarheden inzake de TA zijn onder meer het gebruik van zeer eenvoudige

passwords, het gebruik van een onvoldoende veilige remote access applicatie en het niet voorzien in

logging van activiteiten.

Communicatie met de PLC’s van de gemalen, zuiveringsinstallaties en andere waterstaatswerken vindt

vanuit het TA-netwerkplaats plaats via Cloud/private APN en private glasvezelnetwerk, de

hoofdlocaties zijn door middel van het glasvezelnetwerk met elkaar verbonden. Het waterschap heeft

recent een supportcontract voor haar SCADA afgesloten waardoor nieuwe versies van de SCADA-

software, middels downloading, snel ter beschikking komen te staan. SCADA-software voor

kwantiteitsbeheer kan (lokaal) worden aangepast: het beheer is in eigen huis. Het beheer van de

SCADA-software voor kwaliteitsbeheer, inclusief patching en upgrading, is uitbesteed aan de externe

leverancier. Een werkgroep is bezig met het thema van mobility met als doel het op afstand kunnen

bedienen van SCADA via mobile devices te faciliteren.

Tot op heden hebben zich geen security-incidenten ten aanzien van de technische automatisering

voorgedaan.


Risico- en bedreigingsmanagement

Framework risicomanagement

Het waterschap heeft, in aanvulling op het reeds aanwezige en gestructureerde financieel

risicomanagement, in 2013 een uitgebreide risicoanalyse uitgevoerd inzake informatieveiligheid. De

Security Officer heeft deze risicoanalyse aangestuurd, beheert de resultaten en initieert de

verbeteracties. Doel van het waterschap inzake informatieveiligheid is het op termijn kunnen voldoen

aan de BIWA. De uitgebreide en uitgewerkte risicoanalyse inclusief maatregelen is vastgelegd in het

Informatiebeveiligingsplan. Dit plan is door de directie vastgesteld, de opvolging en voortgang wordt

systematisch vastgelegd in een, van het informatiebeveiligingsplan afgeleid Excelbestand. De

technische automatisering maakt deel uit van de risicoanalyse. Er is derhalve een integrale

risicoanalyse aanwezig inzake informatieveiligheid en te treffen maatregelen. De maatregelen worden

momenteel stapsgewijs ingevoerd. Er is nog onvoldoende aandacht besteed aan risico-awareness op

site-niveau. Een belangrijke voorgestelde maatregel zijnde het creëren van een incident-responseteam

is onderhanden.

Maatregelenset

Met betrekking tot TA is er nog geen formele set aan maatregelen geïmplementeerd. Wel kent men

een aantal basis security-afspraken die zijn gemaakt direct na de zaak Veere. Deze afspraken zijn als

volgt (bron waterschap, letterlijke teksten):

Windows lock na opstart van het systeem en na x tijd niet gebruikt;

Een degelijk password voor inlog niet zijnde bijvoorbeeld welkom01;

Symantec virus-scan installeren en beheren;

Scada voorzien van persoonlijke inlog zodat ook wijzigingen\parameter instellingen op naam gelogd kunnen worden;

Toegang van buiten\thuis via de ICT\KA security dus portaal met token enz.

Uit de bovengenoemde uitgebreide risico-analyse van 2013 zijn 6 risico’s benoemd die specifiek

betrekking op de Technische Automatisering. Voor alle 6 risico’s zijn beheersmaatregelen opgesteld en

wordt de status daarvan periodiek gemeten. Daarnaast zijn vanuit de benoemde risico’s en

beheersmaatregelen aanbevelingen uitgewerkt ter actualisatie en completering van het

informatiebeveiligingsplan van het waterschap. De 6 risico’s zien op (1) toegang tot locaties met TA,

op (2) de continuïteit van de TA in termen van energievoorziening, op (3) TA-apparatuur buiten de

eigen terreinen, op (4) de beheersing van de operationele programmatuur, op (5) de bescherming van

testdata en op (6) procedures voor wijzigingsbeheer.

Specifieke bevindingen uit de casestudie

Uit de site visit bij de AWZI komt een aantal specifieke zaken naar voren. Ten eerste blijkt dat de

lokale operators goede kennis hebben van de SCADA en gebruikte PLC’s. De lokale operators zijn ook

goed op de hoogte van de kwetsbaarheden van de in gebruik zijnde SCADA-software en de (remote)

communicatieapplicaties. Enerzijds heeft dit een positieve kant omdat door de één van de operators

zelf een specifieke security-maatregel was getroffen om bepaalde toegangsrisico’s te beperken (een

eigen verzwaarde password instelling op een SCADA-applicatie. Anderzijds blijkt dat men in staat is

om ongeautoriseerd op de eigen mobiele telefoon en thuiscomputer besturingssoftware te plaatsen

waarmee de SCADA op de werkplek kan worden bediend. Ten tweede bleek dat een aantal basale,

intern afgesproken, veiligheidsmaatregelen niet werking waren: op een aantal werkstations met

SCADA was geen virusdetectie geïnstalleerd en er was geen automatische screen-locking geactiveerd.

Daarnaast bleek dat dat er geen sprake van automatische uitlogging uit SCADA-applicaties: eenmaal

ingelogd blijft ingelogd.


4.5 Bevindingen uit de casestudies

Op basis van de casestudies kan nu ook deelvraag 2 van het onderzoek worden beantwoord. Deze

deelvraag gaat over de wijze waarop beheerders van waterstaatwerken in de praktijk omgaan met de

veiligheidsrisico’s van ICS/SCADA.

Uit de casestudies komen de volgende bevindingen:

De beheerders van waterstaatswerken zijn zich bewust van het feit dat er specifieke risico’s spelen inzake ICS/SCADA in relatie met IT-netwerken en internet;

Bij beide waterschappen werd de zaak Veere in 2012 (bijlage 1) genoemd als reden om een quick scan risicoanalyse uit te voeren, respectievelijk om specifieke security-afspraken te maken;

De BIWA was bij beide waterschappen mede een reden om ICS/SCADA security (nader) op de managementagenda te zetten; vertegenwoordigers van beide waterschappen zijn betrokken bij landelijke werkgroepen in relatie met de verdere ontwikkeling van de BIWA;

Bij één waterschap was recent een integrale risicoanalyse informatieveiligheid uitgevoerd waar ook ICS/SCADA onderdeel van uitmaakt. Bij het andere waterschap dateerde de meest recente risicoanalyse (quick scan) uit 2012, geïnitieerd vanwege “Veere”;

Risicomanagement inzake ICS/SCADA staat nog in de kinderschoenen, bedreigings-management past men in het geheel nog niet toe. Er was geen specifiek ICS-SCADA normenkader voor security opgesteld en/of in gebruik.

Bij beide waterschappen is, ten aanzien van de reguliere IT-omgeving (kantoorautomatisering) en de koppeling daarvan met internet, sprake van een uitgebreide set aan technische securitymaatregelen;

Beide waterschappen hebben vanuit de ICT-functie specifieke security-maatregelen voor ICS/SCADA gedefinieerd en (deels) getroffen. Deze maatregelen zijn hoofdzakelijk technisch van aard;

Wat betreft het op afstand besturen van de ICS/SCADA zelf (mobility) zijn beide waterschappen daar reeds vergaand mee bezig in termen van planvorming c.q. (voltooide) implementatie;

Lokale operators worden weinig tot niet betrokken bij het ontwikkelen van een security-maatregelen voor ICS/SCADA;

Bij één van de site visits bleken lokale operators over zeer ruime PLC-ervaring te beschikken

ten aanzien van architectuur, aansturing, communicatieprotocollen en het kunnen

programmeren van PLC’s;

Op site niveau bleek bij beide casestudies dat een aantal basale security maatregelen niet waren getroffen dan wel buiten gebruik te zijn gesteld of dat specifieke interne afspraken over security niet werden nagekomen.

Men vertrouwt er ook op dat ingeval van security-incidenten inzake ICS/SCADA men tijdig via fysieke handelingen kan bijsturen c.q. de schade kan beperken: handmatig aan-/uitzetten.


4.6 Conclusies uit het praktijkonderzoek

Beheerders van waterstaatswerken zijn steeds meer bekend met de veiligheidsrisico’s van

ICS/SCADA. De zaak Veere heeft de bewustwording daaromtrent in 2012 versneld. De zaak Veere

kwam tijdens de casestudies ook aan de orde en heeft ook tot zichtbare stappen geleid op het gebied

van risicomanagement. ICS/SCADA is een thema dat anno 2014 op agenda is komen te staan van de

beheerders van waterstaatswerken, gedreven door onder meer de BIWA en publiciteit in de media.

Naast de constatering dat risico-management gericht op ICS/SCADA nu plaatsvindt, is een tweede

constatering dat de IT-functie in beide situaties een scala aan technische maatregelen heeft

geïnitieerd. Dit betreffen overigens wel IT- securitymaatregelen waarmee een deel van de ICS/SCADA

security risico’s wordt afgedekt. Heel specifieke ICS/SCADA security-maatregelen zijn nog weinig tot

niet getroffen.

De derde conclusie is dat er bij beide waterschappen niet sprake was van een integraal ICS/SCADA

beveiligingsplan inclusief aandacht voor ontwikkelingen, security-awareness en aandacht voor heel

specifieke ICS/SCADA security issues.

Een vierde conclusie is dat op site-niveau sprake was van het niet altijd voldoen aan afgesproken

securitymaatregelen zoals bijvoorbeeld het geheimhouden van passwords en het gebruiken van

virusscanners.


5. Essentiële leerpunten uit het onderzoek en reflectie

5.1 Inleiding

De derde en laatste deelvraag van dit onderzoek gaat over welke essentiële leerpunten nu zijn te

destilleren ten aanzien van de digitale (on)veiligheid van waterstaatswerken en mogelijke maatregelen

ter mitigatie van de geconstateerde risico’s. In paragraaf 2 wordt daartoe een synthese tussen theorie

en praktijk uitgewerkt, in paragraaf 3 volgen de leerpunten in de vorm van een tweetal scenario’s, in

paragraaf 4 wordt kort op de rol van de IT-auditor ingegaan en tot slot volgen aanbevelingen voor

nader onderzoek (paragraaf 5) en de persoonlijke reflectie (paragraaf 6)

5.2 Synthese tussen theorie en praktijk

De synthese van dit referaat bestaat uit het bij elkaar brengen van het theoretische deel van het

onderzoek en de casestudies als praktijkonderzoek. Gekozen is om deze synthese te formuleren in

termen van opvallende overeenkomsten en verschillen tussen theorie en praktijk.

Opvallende overeenkomsten tussen theorie en praktijk

ICS/SCADA security bij waterstaatswerken blijkt zowel vanuit de theorie als vanuit de praktijk een

complexe problematiek waar geen “one size fits all” oplossing voor bestaat. De ontwikkelingspatronen

van ICS/SCADA zoals geschetst in hoofdstuk 3, de risico’s omtrent ICS/SCADA security en de actuele

ontwikkelingen zoals mobility komen ook terug in de casestudies. Vanuit de theorie is nog geen

allesomvattend kader ontwikkeld zoals een integraal security ICS/SCADA framework die toepasbaar is

voor alle beheerders van waterstaatswerken, hoewel met de BIG en BIWA de eerste stappen zijn gezet.

Lopende onderzoeken zoals “Veilig Water”, interventies van de overheid en diverse publicaties maken

vanuit de theorie duidelijk dat er nog geen gezamenlijke route is om ICS/SCADA security problemen

grondig aan te pakken ter preventie van mogelijke majeure incidenten. Uit de praktijk blijkt ook op

organisatieniveau nog geen intern gezamenlijk pad is om ICS/SCADA security grondig aan te pakken.

Hier sluiten de theorie en de praktijk op elkaar aan. Dit geldt eveneens voor het thema van security-

awareness. Uit de theoretische verkenning blijkt dat awareness zijn intrede heeft gedaan, in de

praktijk geldt hetzelfde. Risicoanalyses in de theorie blijken nog voor het overgrote deel te wijzen op

de technische kwetsbaarheden en technische maatregelen. Security awareness en

bedreigingsmanagement blijven daarin nog onderbelicht. Ook dit punt sluit de praktijk aan op de

theorie.

Opvallende verschillen tussen theorie en praktijk

Zoals blijkt uit dit onderzoek zijn er in de literatuur inmiddels veel analyses te vinden van

ICS/SCADA- problemen, kwetsbaarheden, risico’s, securitymaatregelen etc. Er zijn echter twee

belangrijke punten die in de praktijk wel naar voren komt maar in de theorie nog onderbelicht blijven

of niet worden. Het eerste punt betreft de permanente afweging in de praktijk tussen de ontwikkeling

van nieuwe functionaliteit versus de ontwikkeling van security. De neiging om prioriteit te blijven

leggen op functionaliteit is uiteraard groot. Deze afweging wordt in de theorie niet genoemd.


Een tweede punt betreft het kennis- en kostenaspect. Specifiek voor Nederland blijkt dat de

verantwoordelijkheid van de mogelijk duizenden waterstaatswerken en ICS/SCADA-systemen is

verdeeld over meer dan 20 waterschappen en een aanzienlijke groep van gemeenten. Al deze

organisaties beschikken niet over specifieke ICS/SCADA-experts en de kosten om deze experts aan te

trekken, in dienst te hebben en op te (blijven) leiden zijn (te) hoog. Dat geldt ook voor eventuele

inhuur van deze kennis en kunde. Dat zou ook macro gezien niet efficiënt en niet effectief zijn. Op

micro-niveau geldt het kostenvraagstuk overigens ook in termen van wie de securitykosten in eerste

instantie gaat dragen: IT of de “business” in de persoon van de proceseigenaar.

5.3 Leerpunten digitale veiligheid waterstaatswerken

Het belangrijkste leerpunt uit het onderzoek naar de digitale veiligheid van waterstaatwerken is dat er

nog een (hele) lange weg te gaan is om tot een situatie te komen waar sprake is van “in control” zijn

ten aanzien van ICS/SCADA security. Dit geldt op microniveau (waterstaatswerken, waterschap,

gemeente) maar zeker ook op overstijgend landelijk niveau. Daarbij is relevant dat de complexiteit

hoog is en er enerzijds geen ‘one size fits all”- oplossing bestaat en dat anderzijds ook sprake is van

digitale veiligheid als een “bewegend doel” (moving target). Met dit laatste wordt bedoeld dat

momenteel de technische ontwikkelingen en wensen zo snel gaan dat voorgenomen of getroffen

security-maatregelen al snel verouderd of achterhaald blijken te zijn. Dit, in combinatie met de

financiële druk die vrijwel alle organisaties momenteel voelen, leidt tot de situatie waarin security van

ICS/SCADA bij waterstaatwerken nog geen grote prioriteit of urgentie kent. Dat neemt niet weg dat de

eerder geconstateerde risico’s en kwetsbaarheden onverminderd blijven bestaan en mogelijk zelfs

toenemen in het licht van de mobiliteit-bewegingen zoals ICS/SCADA aansturing vanuit huis.

Maar hoe nu verder? Om deze vraag te beantwoorden is een tweetal realistische scenario’s ontwikkeld

op weg naar meer digitale veiligheid voor ICS/SCADA bij waterstaatswerken. Deze scenario’s zijn

ontwikkeld op basis van de bevindingen van dit ICS/SCADA onderzoek:

1. Het incrementele ICS/SCADA security-scenario;

2. Het versnelde ICS/SCADA security-scenario.

Scenario 1: Het incrementele ICS/SCADA security-scenario

In dit eerste scenario is sprake van continuering van de bestaande praktijk op weg naar meer adequate

security voor de ICS/SCADA van waterstaatswerken. In dit scenario blijft de focus van de beheerders

van waterstaatswerken nog voornamelijk liggen op het ontwikkelen van nieuwe, betere of snellere

ICS/SCADA-functionaliteit zelf, zoals het toepasbaar maken van ICS/SCADA voor vergaande vormen

van mobilititeit. De BIG voor gemeenten en de BIWA voor waterschappen zullen in dit scenario de

belangrijkste drivers zijn om uiteindelijk tot een meer coherent en integraal security-pakket te komen

voor ICS/SCADA. Dit security-pakket is daarbij dan een onderdeel van een integraal en organisatie-

breed informatieveiligheidsbeleid zoals de BIG en BIWA dat voorstaan. In dit scenario bestaat het

risico dat actuele ICS/SCADA ontwikkelingen en de aard en omvang van bedreigingen sneller gaan

dan de ontwikkeling van security kan bijhouden.


Een globale inschatting van de duur van “bewandelen” van deze incrementele weg, gemaakt mede op

basis van de vijf ontwikkelingsfasen van paragraaf 2.4 en de ervaringen uit de casestudies komt op

zeker een periode van één tot twee decennia. De onzekerheid die aan deze tijdsraming is verbonden

ligt met name op het vlak het eerdergenoemde moving target: ontwikkelingen van ICS/SCADA

functionaliteit kunnen sneller gaan dan de ontwikkelingen van security-maatregelen waardoor de

kloof niet kleiner kan worden gemaakt of gedicht.

Scenario 2: Het versnelde ICS/SCADA security-scenario

In dit tweede scenario doet zich binnen enkele jaren, dus op relatief korte termijn, één of meer

significante of zelfs ernstige cybersecurity-incidenten voor op het gebied van ICS/SCADA bij

waterstaatswerken. Deze incidenten leiden in dit scenario tot schade en onrust en tot een grote

versnelling op de weg naar meer adequate security voor ICS/SCADA van waterstaatswerken. Deze

versnelling zal in dit scenario enerzijds door beheerders van de waterstaatswerken zelf worden

geïnitieerd om verdere of nieuwe schade te beperken en te voorkomen. Aan de andere kant zal de

overheid ICS/SCADA security versneld gaan afdwingen door middel van bijvoorbeeld wetgeving in

combinatie met toezicht en inspectie. In dit scenario zullen de BIG en BIWA en bestaande

instrumenten zoals de checklijsten van het NCSC ontoereikend blijken om de vereiste versnelling te

kunnen faciliteren. Een robuust en relatief gedetailleerd normenkader voor ICS/SCADA security bij

waterstaatswerken zal daarvoor in de plaats nodig zijn als detaillering van een vergaand wettelijk

kader.

5.4 Rol voor de IT auditor(s)

Dit referaat is geschreven in het kader van de Post Graduate Opleiding IT Audit, Compliance &

Advisory. Het is dan ook interessant vast te stellen in het kader van de leerpunten of en zo ja welke rol

de IT auditor kan spelen bij het vraagstuk van cybersecurity van waterstaatswerken. Om dit vast

stellen dient eerst te worden bepaald welke rollen een IT auditor in dit kader kan spelen. Dit zijn de

volgende:

1. De interne IT auditor die audits en onderzoek uitvoert naar informatieveiligheid in brede of specifieke zin;

2. De externe IT auditor in het kader van de jaarrekeningcontrole; 3. De externe IT auditor die een specifieke audit uitvoert op informatieveiligheid in brede zin

(bijvoorbeeld in het licht van de BIG of BIWA) of in specifieke zin (in casu de security van ICS/SCADA van waterstaatswerken);

4. De externe IT auditor die optreedt als adviseur inzake informatieveiligheid en/of ICS/SCADA; 5. De IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied van ICS/SCADA.

Voor interne IT auditor is sprake van een relevant thema die hij (/zij) op de agenda kan zetten voor

het management van de beheerders van waterstaatswerken. De rol van de IT auditor zal met name

kunnen liggen in het opzetten van een specifiek normenkader die gebruikt kan worden voor

ontwikkeling en auditing van ICS/SCADA security. Gezien de soms zeer specifieke en unieke

waterstaatswerken die er bestaan kunnen dan zelfs op site-level deelnormenkaders worden

ontwikkeld.


Voor de externe IT auditor in het kader van jaarrekeningcontrole is er minder snel een rol vast te

stellen. ICS/SCADA gaat immers niet over financiële data die relevant zijn voor de jaarrekening. Een

rol zou kunnen zijn dat deze IT auditor vaststelt dat de beheerders voldoen aan bijvoorbeeld BIG en

BIWA, een andere rol zou kunnen zijn dat de IT auditor nagaat of ICS/SCADA risico’s in de praktijk zo

groot zijn dat de “betrouwbaarheid en continuïteit van de geautomatiseerde gegevens” in gevaar komt.

Dit lijkt (te) vergezocht.

De externe IT auditor die een specifieke audit uitvoert zal in deze rol veel aandacht moeten schenken

het normenkader dat gebruikt gaat worden en het realistische tijdspad om te kunnen voldoen aan de

daarin beschreven normen. Het is in deze rol van belang te beseffen en vooraf te communiceren dat de

kans reëel is dat de audits niet direct tot positieve oordelen zullen leiden, maar dat dat een proces van

jaren kan zijn.

De externe IT auditor die optreedt als adviseur heeft gegeven de uitkomsten van dit onderzoek een

grote potentiële markt voorhanden, maar zal moeten waken voor een aantal zaken in zijn

beroepsuitoefening. Deze zaken zijn: over specifieke kennis en ervaring beschikken inzake

ICS/SCADA, geduld hebben en diep leren inzoomen op de specifieke ICS/SCADA constellaties die het

object van advies zijn waarbij site visits onontbeerlijk zijn.

Tot slot de IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied. Uit dit

onderzoek blijkt dat er vele interessante thema’s zijn voor nader onderzoek (zie ook de volgende

paragraaf). Tevens blijkt dat er reeds onderzoeksinitiatieven lopen. De rol van dit type IT auditor kan

zijn dat een bijdrage wordt geleverd aan het ontwikkelen van integrale ICS/SCADA normenkaders

(voor waterstaatswerken) en/of voor het mede ontwikkelen van ketenoptimalisatie rondom

ICS/SCADA waarin alle relevante stakeholders worden betrokken.

5.5 Aanbevelingen voor nader onderzoek

Dit onderzoek naar de digitale veiligheid van waterstaatwerken heeft geleid tot een serie van

interessante bevindingen en conclusies. Tegelijkertijd blijkt sprake van een complex security-domein

waar een groot aantal stakeholders betrokken is zoals beheerders van waterstaatswerken,

ICS/SCADA-leveranciers, overheid, adviseurs en onderzoekers. Binnen dit domein en naar aanleiding

van dit onderzoek kunnen in ieder geval de volgende thema’s aan de orde worden gesteld die de

aanbeveling verdienen om nader onderzocht te worden:

Hoe kan de samenwerking tussen alle stakeholders op het gebied van ICS/SCADA security van waterstaatswerken zodanig worden georganiseerd dat sprake is van een gezamenlijke win-win-situatie?

Hoe is het mogelijk tot om tot standaardisatie te komen van technieken in termen ICS/SCADA-software en communicatieprotocollen alsmede van de patching- en upgradeprocessen, naast effectieve en specifieke security-frameworks?

Hoe kan in Nederland het bedreigingsmanagement van ICS/SCADA bij waterstaatswerken het meeste effectief en efficiënt worden vormgegeven?

Hoe zit de landelijke business case er uit voor ICS/SCADA effectieve security bij waterstaatswerken in termen van te beveiligen componenten, de financiële waarden en de (financiële) kwantificering van bedreigingen?


5.6 Reflectie op het onderzoeks- en leerproces

Tot slot van dit referaat mijn persoonlijke reflectie op het onderzoeks- en leerproces en mijn

inschatting welke van de twee scenario’s uit paragraaf 5.3 het meest realistische is.

Menig maal is in dit referaat de zaak Veere aan de orde gekomen: een televisierapportage over de

gemeente Veere en haar slecht beveiligde SCADA die schetst hoe eenvoudig het is om sluizen, bruggen

en gemalen te manipuleren waardoor grote schade kan ontstaan. Een rapportage die landelijk tot veel

onrust en publiciteit heeft geleid. Gedurende mijn onderzoek is mij gebleken dat de achterliggende

situatie van ICS/SCADA daarentegen niet eenvoudig maar juist bijzonder ingewikkeld is en dat er

geen snelle en eenvoudige oplossingen voorhanden zijn. Via Veere is met dit onderzoek een domein

betreden dat actueel, gevarieerd en complex is, getuige alleen al de literatuurlijst op de volgende

pagina’s als een samenvattende representatie van vele onderzoeken, artikelen en weblogs die recent

over SCADA-risico’s zijn verschenen. Een boeiend domein omdat het de directe wereld om ons heen

(bruggen, sluizen, gemalen, water) direct verbindt met techniek, mechaniek, internet en security. Een

boeiend domein ook omdat het laat zien dat actuele ontwikkelingen op IT gebied grote impact kunnen

hebben op ICS/SCADA-systemen die soms decennia geleden zijn ontwikkeld en in gebruik zijn

genomen. Als reflectiepunt kan ik dan ook zeggen dat het van belang is en blijft om bij toekomstige

ICS/SCADA-ontwikkelingen altijd flexibiliteit in te bouwen, dit kan zijn flexibiliteit in de architectuur

of in IT- en OT-componenten zelf, dan wel de flexibiliteit om ICS/SCADA-constellaties snel en tegen

aanvaardbare kosten te kunnen vervangen. Dit vereist een ketenaanpak, waar alle partijen samen

zullen moeten werken. Een ketenaanpak die mogelijk kan leiden tot herontwerp van ICS/SCADA in

het licht van security.

Een tweede reflectiepunt betreft het proces van het onderzoek. In veel situaties bestaat

praktijkonderzoek uit, naast documentstudie, enquêteren en/of het uitvoeren van een aantal

interviews. Voor dit onderzoek heeft naast de interviews alle nadruk gelegen op de site visits bij

sluizen, gemalen en afvalwaterzuiveringsinstallatie en de aansturing daarvan. Op deze wijze kon een

totaalbeeld worden verkregen van ICS/SCADA in de praktijk en de securitymaatregelen die wel en

soms ook niet in gebruik waren. De casestudies zijn onmisbaar geweest in mijn onderzoek. De site

visits waren daarnaast ook voor alle anderen betrokkenen van de waterschappen zelf leerzame

momenten van inventarisatie, kennisuitwisseling en dialoog met ongetwijfeld nog interne discussie en

opvolging.

Ter afsluiting mijn mening over de twee in paragraaf 5.3 geschetste scenario’s. Ik denk, alles

afwegende, dat scenario 2 het meest realistische is. Mijn verwachting is dat zich één of meer ernstige

cyber-security-incidenten op het gebied van waterstaatswerken zullen voordoen die uiteindelijk de

security als geheel zullen versnellen: het versnelde ICS/SCADA securityscenario. Één geruststelling

daarbij: alle operators bij de site visits gaven aan nog steeds handmatig te kunnen interveniëren in de

regeltechniek en de mechanica. Ze moeten er dan wel fysiek tijdig bij zijn….


Literatuuroverzicht

Bloem, W.J. en Blokzijl, J. (redactie) , 2012, Sluizen, gemalen en bruggen slecht beveiligd,

Éénvandaag,

http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slech

t_beveiligd, geraadpleegd 14 september 2013. (zie ook Bijlage 1).

CPNI.NL, 2012, Beveiliging van legacy procescontrolesystemen, op weg naar veilige

procescontrolesystemen, White Paper Platform voor Cybersecurity, versie 1.0 15 februari 2012.

GEENSTIJL, 2013, WTF! Hackers kunnen heel Nederland platleggen,

http://www.geenstijl.nl/mt/archieven/2013/05/wtf_hackers_kunnen_heel_nederl.html,

geraadpleegd 14 september 2013.

Gils, van W., 2012, Process Control Frameworks – which frameworks are available for PCS’s and how

do companies use these frameworks, Thesis PGO IT audit, VU Amsterdam.

Larkin, R.D., 2012, Evaluation of traditional security solutions in the SCADA environment, Thesis Air

Force Institute of Technology, Ohio, USA.

Luiijf, H.A.M., 2008, Beveiliging procescontrole is een onderbelicht onderwerp, Vakblad

Informatiebeveiliging nummer 4-2008, Platform voor Informatiebeveiliging.

Luiijf, H.A.M., 2012, Onbewust onveilig, Vakblad Informatiebeveiliging nummer 4-2012, Platform

voor Informatiebeveiliging.

Molenaar, M. 2003, De performance van web enabled telemetrie, KNW, Neerslag Magazine (2003),

www.neerslag-magazine .nl, http://www.neerslag-magazine.nl/magazine/artikel/312/,


Nl.wikipedia.org, 2013, lemma SCADA,

http://nl.wikipedia.org/wiki/Supervisory_control_and_data_acquisition, geraadpleegd 14 september

2013.

NCSC, 2012, Beveiligingsrisico’s van on-line SCADA systemen, Factsheet FS-2012-01.

NSCS, 2012, Checklist beveiliging van ICS/SCADA0-systemen, PDF bestand, via:

https://www.ncsc.nl/actueel/nieuwsberichten/ncsc-publiceert-checklist-beveiliging-ics-scada-

systemen.html, geraadpleegd 14 september 2013.

NSCS, 2013, Cybersecuritybeeld Nederland 3 – CSBN-3,

https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-kwetsbaarheid-van-

ict-onverminderd-hoog.html, geraadpleegd 14 september 2013.

http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slecht_beveiligd


http://www.geenstijl.nl/mt/archieven/2013/05/wtf_hackers_kunnen_heel_nederl.html

http://www.neerslag-magazine.nl/magazine/artikel/312/

http://nl.wikipedia.org/wiki/Supervisory_control_and_data_acquisition

https://www.ncsc.nl/actueel/nieuwsberichten/ncsc-publiceert-checklist-beveiliging-ics-scada-systemen.html

https://www.ncsc.nl/actueel/nieuwsberichten/ncsc-publiceert-checklist-beveiliging-ics-scada-systemen.html

https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-kwetsbaarheid-van-ict-onverminderd-hoog.html

https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-kwetsbaarheid-van-ict-onverminderd-hoog.html


Norlander, J., 2009, What is special about SCADA system cyber security? A comparison between

existing SCADA system security standards and ISO 17799, Master Thesis Report in collaboration with

Department of Industrial Information and Control Systems Royal Institute of Technology and Svenska

Kraftnät, Stockholm, Zweden.

Ouchn, N.J. 2013, New SCADA Default Passwords added to DPE xml Database, www.toolswatch.org,

http://www.toolswatch.org/2013/02/new-scada-default-passwords-added-to-dpe-xml-database/,


Peters, J., 2013, SCADA Systems: Myths, Inaccuracies and Chaos Surrounding Our Critical

Infrastructure, www.hacksurfer.com, http://www.hacksurfer.com/amplifications/276-scada-

systems-myths-inaccuracies-and-chaos-surrounding-our-critical-infrastructure, geraadpleegd 27

september 2013.

Radvanovsky, R. en Brodsky, J., 2013, Handbook of SCADA / Control Systems Security, CRC Press

Taylor & Francis Group, USA.

Reijerman, D., 2012, ‘Nederlandse scada-systemen zijn kwetsbaar voor aanvallen’, Tweakers.net,

http://tweakers.net/nieuws/80027/nederlandse-scada-systemen-zijn-kwetsbaar-voor-

aanvallen.html, geraadpleegd 20 september 2013.

Schellevis, J., 2012, Scada-beveiliging: een structureel probleem system, Tweakers.net,

http://tweakers.net/reviews/2465/3, geraadpleegd 27 september 2013.

Schellevis, J., 2012, Onderzoekers vinden 20 bugs in scada-systemen Siemens,

http://tweakers.net/nieuws/86318/onderzoekers-vinden-20-bugs-in-scada-systemen-siemens.html,


Schoemaker, R., 2012, Kabinet ‘niet verantwoordelijk’ voor lekke SCADA, Webwereld.nl,

http://webwereld.nl/beveiliging/56357-kabinet--niet-verantwoordelijk--voor-lekke-scada,


Schoemaker, R., 2012, Minister: SCADA-systemen van het Rijk zijn veilig, Webwereld.nl,

http://webwereld.nl/beveiliging/56300-minister-scada-systemen-van-het-rijk-zijn-veilig,


Schoemaker, R., 2012, SCADA-leveranciers nemen security niet serieus, Webwereld.nl,

http://webwereld.nl/beveiliging/56169--scada-leveranciers-nemen-security-niet-serieus-,


Schoemaker, R., 2013, Kwetsbare SCADA-systemen in kaart gebracht, Webwereld.nl,

http://webwereld.nl/beveiliging/59619-kwetsbare-scada-systemen-in-kaart-gebracht, geraadpleegd

27 september 2013.

Security.nl, 2012, “Nederlandse bruggen kwetsbaar voor hackers”,

https://www.security.nl/artikel/40344/1/%22Nederlandse_bruggen_kwetsbaar_voor_hackers%22.h

tml, geraadpleegd 27 september 2013.

http://www.toolswatch.org/

http://www.toolswatch.org/2013/02/new-scada-default-passwords-added-to-dpe-xml-database/

http://www.hacksurfer.com/

http://www.hacksurfer.com/amplifications/276-scada-systems-myths-inaccuracies-and-chaos-surrounding-our-critical-infrastructure

http://www.hacksurfer.com/amplifications/276-scada-systems-myths-inaccuracies-and-chaos-surrounding-our-critical-infrastructure

http://tweakers.net/nieuws/80027/nederlandse-scada-systemen-zijn-kwetsbaar-voor-aanvallen.html

http://tweakers.net/nieuws/80027/nederlandse-scada-systemen-zijn-kwetsbaar-voor-aanvallen.html

http://tweakers.net/reviews/2465/3

http://tweakers.net/nieuws/86318/onderzoekers-vinden-20-bugs-in-scada-systemen-siemens.html

http://webwereld.nl/beveiliging/56357-kabinet--niet-verantwoordelijk--voor-lekke-scada

http://webwereld.nl/beveiliging/56300-minister-scada-systemen-van-het-rijk-zijn-veilig

http://webwereld.nl/beveiliging/56169--scada-leveranciers-nemen-security-niet-serieus-

http://webwereld.nl/beveiliging/59619-kwetsbare-scada-systemen-in-kaart-gebracht

https://www.security.nl/artikel/40344/1/%22Nederlandse_bruggen_kwetsbaar_voor_hackers%22.html

https://www.security.nl/artikel/40344/1/%22Nederlandse_bruggen_kwetsbaar_voor_hackers%22.html


Security.nl, 2012, Nederlandse hacker onthult open SCADA-systemen,

https://www.security.nl/posting/34974/ , geraadpleegd 16 september 2013

Security.nl, 2012, Gapend gat bij honderden SCADA-leveranciers,

https://www.security.nl/posting/38630/Gapend+gat+bij+honderden+SCADA-leveranciers,


Security.nl, 2013, SCADA- leverancier verhelpt backdoor na anderhalf jaar,

https://www.security.nl/posting/41344/SCADA-leverancier+verhelpt+backdoor+na+anderhalf+jaar,


Stouffer, K., Falco, J., en Scarfone, K., 2011, Guide to Industrial Control Systems Security; Supervisory

Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control

system configurations such as Programmable Logic Controllers (PLC); Recommendations of the

National Institute of Standards and Technology, NIST, Special Publication 800-82, USA.

Trouw, 2012, ‘Kinderlijk eenvoudig om vanuit huis een sluis te bedienen’,

http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3179466/2012/02/14/Kinderlijk-

eenvoudig-om-vanuit-huis-sluis-te-bedienen.dhtml, geraadpleegd 14 september 2013.

Ward, M., 2012, How to hack a nation’s infrastructure, BBC News Technology,

http://www.bbc.co.uk/news/technology-22524274, geraadpleegd 14 september 2013.

Watervragen, 2012, Water ABC,

http://www.watervragen.nl/component/sobipro/?pid=55&sid=1055:Waterstaatswerk&Itemid=0

geraadpleegd 7 oktober 2013.

Zwaap, R., 2011, Nederland kwetsbaar voor cybercriminaliteit – De wereld na Stuxnet, Public

Mission, http://www.pm.nl/artikel/1707/nederland-kwetsbaar-voor-cybercriminaliteit ,


Yin, R.K., 2013, Case Study Research – Design and Methods, 5th edition, SAGE Publications, USA

https://www.security.nl/posting/34974/

https://www.security.nl/posting/38630/Gapend+gat+bij+honderden+SCADA-leveranciers

https://www.security.nl/posting/41344/SCADA-leverancier+verhelpt+backdoor+na+anderhalf+jaar

http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3179466/2012/02/14/Kinderlijk-eenvoudig-om-vanuit-huis-sluis-te-bedienen.dhtml

http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3179466/2012/02/14/Kinderlijk-eenvoudig-om-vanuit-huis-sluis-te-bedienen.dhtml

http://www.bbc.co.uk/news/technology-22524274

http://www.watervragen.nl/component/sobipro/?pid=55&sid=1055:Waterstaatswerk&Itemid=0

http://www.pm.nl/artikel/1707/nederland-kwetsbaar-voor-cybercriminaliteit


Overzicht interviews SCADA-experts en overige

SCADA expert /

betrokkene

Rol / functie Onderwerp Datum

Interview

De heer O.Koeroo KPN CISO – Red Team De technische details van casus

Veere (casus bijlage 1)

29-10-2013

De heer H.Wubs

Manager Engineering &

Development van een SCADA-

leverancier

ICS en SCADA security vanuit

het blikveld van een supplier en

engineer

06-11-2013

De heer S.de Vries Manager Operations van een

SCADA-leverancier

ICS en SCADA security vanuit

het blikveld van een supplier en

engineer

06-11-2013

De heer S.Hernando

CISA CISM CISSP

CRISC GCFA

Senior Manager Security &

Privacy Deloitte Risk Services

Industrial Control System

security vanuit het blikveld van

consultancy

15-11-2013

De heren DP, VRH en

SJ (en lokale SCADA-

operators) van

waterschap uit

casestudie 1

Concerncontroller,

beleidsadviseur/coördinator

automatisering en

proceseigenaar

SCADA bij waterschap Meerdere

gesprekken in

december

2013 en

januari 2014

De heren SF, ME, DR

en WF van waterschap

casestudie 2

Security Officer,

Systeembeheerder

Waterkwantiteit en lokale

SCADA-operators

SCADA bij waterschap Meerdere

gesprekken in

februari en

maart 2014

Deloitte / Siemens seminar

ICS/SCADA

Security Intelligence Session.

ICS security vanuit een

praktisch perspectief.

Presentaties en paneldiscussie.

Sprekers:

- Generaal (b.d). D. Berlijn, namens Deloitte;

- De heer A. van der Touw, namens Siemens;

- De heer S. Hernando, namens Deloitte;

- De heer G. Bravenboer, namens Siemens;

- Professor S. Etalle namens TU/e;

- De heer J. Eikelboom, namens ENCS.

19 maart 2014

Zeist


Bijlage 1: EenVandaag 14-02-2012: “Sluizen, gemalen en bruggen slecht beveiligd”

EenVandaag: televisie reportage van 14 februari 2012.

Bron: Bloem, W.J. en Blokzijl, J. (redactie) , 2012, Sluizen, gemalen en bruggen slecht beveiligd,

http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slech

t_beveiligd

Het blijkt kinderlijk eenvoudig om sluizen, gemalen, rioleringspompen en zelfs bruggen in

Nederland via internet op afstand te bedienen. In EenVandaag een reportage die bijvoorbeeld

laat zien hoe slecht de rioleringspompen en gemalen van de gemeente Veere zijn beveiligd.

Met een paar simpele handelingen zijn ze vanaf een thuiscomputer te bedienen. De Nationaal

Coördinator Terrorismebestrijding (NCTB) waarschuwt al enkele jaren voor de

kwetsbaarheid van deze zogenoemde ‘SCADA-systemen’ maar dat lijkt weinig te helpen.

Beveiligingsexperts van instituut NIKHEF en kennisorganisatie TNO zeggen dat veel meer Scada-systemen in

Nederland kwetsbaar zijn, variërend van parkeergarages en verwarmingssystemen tot complete bruggen en

sluizen. Een nieuwe zoekmachine laat zelfs honderden Nederlandse systemen zien die met gemak te hacken

zijn. In sommige gevallen zijn die beveiligd met een standaard wachtwoord, in andere gevallen is er in het

geheel geen wachtwoord nodig om in de betreffende apparatuur binnen te dringen. Beveiligingsspecialist

Oscar Koeroo, werkzaam bij het Nationaal instituut voor subatomaire fysica (NIKHEF) is geschokt. Over de

situatie in Veere zegt hij: 'De machines staan bloot aan het internet. Er is geen beveiliging die ervoor zorgt dat

alleen de beheerder toegang heeft'.




Niet slim

Eric Luiijf, Scada-expert en onderzoeker bij TNO waarschuwt al jaren voor de gevaren van dit soort systemen.

'Vanaf 2001 ben ik hier al mee bezig en in 2005 hebben we de overheid zelfs al gewaarschuwd.’ Volgens hem

hoef je geen ervaren hacker te zijn om in de systemen in te kunnen breken: ‘Je hoeft hier helemaal niet slim

voor te zijn, dat is juist het gevaarlijke'.

Ernstige bedreiging

De NCTB schreef in december 2011 nog over de gevaren van aanvallen op Scada-systemen: 'Dergelijke

aanvallen vormen een potentieel ernstige bedreiging voor de nationale veiligheid wanneer zij de vitale

infrastructuur (zoals energie, water, financiën) treffen. Bij dergelijke complexe aanvallen is het risico van

maatschappelijke ontwrichting reëel'. In een reactie laat de NCTB weten bezorgd te zijn over de door

EenVandaag ontdekte situatie en de organisatie staat de gemeente Veere bij om voor de uitzending van

vanavond de systemen goed te beveiligen.

Onderlopen

Peter van Rooij, expert op het gebied van de waterhuishouding, is geschrokken. 'Als je dit niet goed beveiligd,

dan loopt Nederland onder, zo kwetsbaar zijn we hier. Eric Luiijf van TNO benadrukt dat het gevaar nog niet

eens van hackers hoeft te komen. 'De echter hacker, die denkt nog na over welke schade hij aanbrengt. De

eerste de beste 13-jarige die binnenkomt en pompen uitzet veroorzaakt behoorlijke schade'.


Bijlage 2: ICS/SCADA systemen nader toegelicht

Algemeen

ICS/SCADA-systemen hebben als taak het centraal volgen, beheersen en aansturen van decentraal

verspreide processen, besturingssystemen en middelen zoals sensoren, pompen, sluizen, gemalen etc.

SCADA staat voor Supervisory Control And Data Acquisitie, zoals blijkt uit deze definitie speelt het

inwinnen en opslaan van data ook een belangrijke rol. Een voorbeeld van ICS/SCADA is een centrale

hoofdpost van een waterschap van waaruit sluizen en gemalen, gelegen in een groot geografiscg=h

gebied, worden beheerst en aangestuurd. ICS/SCADA systemen zijn er in allerlei soorten, varianten,

versies en er zijn veel ondernemingen die bezig houden met de ontwikkeling en het vermarkten van

ICS/SCADA-systemen. Diverse organisaties beschikken ook over (vaak in het verleden) zelf

ontwikkelde SCADA-systemen. In de kern gaat het bij ICS/SCADA om een permante loop waarin

informatie over decentrale processen of activa wordt verzameld en naar de centrale ICS/SCADA-

server wordt verzonden. Daar wordt de data opgeslagen, geïnterpreteerd en gevisualiseerd en gebruikt

voor het aansturen of bijsturen van de decentrale processen en systemen. Dat laatste kan geheel

automatisch dan wel door operators plaatsvinden.

Basis componenten

De basiscomponenten waaruit een ICS/SCADA-systeem bestaat zijn de volgende:

SCADA-server of Master Terminal Unit (MTU)

De SCADA-server of MTU is een component, een device, die dient als de zogenaamde “master” in of

het hart van de SCADA-omgeving waarin de Remote Terminal Units (RTU’s) of PCL’s, die als “slaaf”

dienen, zijn verbonden. De MTU kan RTU’s volgen, beheersen en aansturen. Bij grote organisaties

kan de MTU ook de vorm hebben van een grote control-kamer met schermen waarin de

waterstaatswerken worden gevisualiseerd in actuele staat.

Remote Terminal Unit (RTU)

De RTU is een device of control systeem die een fysiek proces kan besturen en tegelijk kan

communiceren met de MTU. In feite heeft de RTU de functionaliteit van een PLC maar kan daarnaast

communiceren met de MTU via bijvoorbeeld Wi-Fi, GSM, Ethernet etc.

Programmable Logic Controller (PLC)

Een PLC is een controller die in staat is complexe (fysieke) processen aan te sturen, ingeval van

waterstaatswerken stuurt de PLC de sluis-bewegingen aan. In de PLC zit specifieke programma-code

voor het specifieke proces.

Human-Machine Interface (HMI)

De HMI betreft de hard- en software die er voor zorgt dat operators (dus mensen) het fysieke proces

kunnen beheersen. De HMI kent daardoor een veelheid aan functionaliteit zoals het tonen van

historische en actuele statusinformatie, het kunnen laten configureren van meetpunten, het alarmeren

ingeval van dreigingen of noodsituaties, verwerken van handmatige input en interventies etc.


Data Historian

Dit betreft een centrale database waarin alle verzamelde procesinformatie wordt opgeslagen. Dit ten

behoeve van rapportage, (trend-)analyse, planning, procesverbetering etc.

Sensor

Een sensor is een device ten behoeve van metingen op veld-niveau. Bijvoorbeeld ingeval van een sluis

betreft dit een device die de waterstanden meet en doorgeeft aan de PLC.

Figuur 3: voorbeeld visualisatie ICS/SCADA


Bijlage 3: Praktijktoetsing actuele ontwikkelingen

Ten behoeve van het onderzoek is op een aantal momenten in het najaar van 2013 door middel van

google-searches nagegaan welke informatie over specifieke ICS/SCADA systemen publiek te vinden

was (reconnaissance). Deze praktijksearch leverde een aantal bevindingen op:

Een aantal waterschappen maakt direct of indirect (bijvoorbeeld via een vakblad) informatie over hun ICS/SCADA-omgeving openbaar;

Leveranciers van ICS/SCADA-systemen maken specifieke informatie van ICS/SCADA-omgevingen van bij naam genoemde cliënten openbaar, met name door deze als referentie te publiceren;

Werknemers en IT-consultants maken specifieke informatie over ICS/SCADA-constellaties openbaar, bijvoorbeeld in hun Linked-in profielen.

Onderstaand zijn hits van twee eenvoudige Google-searches opgenomen.

Het eerste voorbeeld toont, op basis van zoekterm “SCADA [naam waterschap X]”, de eerste vier hits

van 2.210 hits met publieke informatie over:

Het type in gebruik zijn ICS/SCADA-pakket inclusief leverancier. Op de website van deze leverancier zijn overigens gedetailleerde productspecificaties te downloaden;

Interne activiteiten ten aanzien van autorisatie-niveaus en daarmee het impliciet creëren van aanleidingen en uitdagingen voor hackers om die niveaus te doorbreken;

Het integrale informatiebeleid inclusief SCADA van het waterschap X

NAAM SCADAPAKKET

EN LEVERANCIER BEKEND

KWETSBAARHEDEN BEKEND

EN CREËREN UITDAGINGEN

VOOR HACKERS

INTEGRALE NFORMATIEBELEIDS-

PLAN ONLINE INCL SCADA


Het tweede voorbeeld toont de samenvattingen van de Linked-in profielen van een drietal personen,

op basis van de Google- zoekterm “SCADA [Waterschap Y]”


Bijlage 4: Overzicht van ICS/SCADA securitymaatregelen

Maatregelen security

In deze bijlage is een overzicht opgenomen van mogelijke maatregelen om security-risico’s van

ICS/SCADA-systemen te beheersen en te mitigeren.

Het overzicht is opgebouwd door security-maatregelen uit drie verschillende bronnen naast elkaar te

leggen, te weten:

Maatregelen volgens NIST 800-82 (Stouffer et al. 2011);

Maatregelen volgens Radvanovsky en Brodsky (2013);

Maatregelen volgens Nordlander (2009).


NIS

T 8

00

-82

Han

db

oo

k o

f SC

AD

A /

CS

Secu

rity

J.N

ord

lan

der

- T

hes

is S

CA

DA

ICS

Secu

rity

Pro

gram

De

velo

pm

en

t an

d D

ep

loym

en

tC

h-2

1P

en

etr

atio

n T

est

ing

1N

etw

ork

Se

curi

ty

De

velo

pin

g a

Co

mp

reh

en

sive

Se

curi

ty P

rogr

am2

Ne

two

rk M

app

ing

and

Sca

nn

ing

2Se

par

atio

n o

f N

etw

ork

1B

uil

d a

nd

Tra

in a

Cro

ss-F

un

ctio

nal

Te

am (

4.2.

2)3

Traf

fic

Mo

nit

eri

ng

3Fi

rew

all

2D

efi

ne

ICS

Spe

cifi

c Se

curi

ty P

oli

cie

s an

d P

roce

du

res

(4.2

.4)

Ch

-44

Ris

k A

sse

ssm

en

t an

d M

anag

em

en

t4

Intr

usi

on

De

tect

ion

3D

efi

ne

an

d In

ven

tory

ICS

Syst

em

s an

d N

etw

ork

Ass

ets

(4.

2.5)

Ch

-55

SCA

DA

Co

nti

nge

ncy

Pla

nn

ing

5C

ryp

togr

aph

y

4P

erf

orm

Ris

k an

d V

uln

era

bil

ity

Ass

ess

me

nt

(4.2

.6)

Ch

-66

Inci

de

nt

Re

spo

nse

6A

uth

ori

zati

on

5C

h-7

7In

tru

sio

n D

ete

ctio

n6

Au

the

nti

cati

on

6P

rovi

de

Tra

inin

g an

d R

aise

Se

curi

ty A

war

en

ess

(4.

2.8)

8SC

AD

A F

ore

nsi

cs7

Har

de

nin

g

Ch

-89

Go

vern

ance

an

d t

he

Su

pp

ort

ing

Po

licy

Su

ite

8A

nti

viru

s

Ne

two

rk A

rch

ite

ctu

reC

h-9

10N

etw

ork

Inte

grit

y M

on

ito

rin

g9

Pat

ch M

anag

em

en

t

7Fi

rew

alls

(5.

1)11

Co

ntr

ol V

alid

atio

n10

Ch

ange

Man

age

me

nt

8Lo

gica

lly

Sep

arat

ed

Co

ntr

ol N

etw

ork

(5.

2)12

Man

agin

g P

roce

ss D

ep

en

de

nci

es

11A

ud

itin

g an

d v

uln

era

bil

ity

scan

nin

g

9N

etw

ork

Se

gre

gati

on

(5.

3)C

h-1

013

Use

of

US-

DH

S Se

curi

ty F

ram

ew

ork

an

d T

ech

nic

al M

etr

ics

12In

ven

tory

an

d O

verv

iew

10R

eco

mm

en

de

d D

efe

nse

-in

-De

pth

Arc

hit

ect

ure

(5.

4)-

Secu

rity

gro

up

kn

ow

led

ge13

Ris

k A

sse

ssm

en

t an

d M

anag

em

en

t

11G

en

era

l Fir

ew

all P

oli

cie

s fo

r IC

S (5

.5)

- A

ttac

k gr

ou

p k

no

wle

dge

14Se

curi

ty O

rgan

izat

ion

7/ 1

2R

eco

mm

en

de

d F

ire

wal

l Ru

les

for

Spe

cifi

c Se

rvic

es

(5.6

)-

Acc

ess

15Tr

ain

ing

and

Aw

are

ne

ss

7/ 1

3Sp

eci

fic

ICS

Fire

wal

l Iss

ue

s (5

.8)

- V

uln

era

bil

itie

s16

Pe

rso

nn

el M

anag

em

en

t

14R

ed

un

dan

cy a

nd

Fau

lt T

ole

ran

ce (

5.10

)-

Dam

age

Po

ten

tial

17

Inci

de

nt

pla

nn

ing

and

han

dli

ng

15P

reve

nti

ng

Man

-in

-th

e-M

idd

le A

ttac

ks (

5.11

)-

De

tect

ion

18B

usi

ne

ss C

on

tin

uit

y an

d C

on

tin

gen

cy p

lan

nin

g

- R

eco

very

19Sy

ste

m R

esi

lie

nce

ICS

Secu

rity

Co

ntr

ols

Ch

-11

14N

etw

ork

To

po

logy

an

d Im

ple

me

nta

tio

n20

Bac

kup

Man

age

me

nt

Co

ntr

ols

15N

etw

ork

Man

age

me

nt

and

Do

cum

en

tati

on

21Th

ird

Par

ty c

oll

abo

rati

on

16Se

curi

ty A

sse

ssm

en

t an

d A

uth

ori

zati

on

(6.

1.1)

Ch

-13

16P

atch

ing

and

Ch

ange

Man

age

me

nt

22B

usi

ne

ss M

anag

em

en

t C

om

mit

me

nt

17P

lan

nin

g (6

.1.2

)C

h-1

417

Ph

ysic

al S

ecu

rity

Man

age

me

nt

23P

oli

cie

s an

d S

tan

dar

ds

4/ 1

8R

isk

Ass

ess

me

nt

(6.1

.3)

Ch

-16

11/

18(M

on

ito

rin

g) S

yste

m In

tegr

ity

24Se

curi

ty P

rin

cip

les

19Sy

ste

m a

nd

Se

rvic

es

Acq

uis

itio

n (

6.1.

4)3/

19

Ne

two

rk T

raff

ic A

nal

ysis

25Sy

ste

m a

dm

inis

trat

ion

to

ols

20P

rogr

am M

anag

em

en

t (6

.1.5

.)7/

20

Ne

two

rk In

tru

sio

n D

ete

ctio

n

Op

era

tio

nal

s C

on

tro

ls21

Encr

ypti

on

21P

ers

on

ne

l Se

curi

ty (

6.2.

1)22

Bu

ild

ing

and

De

plo

yme

nt

22P

hys

ical

an

d E

nvi

ron

me

nta

l Pro

tect

ion

(6.

2.2)

23R

ead

On

ly A

gen

t an

d S

yste

ms

23C

on

tin

gen

cy P

lan

nin

g (6

.2.3

)24

Au

dit

ing

the

De

plo

yme

nt

24C

on

figu

rati

on

Man

age

me

nt

(6.2

.4)

25(U

sin

g) L

ogs

25M

ain

ten

ance

(6.

2.5)

26A

ud

itin

g fo

r in

tegr

ity

26Sy

ste

m a

nd

Info

rmat

ion

Inte

grit

y (6

.2.6

)27

Co

ntr

ols

(d

ir.,

pre

v., d

et.

, co

rr. r

eco

v. a

pp

l., t

ran

sact

.)

27M

ed

ia P

rote

ctio

n (

6.2.

7)28

Har

dw

are

inve

nto

ry a

nd

co

nfi

gura

tio

n

28In

cid

en

t R

esp

on

se (

6.2.

8)29

Har

dw

are

Co

ntr

ols

6/ 2

9A

war

en

ess

an

d T

rain

ing(

6.2.

9)30

Mai

nte

nan

ce A

cco

un

ts

Tech

nic

al C

on

tro

ls31

Pro

tect

ion

of

Op

era

tio

nal

Fil

es

30Id

en

tifi

cati

on

an

d A

uth

en

tica

tio

n (

6.3.

1)32

Co

nfi

gura

tio

n C

han

ge M

anam

en

t

31A

cce

ss C

on

tro

l (6.

3.2)

Ch

-18

33D

ata

Man

age

me

nt

32A

ud

it a

nd

Acc

ou

nta

bil

ity

(6.3

.3)

34D

ata

Shar

ing

33Sy

ste

m a

nd

Co

mm

un

icat

ion

Pro

tect

ion

(6.

3.4)

Bro

n: d

eze

se

t aa

n s

ecu

rity

-maa

tre

gele

n is

afg

ele

id v

an N

IST

800-

82B

ron

: de

ze s

et

aan

se

curi

ty-m

aatr

ege

len

is a

fge

leid

van

he

t H

and

bo

ok

of

Bro

n: d

eze

se

t aa

n s

ecu

rity

-maa

tre

gele

n is

afk

om

stig

uit

SC

AD

A-

van

jun

i 201

1 in

clu

sie

f p

arag

raaf

nu

mm

ers

. SC

AD

A/C

on

tro

l Sys

tem

s Se

curu

ty v

an 2

013

incl

usi

ef

ho

ofd

stu

knu

mm

ers

.th

esi

s 20

09 v

an J

.No

rdla

nd

er,

ko

pie

tab

el 5

pag

29

t/m

31.

De

fin

e t

he

Mit

igat

ion

Co

ntr

ols

(4.

2.7)

referaat over cybersecurity bij...

Documents