referaat over cybersecurity bij...
TRANSCRIPT
REFERAAT OVER
CYBERSECURITY BIJ WATERSTAATSWERKEN
JAN-HARMEN DE VRIES
VRIJE UNIVERSITEIT AMSTERDAM
PGO IT AUDIT, COMPLIANCE & ADVISORY
VU REFERENTIE #2013
APRIL 2014
VOORWOORD .................................................................................................................................................. 3
1. INLEIDING ................................................................................................................................................ 6
1.1 PROBLEEMSTELLING .................................................................................................................................... 6
1.2 ONDERZOEKSMETHODE ............................................................................................................................... 7
1.3 LEESWIJZER ............................................................................................................................................... 7
2. WATERSTAATSWERKEN EN ICS/SCADA ................................................................................................... 8
2.1 WATERSTAATSWERKEN: SOORTEN, DOELEN EN FUNCTIES ................................................................................... 8
2.2 ICS/SCADA BESTURINGS- EN CONTROLSYSTEMEN ........................................................................................... 9
2.3 ONTWIKKELINGSFASEN ICS/SCADA ............................................................................................................ 10
2.4 INTEGRATIE ICS/SCADA & IT EN KOPPELING MET INTERNET ............................................................................ 12
2.5 SAMENVATTING EN CONCLUSIES .................................................................................................................. 14
3. ICS/SCADA: KWETSBAARHEDEN, RISICO’S EN ONTWIKKELINGEN .......................................................... 15
3.1 INLEIDING ............................................................................................................................................... 15
3.2 BEDREIGINGEN EN KWETSBAARHEDEN ICS/SCADA ........................................................................................ 15
3.3 ACTUELE EN TOEKOMSTIGE ONTWIKKELINGEN INZAKE ICS/SCADA ................................................................... 17
3.4 RISICOBEELD VAN ICS/SCADA BIJ WATERSTAATSWERKEN ............................................................................... 19
3.5 ICS/SCADA SECURITY: NORMENKADERS EN MAATREGELEN ............................................................................. 19
3.6 SAMENVATTING EN CONCLUSIES .................................................................................................................. 20
4. CASESTUDIES ICS/SCADA ....................................................................................................................... 22
4.1 INLEIDING ............................................................................................................................................... 22
4.2 AANPAK VAN DE CASESTUDIES .................................................................................................................... 22
4.3 CASESTUDIE 1: MIDDELGROOT WATERSCHAP ................................................................................................ 23
4.4 CASESTUDIE 2: MIDDELGROOT WATERSCHAP ................................................................................................ 26
4.5 BEVINDINGEN UIT DE CASESTUDIES .............................................................................................................. 28
4.6 CONCLUSIES UIT HET PRAKTIJKONDERZOEK .................................................................................................... 29
5. ESSENTIËLE LEERPUNTEN UIT HET ONDERZOEK EN REFLECTIE ............................................................... 30
5.1 INLEIDING ............................................................................................................................................... 30
5.2 SYNTHESE TUSSEN THEORIE EN PRAKTIJK ....................................................................................................... 30
5.3 LEERPUNTEN DIGITALE VEILIGHEID WATERSTAATSWERKEN ................................................................................ 31
5.4 ROL VOOR DE IT AUDITOR(S) ...................................................................................................................... 32
5.5 AANBEVELINGEN VOOR NADER ONDERZOEK ................................................................................................... 33
5.6 REFLECTIE OP HET ONDERZOEKS- EN LEERPROCES ............................................................................................ 34
LITERATUUROVERZICHT ................................................................................................................................. 35
OVERZICHT INTERVIEWS SCADA-EXPERTS EN OVERIGE ................................................................................. 38
BIJLAGE 1: EENVANDAAG 14-02-2012: “SLUIZEN, GEMALEN EN BRUGGEN SLECHT BEVEILIGD” .................... 39
BIJLAGE 2: ICS/SCADA SYSTEMEN NADER TOEGELICHT .................................................................................. 41
BIJLAGE 3: PRAKTIJKTOETSING ACTUELE ONTWIKKELINGEN.......................................................................... 43
BIJLAGE 4: OVERZICHT VAN ICS/SCADA SECURITYMAATREGELEN ................................................................. 45
3 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Voorwoord
Dit referaat is geschreven in kader van de Post Graduate Opleiding IT Audit, Compliance & Advisory
aan de Vrije Universiteit Amsterdam. Bij de keuze van mijn onderzoeksonderwerp heb ik mij laten
leiden door een aantal wensen: ten eerste de behoefte aan een thema dat eerder breed in de publiciteit
is geweest, ten tweede de wens om een theoretische en deels ook technische verkenning te combineren
met “real-life” casestudies en ten derde de wens om de uitkomsten van het onderzoek ook direct te
kunnen gebruiken bij mijn IT-audit en – advieswerkzaamheden. Een onderzoek naar cybersecurity bij
sluizen, bruggen en gemalen sprong daar al snel uit. De zaak Veere uit 2012, dat ook in het referaat
aan de orde zal komen, en de landelijke publiciteit daaromheen reikte het thema van dit onderzoek
feitelijk aan. Na een aantal verkennende gesprekken bij cliënten in casu gemeenten en waterschappen
bleek ook de combinatie van theorie en casestudies passend bij dit onderwerp en reeds in deze fase
werd ook een aantal van deze organisaties enthousiast en stelden zij zich beschikbaar als object voor
een casestudie.
De casestudies en dan in het bijzonder de site visits waren erg bijzonder, niet alleen voor mij maar ook
voor alle betrokkenen van de desbetreffende organisaties, immers ter plekke bij de waterstaatswerken
en de bij ICS/SCADA-systemen zelf zijn risico’s pas goed te aan- en beschouwen.
Een woord van dank is op zijn plaats voor de volgende personen: Marko van Zwam, partner Security
en Privacy bij Deloitte Risk Services en dr. Eli de Vries namens de Vrije Universiteit voor hun
begeleiding bij mijn onderzoek. In het bijzonder ook dank aan dr. Eli de Vries voor de samenwerking
bij het schrijven van een publicatie op basis van eerdere tussenresultaten van dit onderzoek. Tevens
dank aan Prof. Drs. J. Arno Oosterhaven die mij de gelegenheid heeft geboden een deel van het
SCADA-college te verzorgen dat deel uitmaakte van Module 2.3 - 2014.
Daarnaast wil ik dank uit spreken naar de organisaties en betrokken personen die mij de gelegenheid
hebben geboden een casestudie uit te voeren zonder enige beperking ten aanzien van de
beschikbaarheid van medewerkers, documentatie, data, fysieke locaties en prachtige anekdotes.
Amsterdam,
Jan-Harmen de Vries
April 2014
4 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Samenvatting
De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds meer in
de publieke en professionele belangstelling. Er is sprake van toenemende bewustwording van de
cybersecurityrisico’s met betrekking tot de specifieke technologie die deze waterstaatswerken
aansturen: ICS/SCADA genaamd. Manipulatie van deze systemen kan tot grote schade leiden en zelfs
mensenlevens in gevaar brengen. Het onderzoek richt zich op de vraag welke veiligheidsrisico’s
gepaard gaan met de koppeling van de besturingssystemen van waterstaatswerken met IT-netwerken
en het internet. Het onderzoek kent een theoretische analyse en praktijkonderzoek in de vorm van een
tweetal casestudies. De casestudies hebben plaatsgevonden bij middelgrote waterschappen.
Het blijkt dat de ontwikkeling van ICS/SCADA sinds 1930 kan worden verdeeld in 5 fasen. Momenteel
bevinden we ons in de overgang van fase 4 naar 5 met kenmerken als: snelle integratie van
ICS/SCADA met IT, toenemende introductie van mobility en eerste aandacht voor security. Het blijkt
ook dat er van oudsher grote en diverse verschillen bestaan tussen ICS/SCADA en IT. Juist daardoor
brengt de koppeling tussen ICS/SCADA en IT/internet aanzienlijke risico’s met zich mee: de
ICS/SCADA-systemen worden door deze koppeling blootgesteld aan nieuwe bedreigingen en kennen
weinig tot geen security-maatregelen daarvoor. NIST 800-82 onderscheidt 10 ‘threat agents’ en 70
mogelijke kwetsbaarheden omtrent ICS/SCADA-systemen. Uit het onderzoek komen 14 actuele
ontwikkelingen inzake ICS/SCADA naar voren, naast nog 6 mogelijke toekomstige ontwikkelingen. Er
zijn zowel ontwikkelingen met een positieve als met een negatieve invloed op cybersecurityrisico’s
voor waterstaatswerken. Al deze ontwikkelingen in combinatie met de threat agents en de
kwetsbaarheden van ICS/SCADA security leveren een hoog risico-profiel op.
Tijdens de casestudies is onderzocht op welke wijze de beheerders van waterstaatswerken in de
praktijk omgaan met de veiligheidsrisico’s van ICS/SCADA. Het blijkt dat, naar aanleiding van de zaak
Veere in 2012, er bij beide organisaties sprake is van het ontwikkelen en uitvoeren van risicoanalyses
en het ontwikkelen van de eerste sets aan veiligheidsmaatregelen. Deze maatregelen hebben echter
nog veelal het karakter van IT-securitymaatregelen en nog niet zozeer specifieke ICS/SCADA
securitymaatregelen. Bij beide organisaties hebben zich tot op heden geen ICS/SCADA security
incidenten voorgedaan. Uit het veldwerk (site-visits) blijkt bij beide casestudies dat ICS/SCADA
security nog niet hoog in het vaandel staat, maar ook dat locale operators niet bij de risicoanalyse en
het ontwikkelen van veiligheidsmaatregelen worden betrokken. Bij beide organisaties was ook sprake
van het verder ontwikkelen van specifieke functionaliteit zoals (voor) mobility, het op afstand
besturen van ICS/SCADA-systemen zelf. Het risico bestaat daardoor dat de ontwikkeling van
functionaliteit sneller gaat dan het ontwikkelen en implementeren van (basis-)security.
Het onderzoek sluit af met twee scenario’s met betrekking tot de ontwikkeling van security van
ICS/SCADA bij waterstaatswerken: een incrementeel scenario en een versneld scenario. Het
incrementele scenario gaat uit van een gestage ontwikkeling van ICS/SCADA security die één tot twee
decennia zal kosten en met het risico dat de ontwikkeling van functionaliteit veel sneller gaat dan de
ontwikkeling van security. Het versneld scenario gaat uit van de premisse dat zich op korte termijn
één of meer ernstige ICS/SCADA incidenten zullen voordoen bij waterstaatswerken. Deze incidenten
zullen in dit scenario leiden tot het versneld ontwikkelen en implementeren van security op eigen
initiatief van de beheerders van waterstaatswerken maar met name ook door overheidsingrijpen
bijvoorbeeld middels verdergaande wetgeving en inspecties. De reflectie op het onderzoeksproces leidt
onder meer tot de afweging dat het versnelde scenario met als trigger één of meer incidenten hier als
het meest realistische scenario wordt beschouwd.
5 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
6 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
1. Inleiding
1.1 Probleemstelling
De digitale onveiligheid van waterstaatswerken zoals bruggen, sluizen en gemalen staat steeds
frequenter in de publieke en professionele belangstelling. Een markant voorbeeld uit 2012 is de zaak
in de gemeente Veere, aanhangig gemaakt in een televisiereportage van EenVandaag. Bij deze
gemeente bleken bruggen en sluizen met een thuiscomputer via het internet te kunnen worden
bediend, zie ook bijlage 1. Een ander voorbeeld betreft de mondiale onderzoeksgroep “SCADA
StrangeLove” (www.scadastrangelove.org) die zeer regelmatig nieuwe kwetsbaarheden in de software
van ICS/SCADA-systemen opspoort en via internet en social media publiceert.
De essentie van de digitale onveiligheid van waterstaatswerken bestaat uit de mogelijkheid, in casu het
risico, dat de systemen die waterstaatswerken bedienen, de zogenaamde ICS/SCADA-
besturingssystemen, via het internet ongeautoriseerd toegankelijk zijn en vervolgens bediend of
gemanipuleerd kunnen worden. In meer populaire termen: deze ICS/SCADA-systemen, en daarmee
dus de waterstaatswerken zelf, kunnen worden gehacked. En doordat dit type besturings- en
controlsystemen kwetsbaar voor aanvallen blijken te zijn, kan daarmee ook de veiligheid van fysieke
gebieden of van mensen in gevaar komen, bijvoorbeeld ingeval van overstromingen of watervervuiling
veroorzaakt door gehackte ICS/SCADA-besturingssystemen.
Deze bijzondere veiligheidsproblematiek is inmiddels ook breed aangekaart door de Nationaal
Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum
(NSCS, 2012 en 2013).
Een belangrijke vraag die derhalve rijst is welke veiligheidsrisico’s gepaard gaan met de
toegankelijkheid van de besturingssystemen van waterstaatswerken via externe digitale (on-line)
netwerken en welke oplossingen daarvoor zijn ontwikkeld of zijn te ontwikkelen. De vraag is de
aanleiding van het onderzoek naar cybersecurity en ICS/SCADA.
De centrale vraagstelling luidt als volgt:
Welke veiligheidsrisico’s gaan gepaard met de toegankelijkheid van ICS/SCADA-
besturingssystemen van waterstaatswerken, zoals bruggen, sluizen en gemalen, bij koppeling
met externe digitale (on-line) netwerken en op welke wijze kunnen deze risico’s effectief en
efficiënt tot een acceptabel niveau worden gemitigeerd?
De drie deelvragen van dit onderzoek zijn afgeleid uit de centrale vraagstelling en zijn als volgt
geformuleerd:
Deelvraag 1: over ontwikkelingen en veiligheidsrisico’s rondom waterstaatswerken
Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen
zich voor en welke veiligheidsrisico’s ontstaan hierdoor of worden hierdoor groter?
7 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Deelvraag 2: over de omgang met veiligheidsrisico’s in de praktijk
Op welke wijze gaan de beheerders van waterstaatswerken in de praktijk om met deze
veiligheidsrisico’s van waterstaatswerken?
Deelvraag 3: over de leerpunten inzake digitale (on)veiligheid van waterstaatswerken en
risicomaatregelen
Welke essentiële leerpunten zijn te destilleren ten aanzien van de digitale (on)veiligheid van
waterstaatswerken en mogelijke maatregelen ter mitigatie van de geconstateerde risico’s?
1.2 Onderzoeksmethode
Om de centrale vraag en de drie deelvragen te beantwoorden heeft in de periode juli 2013 tot en met
maart 2014 een onderzoek plaatsgevonden met enerzijds een theoretisch en anderzijds een praktijk
karakter. Het theoretische deel heeft bestaan uit literatuuronderzoek en gesprekken met experts. Voor
het praktijkdeel zijn casestudies uitgevoerd bij een tweetal waterschappen.
Het onderzoek is als volgt in stappen opgezet en uitgevoerd:
Stap 1: Ontwikkelen en uitwerken onderzoeksplan en –fasering inclusief eerste analysekader;
Stap 2: Verzamelen en bestuderen van relevante (inter)nationale literatuur en bestaand onderzoek;
Stap 3: Ontwikkelen en uitwerken van het theoretische kader (resulterend in hoofdstuk 2 en 3);
Stap 4: Uitvoeren van interviews met ISC/SCADA-betrokkenen, - experts en –leverancier/fabrikant;
Stap 5: Nader uitwerken van aanpak en organisatie van de casestudies;
Stap 6: Uitvoeren en documenteren van de casestudies (veldwerk);
Stap 7: Verwerken van de uitkomsten uit stap 4 t/m 6 in de hoofstukken 2, 3 en 4;
Stap 8: Evalueren van de uitkomsten van de casestudies in relatie met het theoretische kader van stap 3;
Stap 9: Presentatie en feedback onderzoeksresultaten bij SCADA-college 28 februari 2014 (ICS/SCADA);
Stap 10: Uitwerken hoofdstuk 5 over leerpunten en reflectie, finaliseren referaat.
1.3 Leeswijzer
De thesis is als volgt opgebouwd:
In hoofdstuk 2 wordt de setting beschreven van het vraagstuk, het gaat daarbij om begripsdefinities,
ontwikkelingsfasen van ICS/SCADA en een eerste risico-inventarisatie.
Hoofdstuk 3 bevat een analyse van actuele ontwikkelingen rondom cybersecurity in relatie met
waterstaatswerken uitmonden in een samenvattende risico-plaat.
In hoofdstuk 4 worden de casestudies beschreven en de resultaten daarvan.
De synthese van het onderzoek wordt uitgewerkt in hoofdstuk 5, dit betreffen de essentiële leerpunten
van het onderzoek en een reflectie op het onderzoeks- en leerproces.
8 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
2. Waterstaatswerken en ICS/SCADA
2.1 Waterstaatswerken: soorten, doelen en functies
Zoals in de inleiding is verwoord heeft het onderzoek betrekking op waterstaatswerken.
Waterstaatswerken worden op verschillende plaatsen in wettelijk kader beschreven zoals in de Wet
waterbeheer, in de Wet beheer rijkswaterstaatswerken en de Waterstaatswet. Een definitie van
waterstaatswerken die in het kader van dit onderzoek relevant is betreft:
Waterstaatswerk: Werk waarvan het doel gericht is op het belang van de waterstaat, zoals wegen, dijken, sluizen, bruggen
en kanalen” (Bron: Watervragen, 2012).
Specifiek voor dit onderzoek is deze definitie als volgt aangevuld en in het vervolg van dit referaat als
uitgangspunt gebruikt:
Waterstaatswerk:
Werk waarvan het doel is gericht op het belang van de waterstaat en die door middel van
geautomatiseerde besturingssystemen worden aangestuurd, zoals beweegbare bruggen, sluizen en
gemalen.
De doelen en functies van de genoemde waterstaatswerken zijn de volgende (bron: Wikipedia):
Beweegbare brug: een beweegbare verbinding voor het verkeer, tussen twee punten die zijn gescheiden
door een rivier of kanaal.
Sluis: een waterbouwkundig kunstwerk in een waterkering tussen twee waterwegen met een verschillend
waterpeil, dat dient om het water te keren, maar dat door een beweegbaar mechanisme ook water of
schepen kan laten passeren.
Gemaal: een inrichting om water van een lager naar een hoger niveau te brengen. Naast gemalen voor
watersystemen zijn er ook rioolgemalen.
Rioolwaterzuiveringsinstallatie of afvalwaterzuiveringsinstallatie: een rioolwaterzuiveringsinstallatie
(kortweg rwzi), ook wel afvalwaterzuiveringsinstallatie (kortweg awzi) genoemd, zuivert het afvalwater
van huishoudens en bedrijven dat via het riool wordt aangevoerd.
Wat deze waterstaatswerken gemeen hebben, is dat (opzettelijke) verstoring van de besturings-
processen kan leiden tot ernstige schade aan de apparatuur en mechanismen zelf en daarmee aan de
(leef)omgeving, wat er zelfs toe kan leiden dat mensenlevens in gevaar worden gebracht.
9 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
2.2 ICS/SCADA besturings- en controlsystemen
Algemeen
De definitie van waterstaatswerken uit de vorige paragraaf gaat uit van geautomatiseerde
besturingssystemen die het kernproces van waterstaatswerk aansturen zoals het laten bewegen van de
brug en het openen en sluiten van de sluis. In de literatuur en in het spraakgebruik worden voor deze
besturingssystemen verschillende termen gebruikt zoals procescontrolesystemen, SCADA-systemen,
ICS-systemen, operational technology-systemen (zie onder andere Luiijf 2008, NCSC 2012, Stouffer
et al. 2011 en Wikipedia).
Een veel gebruikte term in de context van de waterstaatwerken betreft SCADA-systemen, waarbij
SCADA staat voor Supervisory Control and Data Acquisition. Strikt genomen is echter de term
Industrial Control System (ICS) beter, omdat die zowel het SCADA-besturingssysteem omvat, waar de
mens een belangrijke rol heeft, als de operationele technologie die de feitelijke technische of
mechanische bediening uitvoert (zie ook bijlage 2 voor een visualisatie).
Definitie van ICS
Industrial Control Systems (ICS) is een algemene internationale term waarmee verschillende soorten
van besturings- en beheersingssystemen worden aangeduid zoals SCADA-systemen, distributed
control systemen (DCS) en andere controlsysteem-configuraties zoals Programmable Logic
Controllers (PLC’s). In Nederland is een meer gangbare term voor ICS: procescontrolesystemen. Met
name Luiijf (2008 & 2012) en CPNI.NL (2012) gebruiken deze terminologie.
Definitie van SCADA
SCADA staat voor Supervisory Control And Data Acquisition. SCADA-systemen hebben als
functionaliteit het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van
meerdere systemen als onderdeel van grote industriële systemen. Vaak is sprake van beheersing van
meerdere besturingssystemen die geografisch verspreid operationeel zijn, bijvoorbeeld een serie van
gemalen in een provincie.
Een SCADA-systeem bestaat uit een computer met daarop SCADA-software. Een belangrijk en
relevant kenmerk van SCADA-software betreft de grote variëteit ervan. SCADA-software heeft vaak
een lange gebruiksduur verbonden aan de lange levensduur van het waterstaatswerk en SCADA-
software wordt door vele partijen ontwikkeld voor verkoop of eigen gebruik.
Definitie van OT - Operational Technology
Onder Operational Techology (OT) wordt verstaan de technologie waarmee die feitelijke bediening
van het waterstaatswerk wordt uitgevoerd. Kenmerk van deze technologie, met name voor oudere
legacysystemen, is dat het relatief kleine hoeveelheid data kan handelen. Gangbare communicatie-
protocollen binnen deze technologie zijn onder meer Profinet en Motbus.
10 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Nota bene: bij beheerders van waterstaatswerken wordt de ICS/SCADA-automatisering ook wel
onderscheiden van de IT-systemen door de termen Procesautomatisering en Kantoorautomatisering
te hanteren.
Componenten van ICS/SCADA/OT
Constellaties van ICS/SCADA/OT bestaan uit diverse componenten. In het kader van dit referaat
wordt, conform NIST 800-82, een onderscheid gemaakt tussen Control Components en Network
Components:
Control Components. Dit de betreffen onderdelen c.q. componenten van het ICS/SCADA-
systeem zelf. Relevante componenten zijn onder meer de Master Terminal Unit (MTU), de
Remote Terminal Unit (RTU), de Programmable Logic Controller (PLC), de Human-Machine
Interface (HMI) en de Data Historian. In de kern beheerst de (centraal gepositioneerde) MTU
de decentrale RTU’s en PLC’s die de mechanieken ter plekke fysiek aansturen. Via de HMI
kan de operator het proces beheersen en aansturen (human control);
Network Component. Dit betreffen componenten die de ICS/SCADA ondersteunen bij het
(veilig) kunnen functioneren. Relevante componenten zijn onder meer Firewalls, Modems,
Remote Access Points, Communications Routers en Fieldbus networks die sensoren koppelen
aan de PLC;
In bijlage 2 zijn de belangrijkste componenten in een vereenvoudigd voorbeeld gevisualiseerd
en als verduidelijking opgenomen.
2.3 Ontwikkelingsfasen ICS/SCADA
Om de veiligheidsproblematiek rondom ICS/SCADA te kunnen doorgronden en actuele
ontwikkelingen in perspectief te plaatsen is in deze paragraaf de opkomst en ontwikkeling van
ICS/SCADA systemen uitgewerkt. Er worden de volgende vijf fasen van ontwikkeling onderscheiden
(t/m fase IV mede gebaseerd op Nordlander, 2009):
Fase I – Initiatie. Focus op kostenbesparing.
Tussen 1930-1960 werden ICS/SCADA systemen voor het eerst ontwikkeld en gebruikt, hoofdzakelijk
met het doel om beter overzicht te krijgen ten aanzien van de processen en vanwege besparingen op
personele formatie en dus kosten.
Fase II – Groei en ontwikkeling. Focus op data, beheersing en performance.
Tussen 1960-1980 werden, mede gedreven door snel groeiende computercapaciteit, ISC/SCADA-
systemen complexer en werd de hoeveel beschikbare data steeds groter. De focus lag in deze fase op
beheersing van alle data, in combinatie met het behouden van een hoge performance en het kunnen
beheersen van de complexere systemen. Beveiliging had nog weinig prioriteit. Alleen mensen met
fysieke toegang tot de systemen hadden toegang tot de besturingssystemen en de data.
11 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Fase III – Geavanceerde evolutie. Focus op communicatie en opschaling.
Vanaf de jaren 80 werden ICS/SCADA-systemen steeds geavanceerder en werden deze steeds meer
een integraal onderdeel van de reguliere bedrijfsoperatie in plaats van een middel om kosten te
besparen. Omdat in deze jaren de beschikbare bandbreedte ten behoeve van communicatie snel
groeide, werden steeds meer meetpunten gebruikt en werden nieuwe ICS/SCADA-componenten
geïntroduceerd. Communicatieprotocollen naar de remote terminal units (RTU’s) werden in die tijd
gestandaardiseerd door de International Electrotechnical Commission (IEC). Bij deze standaardisatie
werd echter nauwelijks aandacht besteed aan mogelijke beveiligingsmaatregelen zoals bijvoorbeeld
encryptie in het communicatieprotocol. In deze fase waren ICS/SCADA systemen nog geïsoleerde
systemen die los stonden van IT-netwerken (de zogenaamde air-gap).
Fase IV – Integratie met IT en internet. Focus op IT- integratie.
Vanaf ongeveer het jaar 2000 worden ICS/SCADA-systemen voor het eerst gekoppeld aan IT–
netwerken: de zogenaamde air-gap wordt doorbroken. En dit leidt, door de reeds bestaande
verbondenheid van IT-netwerken met het internet, tot een grote groei van directe of indirecte
koppelingen van ICS/SCADA-systemen met het internet. Vanaf dan worden ICS/SCADA-systemen
blootgesteld aan cybersecurity risico’s. In de loop van deze fase is er steeds meer behoefte om de
ICS/SCADA-systemen verder te integreren met IT-systemen vanwege bijvoorbeeld kostenbesparing,
snelheid, gemak en uniformiteit. In deze fase dienen zich overigens ook de eerste security incidenten
aan ten aanzien van ICS/SCADA.
Fase V – Mobiliteit en Security.
Het lijkt erop dat we sinds enkele jaren in een nieuwe fase rondom ICS/SCADA-systemen zijn beland.
Een fase waarin mobiliteit een hoge vlucht neemt en waarin het thema van ICS/SCADA-security op de
agenda is komen te staan. Het is inmiddels praktijk geworden dat ICS/SCADA-systemen door mobile
devices zoals tablets of smartphones overal kunnen worden aangestuurd en de graad van mobiliteit zal
naar verwachting alleen maar toenemen. Wat betreft ICS/SCADA-security wordt deze fase
gekenmerkt door security incidenten, bewustwording van risico’s en de eerste stappen op weg naar
beheersing van veiligheidsrisico’s.
In paragraaf 3.3 worden een actuele en toekomstige ontwikkelingen van ICS/SCADA nog nader
beschreven.
Unsecured legacy design
Een niet te onderschatten conclusie die uit het voorgaande kan worden getrokken is het fenomeen van
“unsecured legacy designs”. De gebruiksduur van ICS/SCADA-systemen hangt vaak samen met de
(lange) levensduur van de waterstaatswerken, het gaat daarbij dan om decennia. Bij de ICS/SCADA-
systemen die tot en met zeker fase IV zijn ontworpen en ontwikkeld was veelal niet sprake van
ontwerp met “security in mind”, deze systemen ontberen vaak basale securitymaatregelen zoals strong
authentication of encryptie. Daarnaast beschikken deze ICS/SCADA-systemen (in het OT-deel) vaak
over zeer beperkte geheugenruimte waardoor security-maatregelen niet kunnen worden ingebouwd.
12 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
2.4 Integratie ICS/SCADA & IT en koppeling met Internet
Zoals blijkt uit paragraaf 2.4 functioneren ICS/SCADA-systemen steeds minder geïsoleerd en worden
deze meer en meer gekoppeld aan IT-netwerken en (daarmee) indirect of direct aan het internet.
Figuur 1: Visualisatie integratie ICS/SCADA en IT en koppeling Internet
Larkin (2012) begint zijn thesis met de constatering: “SCADA systems are being exposed to the
Internet at an alarming rate” en vervolgt: “Indeed, traditional network security tools like firewalls,
proxies and Intrusion Detection Systems may not be compatible with SCADA; however, simply
isolating SCADA systems is no longer an option”.
Daar komt bij dat het oorspronkelijke doel van ICS/SCADA-systemen was om fysieke objecten zoals
waterstaatswerken op afstand te kunnen beheersen en aan te sturen. Door de koppeling met IT-
netwerken en internet kunnen deze ICS/SCADA-systemen zelf in toenemende mate op afstand
worden bestuurd (mobility), bijvoorbeeld via tablets of smartphones op elke denkbare plek waarin
internet beschikbaar is.
Verschillen tussen ICS/SCADA en IT
Een belangrijke oorzaak van de problematiek die in dit referaat aan de orde wordt gesteld bestaat uit
het feit dat ICS/SCADA-systemen steeds meer worden geïntegreerd met “gewone” IT-systemen.
Anders gezegd: de procesautomatisering integreert met de kantoorautomatisering. In het licht van
deze integratie is het vanuit het oogpunt van security derhalve relevant een analyse te maken van
verschillen tussen ICS/SCADA-systemen en IT-systemen en de mogelijke impact daarvan.
13 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
In feite kan worden gesteld dat ICS/SCADA-systemen fysiek en technisch zijn gericht terwijl IT-
systemen administratief zijn gericht. ICS/SCADA systemen hebben betrekking op fysieke processen in
de buitenwereld, IT-systemen hebben juist geen interactie met fysieke processen. Verschillen tussen
ICS/SCADA-systemen en IT-systemen manifesteren zich op meerdere gebieden. In de “Guide to
Industrial Control Systems Security” worden deze verschillen door Stouffer et al (NIST 800-82, 2011,
tabel 3-1) uitgewerkt naar 13 categorieën zoals Performance requirements, Risk Management
requirements, System Operation, Communications and Component Lifetime.
Door Stouffer et al. wordt de conclusie getrokken dat “[……] the operational and risk differences
between ICS and IT systems create the need for increased sophistication in applying cyber security
and operational strategies”. Larkin (2012) vat in zijn “Evaluation of traditional security solutions in
the SCADA environment” de verschillen tussen ISC/SCADA-netwerken en IT-netwerken als volgt
samen:
Differences ICS/SCADA Networks/Systems IT Networks/Systems
Security Objectives Are concerned with system availability
and reliability
Are concerned with data integrity and
confidentiality
Security
Architecture
Use control servers, RTU’s, PLC’s, field
devices, and HMI’s
Utilize traditional IT assets like computers,
servers, routers, firewalls, and proxies
Technology Bases Use many different proprietary
communication protocols which are very
difficult to develop common Host-Based
or Network-Based security Solutions
Technology base includes Windows, Unix, Linux,
and Standard IP-based protocols
Quality of Services Must function uninterrupted without
error for long periods of time
QoS requirements are usually not time sensitive,
do not always require real time monitoring, en
can be rebooted or shutdown
Tabel 1. Bron: Larkin – Evaluation of traditional security solutions in the SCADA environment, table 2-1, page 2-6
Een belangrijke conclusie die uit bovenstaande analyse kan worden getrokken, en die ook bij de
interviews naar voren kwam, betreft het verschil in kwaliteitscriteria die (tot op heden) voor
ICS/SCADA-systemen en IT-systemen worden gehanteerd. De belangrijkste kwaliteitscriteria voor
ICS/SCADA betreffen: Safety, Availability en Performance (SAP). Veiligheid, beschikbaarheid en
betrouwbare performance staan voorop. Daarbij wordt met Safety bedoeld “the red button”: er kan
acuut wordt ingegrepen als zich een ernstige en bedreigende procesverstoring voordoet. In deze
kwaliteitscriteria zit van oorsprong niet security in de zin van cyberveiligheidsrisico’s. De belangrijkste
kwaliteitscriteria voor IT-systemen betreffen Confidentiality, Integrity, Availability en Accountability
(CIAA). Het verschil in kwaliteitscriteria tussen ICS/SCADA-systemen en IT-systemen werkt door in
het ontwerp, ontwikkeling en de implementatie van deze systemen.
14 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Overigens laat Larkin nog twee belangrijke verschillen tussen ICS/SCADA en IT onbenoemd die wel
relevant zijn in het kader van dit onderzoek. Het eerste betreft het feit dat er voor IT al sinds lange tijd
normenkaders bestaan ten aanzien van onder meer security en performance, te denken valt hierbij
aan bijvoorbeeld COBIT of ITIL, terwijl gedegen normenkaders voor (de security van) ICS/SCADA nu
pas in echte ontwikkeling komen. Een tweede relevante verschil is dat er rondom IT, naast de
productie-omgeving, ook ontwikkel- en testomgevingen bestaan, dit laatste komt bij ICS/SCADA niet
of nauwelijks voor. Het testen van securitymaatregelen voor ICS/SCADA is is al erg complex op zich.
Als gevolg van de integratie van ICS/SCADA en IT-systemen wordt derhalve functionaliteit bij elkaar
gebracht en geïntegreerd die vanuit verschillende kwaliteitseisen zijn ontwikkeld. Dit vergroot de kans
op het (onbewust) creëren van nieuwe kwetsbaarheden en/of slechte comptabiliteit.
2.5 Samenvatting en conclusies
In het voorgaande zijn eerst de soorten, doelen en functies van waterstaatswerken uitgewerkt met
daarop volgend een beschrijving van de geautomatiseerde besturingssystemen (ICS/SCADA) van deze
waterstaatwerken. Vervolgens zijn vijf ontwikkelingsfasen van ICS/SCADA beschreven waarin ook de
actuele integratie tussen ICS/SCADA en IT-systemen aan de orde is gekomen. In dat licht zijn
vervolgens de verschillen tussen ICS/SCADA-systemen en IT systemen geïdentificeerd als ook de
betekenis daarvan.
De conclusies hieruit worden als volgt samengevat:
Waterstaatwerken zoals sluizen, gemalen, bruggen worden aangestuurd met geautomatiseerde besturingssystemen ICS/SCADA;
Verstoring van de besturingsprocessen kan leiden tot ernstige schade aan apparatuur, mechanismen en leefomgeving;
ICS/SCADA besturingssystemen hebben een grote evolutie doorgemaakt waarbij de actuele ontwikkelingen bestaan uit vergaande integratie met IT-systemen en het op afstand kunnen besturen van ICS/SCADA-systemen zelf;
Er bestaan grote verschillen tussen ICS/SCADA-systemen en IT-systemen met betrekking tot kwaliteitseisen, ontwerpeisen, levensduur, toegang tot componenten, communicatie-protocollen etc.
ICS/SCADA besturingssystemen worden “at an alarming rate” direct of indirect, in casu via de IT-systemen, gekoppeld aan het internet.
15 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
3. ICS/SCADA: kwetsbaarheden, risico’s en ontwikkelingen
3.1 Inleiding
Aan de hand van literatuurstudie, een aantal interviews alsmede zelfonderzoek op internet is een
uitwerking gemaakt van actuele ontwikkelingen rondom ICS/SCADA in het licht van cybersecurity.
Doel hiervan is het uitwerken van een samenvattend risicobeeld aangaande ICS/SCADA die
vervolgens mede als input dient voor de casestudies. Bij deze casestudies wordt onderzocht op welke
wijze beheerders van waterstaatswerken omgaan met deze risico’s.
3.2 Bedreigingen en kwetsbaarheden ICS/SCADA
Door de koppeling van, de voorheen geïsoleerde, ICS/SCADA-systemen aan IT-netwerken en internet
worden deze systemen blootgesteld aan nieuwe risico’s zoals ongeautoriseerde toegang van buiten of
doelbewuste manipulatie. Essentieel is daarbij dat deze ICS/SCADA systemen in het verleden niet zijn
ontworpen met securitymaatregelen voor deze risico’s aangezien deze risico’s immers toen nog niet
bestonden. De ICS/SCADA-systemen zijn in de praktijk derhalve (erg) kwetsbaar voor nieuwe en dus
vooral ook cybersecurity-risico’s.
Diverse organisaties en auteurs hebben recent publicaties uitgebracht ten aanzien van deze risico’s en
problematiek. Zo bracht NIST de eerder genoemde “Guide tot ICS security” (800-82, 2011) uit, het
Nationaal Cyber Security Centrum (NSCS) publiceerde “Beveiligingsrisico’s van on-line SCADA-
systemen” (2012) en Radvanovsky & Brodsky ontwikkelden het “Handbook of SCADA/Control
Systems Security” (2013). Daarnaast verschenen er direct na de zaak Veere (zie paragraaf 1.1 en bijlage
1) een groot aantal publicaties in de Nederlandse “papieren” en on-line pers (zie ook het
literatuuroverzicht).
Risico-spectrum volgens NIST 800-82
Stouffer et al. maken in de NIST-publicatie (800-82, 2011) een uitgebreide bedreigings- en
kwetsbaarheidsanalyse van ICS/SCADA . Zij onderscheiden eerst de karakteristieken van ICS/SCADA
en werken daarna de bedreigingen en kwetsbaarheden uit. Bedreigingen voor ICS/SCADA spitsen zich
volgens Stouffer et al. toe op zogenaamde typen ‘threat agents’, zijnde personen of organisaties die
kwaad kunnen doen en/of schade willen aanbrengen.
In tabel 3-2 van hun publicatie identificeren zij de volgende 10 ‘threat agents’:
Tabel 2: Threat agents volgens NIST 800-82, table 3-2
1 Attackers 6 Phishers
2 Bot-network operators 7 Spammers
3 Criminal Groups 8 Spyware/Malware authors
4 Foreign intelligence services 9 Terrorist
5 Insiders 10 Industrial Spies
16 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Uit deze opsomming is af te leiden dat er in potentie een grote groep aan personen en organisaties te
onderkennen is die in staat zijn en/of als doel hebben om ICS/SCADA systemen binnen te dringen, te
manipuleren dan wel te beschadigen.
Na de uitwerking van de potentiële bedreigingen / threat agents maken Stouffer et al. vervolgens een
integrale analyse van de kwetsbaarheden van ICS/SCADA-systemen. Zij onderscheiden daarbij
kwetsbaarheden ten aanzien van “Policies and Procedures”, “Platform” en “Network”. Onderstaand is
deze analyse samengevat aan de hand van de tabellen 3.3 t/m 3.13 uit NIST 800-82, gerubriceerd
naar Domein, Onderdeel/Component en Aantal kwetsbaarheden:
Figuur 2: overzicht kwetsbaarheden volgens NIST 800-82
Kwetsbaarheden ten aanzien van het domein policies en procedures zoals security policy, training en awareness programma, security architectuur en ontwerp, implementatierichtlijnen etc. Er worden in totaal 9 kwetsbaarheden onderscheiden.
Kwetsbaarheden ten aanzien van het domein platform van de ICS/SCADA-systemen: o Configuratie: 11 kwetsbaarheden; o Hardware: 10 kwetsbaarheden; o Software: 13 kwetsbaarheden; o Malware protectie: 3 kwetsbaarheden.
Kwetsbaarheden ten aanzien van het domein ICS/SCADA-netwerk: o Configuratie: 7 kwetsbaarheden; o Hardware: 5 kwetsbaarheden; o Perimeter: 4 kwetsbaarheden; o Monitoring & Logging: 2 kwetsbaarheden; o Communicatie: 4 kwetsbaarheden; o Wireless connectie: 2 kwetsbaarheden.
In totaal worden in de NIST-publicatie derhalve 70 mogelijke kwetsbaarheden inzake ICS/SCADA-
systemen onderscheiden. Uit deze analyse is dus af te leiden dat er in potentie een groot aantal
kwetsbaarheden te onderkennen is inzake ICS/SCADA-systemen.
In het literatuuroverzicht bij dit referaat is een serie van on-line artikelen opgenomen die concreet
verwijzen naar allerlei kwetsbaarheden van ICS/SCADA. Dit betreffen de publicaties van: Reijerman
(2012), Schellevis (2012), Schoemaker (2012 en 2013), Zwaap (2012) en Security.nl (2012 en 2013).
Ward (2012) publiceerde in 2013 het artikel “How to hack a nation’s infrastructure” dat ook helder
kwetsbaarheden en risico’s aangeeft.
Er zijn overigens daarnaast ook diverse bronnen beschikbaar die gedocumenteerde incidenten
publiceren (onder andere NIST 800-82 en Larkin) ten aanzien van ICS/SCADA. Het meest bekende
ICS/SCADA-incident betreft de Stuxnet worm die specifiek is ontwikkeld om ICS/SCADA-systemen
van het merk Siemens aan te vallen. Tot op heden hebben zich in Nederland nog geen majeure bekend
gemaakte incidenten voorgedaan, wel is sinds 2012 door de zaak Veere de aandacht voor de
cybersecurity-risico’s toegenomen.
17 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
3.3 Actuele en toekomstige ontwikkelingen inzake ICS/SCADA
Na de schets van bedreigen en kwetsbaarheden volgt onderstaand een uitwerking van actuele en
(mogelijke) toekomstige ontwikkelingen omtrent ICS/SCADA. Deze ontwikkelingen zijn inzichtelijk
gemaakt op basis van literatuuranalyse en gesprekken met experts. Voor enkele van de geschetste
ontwikkelingen heeft verificatieonderzoek plaatsgevonden met behulp van websitebezoek en google-
searches inclusief content-onderzoek.
Het deel met de analyse van mogelijke toekomstige ontwikkelingen is met name gebaseerd op “The
future of SCADA and Control Systems Security” (Radvanovsky & Brodsky, 2013, H18).
De volgende veertien actuele ontwikkelingen zijn naar voren gekomen uit de onderzoeksactiviteiten:
Nr Ontwikkeling/trend Uitwerking
1 Integratie ICS/SCADA met IT-
netwerken (office-IT)
ICS/SCADA-systemen, in casu de voorheen geisoleerde procesautomatisering
worden geïntegreerd met IT-systemen, in casu de kantoorautomatisering.
2 Koppeling van ICS/SCADA-
componenten met Internet
ICS/SCADA systemen worden in toenemende mate gekoppeld aan het internet,
hetzij rechtstreeks hetzij via integratie met (reeds aan internet gekoppelde) IT-
netwerken/systemen.
3 Toenemende behoefte aan
mobility bij aansturing
ICS/SCADA
Er is sprake van een groeiende behoefte aan mobiliteit in het besturen van de
ICS/SCADA systemen zelf, bijvoorbeeld met behulp van tablets of mobiele
telefoons.
4 Toenemende belangstelling
hackers voor ICS/SCADA
Hackers of andere threat agents tonen meer en meer belangstelling voor
ICS/SCADA getuige buitenlandse security-incidenten van de afgelopen jaren.
5 Toenemende beschikbaarheid
van “off the shelf”, standaard
software en hardware voor
ICS/SCADA
Er komt steeds meer standaard hard- en software beschikbaar voor ICS/SCADA
systemen. Een aanpalende trend is meer integratie (fusie/overname) van grote
SCADA-leveranciers.
6 Beschikbaarheid van laag-
drempelige zoekmachines en
hackertooling
Er komen steeds meer en makkelijker te hanteren tools beschikbaar die gebruikt
worden voor aanvallen op of het binnendringen van netwerken en ICS/SCADA-
systemen. SHODAN, Nessus, Metasploit.
7 Opkomst ethical hackers en
samenwerking fabrikanten
Er ontstaan steeds meer (goedwillende) groepen van mensen die pogen
kwetsbaarheden in ICS/SCADA systemen op te sporen en publiekelijk te maken
(oa SCADAstrangelove) mede ten behoeve van de fabrikanten (patches).
8 Publieke informatie Er is relatief veel informatie publiekelijk beschikbaar inzake ICS/SCADA en
omtrent netwerken van beheerders. Onder andere via zoekmachines en social
media is veel informatie te vinden.
9 Bewustwording Er is momenteel sprake van meer bewustwording van risico’s ten aanzien van
ICS/SCADA. Dit blijkt uit onder meer uit de hoeveelheid en aard van recente
publicaties rondom ICS/SCADA security.
10 Politieke en
overheidsbemoeienis
De overheid heeft steeds grotere bemoeienis met ICS/SCADA vraagstukken.
Bijvoorbeeld via ministeries, via Tweede Kamer, via NCSC, via Taskforce BID.
Tabel 3 (deel 1): actuele ontwikkelingen
18 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Nr Ontwikkeling/trend Uitwerking
11 Ontwikkeling van eerste
normenkaders
Met de publicatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten
(BIG, 2013) en de Baseline Informatiebeveiliging Waterschappen (BIWA, 2013)
worden de eerste concrete stappen gezet naar normenkaders.
12 Toenemend onderzoek naar
ICS/SCADA
Er vindt in binnen- en buitenland steeds meer onderzoek plaats naar ICS/SCADA
en risico’s. Een recent Nederlands voorbeeld is het tweejarige onderzoek
informatiebeveiliging “Veilig water” (Haagse Hogeschool, TNO, NSCS en
waterschappen).
13 Toenemende aantal opleidingen
training en seminars
Er is een groeiend aantal trainingen, seminars en ook opleiding die betrekking
hebben op cybersecurity in relatie met ICS/SCADA. Dit betreft zowel vanuit
overheden, commerciële bureaus als door groepen geïnteresseerden zelf
opgerichte communities.
14 Security-eisen in ICS/SCADA
aanbestedingstrajecten
Er is een ontwikkeling gaande dat in aanbestedingen van ICS/SCADA systemen
security criteria worden opgenomen.
Tabel 3 (deel 2): actuele ontwikkelingen
De toekomst van ICS/SCADA
Radvanovsky & Brodsky zijn twee van de weinige onderzoekers en auteurs die een blik in de toekomst
van ICS/SCADA security durven te werpen. Zij kaarten de volgende thema’s daarbij aan c.q. zij
formuleren denkbeelden over in hun ogen belangrijke zaken voor de toekomst:
Er moet volgens hen, het liefst mondiaal, een uitspraak en een afspraak komen over het al dan niet bekend en transparant maken van (nieuw ontdekte) kwetsbaarheden in ICS/SCADA systemen en het proces hoe deze kwetsbaarheden worden opgelost: “mutually agree upon a common disclosure process framework”. Via SCADAstrangelove.org komen overigens al veel kwetsbaarheden naar buiten;
Security eisen voor ICS/SCADA systemen zullen volgens hen nimmer aansluiten op de security-eisen voor IT-systemen;
Het is volgens hen belangrijk dat alle betrokkenen in het ICS/SCADA domein komen tot een classificatiesystematiek ten aanzien van kwetsbaarheden inclusief een risico-mitigatiestrategie;
Het is noodzakelijk dat stakeholders in het ICS/SCADA domein worden opgeleid en getrained met betrekking tot het (h)erkennen van de complexiteit van security-issues, het nemen van verantwoordelijkheid voor oplossingen, en het permanent verbeteren van ICS/SCADA systemen;
Het is wellicht noodzakelijk en technisch mogelijk het gehele ICS/SCADA domein te herdefiniëren. Nieuwe technieken en devices zoals Field-Programmable gate array (FPGA) chips en (zeer) kleine micro controllers kunnen inmiddels al grote ICS/SCADA constellaties vervangen en in deze types devices kunnen securitymaatregelen eenvoudiger en effectiever beter worden ingebouwd;
Samenwerking tussen overheden, onderzoekers, ontwerpers, fabrikanten en gebruikers van ICS/SCADA is onontbeerlijk om verbetering en (meer) veiligheid te bereiken.
19 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
3.4 Risicobeeld van ICS/SCADA bij waterstaatswerken
Op basis van hoofdstuk 2 en het voorgaande uit dit hoofdstuk kan deelvraag 1 van het onderzoek nu
worden beantwoord. Deze deelvraag luidde als volgt (uit paragraaf 1.2):
“Welke ontwikkelingen ten aanzien van de digitale (on)veiligheid van waterstaatswerken doen zich
voor en welke veiligheidsrisico’s ontstaan hierdoor of worden hierdoor groter?“
Het antwoord op deze vraag is dat als gevolg van een aantal actuele ontwikkelingen in combinatie met
kwetsbaarheden van ICS/SCADA systemen de veiligheidsrisico’s in grote mate zullen toenemen indien
geen maatregelen worden getroffen. Vastgesteld is dat er een groot aantal typen threat agents in de
vorm van personen en organisaties bestaan die ten doel kunnen hebben en in staat zijn ICS/SCADA
van waterstaatswerken te manipuleren of te beschadigen.
Vastgesteld is ook dat ICS/SCADA systemen een groot aantal potentiële kwetsbaarheden kent. De
volgende actuele ontwikkelingen brengen potentiële veiligheidsrisico’s en werkelijke incidenten
dichter bij elkaar: Ten eerste worden ICS/SCADA-systemen steeds meer geïntegreerd met IT-
systemen en daarmee gekoppeld aan het internet. ICS/SCADA systemen worden ook steeds meer
rechtstreeks met internet verbonden. Ten tweede is er daarnaast steeds meer behoefte om
ICS/SCADA-systemen van afstand te besturen door middel van bijvoorbeeld tablets of applicaties op
smartphones waardoor de behoefte aan connectivity (met internet) sterk toeneemt. Ten derde komen
er steeds meer geavanceerde zoekmachines (SHODAN) en hackerstools (Metasploit) beschikbaar die
op internet eenvoudig vindbaar zijn en ook eenvoudig bruikbaar zijn. Ten vierde is het relatief
eenvoudig om op organisatieniveau te kunnen achterhalen welke ICS/SCADA constellaties in gebruik
zijn. Een google-search levert ook al snel bruikbare informatie op.
3.5 ICS/SCADA security: normenkaders en maatregelen
In de voorgaande paragrafen is het risicobeeld inzake ICS/SCADA uitgewerkt in termen van
bedreigingen, kwetsbaarheden en een inventarisatie van actuele en (mogelijke) toekomstige
ontwikkelingen. Tegenover geïdentificeerde veiligheidsrisico’s kunnen maatregelen ter mitigatie
worden genomen. Ter afsluiting van dit hoofdstuk wordt ingegaan op mogelijke maatregelen en
normenkaders inzake security / veiligheid.
Normenkaders security
Zowel Nordlander (2009) als Van Gils (2012) gaan in op normenkaders / frameworks voor
ICS/SCADA security. Voorbeelden daarvan zijn NIST 800-82 en ISA99. Beiden concluderen dat er
inmiddels diverse normenkaders ontstaan en bestaan, maar ook dat er sprake is van overlap. Van Gils
concludeert bovendien dat veel organisaties hun eigen normenkader ontwikkelen op basis van
onderdelen uit verschillende mondiale of landelijke normenkaders. Zoals aangegeven bij nummer 11
in de tabel van paragraaf 3.3 zijn voor gemeenten en waterschappen als belangrijke beheerders van
waterstaatswerken zeer recent baselines ontwikkeld inzake informatiebeveiliging. Deze baselines
dekken alle processen, activiteiten, documenten en eigendommen af en alle gemeenten en
waterschappen zijn verplicht en gecommitteerd deze standaarden te gaan gebruiken.
20 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Overzicht van mogelijke security maatregelen
Zoals eerder is geschetst is ICS/SCADA security een complexe aangelegenheid en bestaat er geen “one
size fits all” oplossing. Met name legacy-systemen kunnen niet of niet eenvoudig worden beveiligd ten
aanzien van nieuwe risico’s zoals cybersecurity risico’s. De afgelopen jaren is sprake van meer
bewustwording van risico’s en heeft meer gestructureerd onderzoek naar en ontwikkeling van
security-maatregelen plaatsgevonden. Het eerder genoemd onderzoek “Veilig water” zal zich ook
richten op veiligheidsmaatregelen.
Drie (groepen van) auteurs hebben recent een verdieping gemaakt van security-maatregelen voor
ICS/SCADA. Dit betreffen:
Stouffer et al. in de NIST Guide tot Industrial Control Systems Security (NIST 800-82, 2011);
Radvanovsky en Brodsky in het Handbook of SCADA / Control Systems Security (2013);
Nordlander in de thesis “Wat is special about SCADA system cyber security?” (2009).
Nordlander heeft zich in zijn onderzoek meer gericht op het voorkomen van security-maatregelen in
verschillende security-frameworks. NIST en het Handbook of SCADA / Controls Systems Security zijn
geschreven als leidraad voor het treffen en verbeteren van het security-stelsel van individuele
organisaties. In bijlage 3 zijn de security-maatregelen die deze drie (groepen van) auteurs hebben
geïdentificeerd gerecapituleerd in een totaaloverzicht. NIST 800-82 identificeert 33 verschillende
typen maatregelen, het Handbook identificeert er 34 en Nordlander 25 verschillende. De overlap
tussen NIST 800-82 en het Handbook is groot, de top-down structuur en de inkadering van NIST
800-82 geeft een meer logisch leesbaar overzicht met vooral eerst aandacht voor de ontwikkeling van
een integraal securityprogramma al vorens in te gaan op technische maatregelen en management en
operationele controls.
In het interview met Hernando benadrukt hij de noodzakelijkheid van een “full security cycle” ten
aanzien van ICS/SCADA. Deze cycle bestaat uit vijf onderdelen, te weten:
1. Know: Ken de assets en ken de bedreigers (permanente intelligence);
2. Prevent: Tref en test beveiligingsmaatregelen;
3. Detect: Check permanent en ontdek tijdig security-incidenten;
4. Respond: Acteer adequaat op geconstateerde security-incidenten;
5. Recover: Breng de situatie terug naar het niveau van voor het incident.
3.6 Samenvatting en conclusies
In dit hoofdstuk is deelvraag 1 van het referaat beantwoord. Deze deelvraag heeft betrekking op de
ontwikkelingen en veiligheidsrisico’s rondom waterstaatswerken. De deelvraag is beantwoord door
eerst een analyse te maken van bedreigers en kwetsbaarheden omtrent ICS/SCADA en vervolgens
actuele en mogelijke toekomstige ontwikkelingen te schetsen. Vervolgens is nagegaan op welke wijze
volgens de theorie de risico’s door middel van maatregelen gemitigeerd kunnen worden.
21 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
De conclusies uit deze analyses kunnen als volgt worden samengevat:
Er zijn 10 verschillende typen van threat agents te onderkennen die een bedreiging kunnen vormen voor (de veiligheid van) ICS/SCADA van waterstaatwerken;
Er is een groot aantal van potentiële kwetsbaarheden te onderscheiden ten aanzien van de veiligheid van ICS/SCADA systemen. NIST 800-82 classificeert 70 verschillende potentiële kwetsbaarheden;
Er zijn ten aanzien van de veiligheid van ICS/SCADA veel positieve maar ook negatieve ontwikkelingen vast te stellen. Koppeling met internet, toenemende behoefte aan mobiliteit en toenemende belangstelling van hackers zijn voorbeelden van sterk risico-verhogende factoren;
De complexiteit van het ICS/SCADA vraagstuk is groot als gevolg van legacy-systemen en het feit dat er geen “one size fits all oplossing bestaat”;
Er zijn ontwikkelingen vast te stellen ten aanzien van normenkaders voor ICS/SCADA; voor beheerders van waterstaatswerken zoals gemeenten en waterschappen gelden de recent uitgebracht BIG en BIWA;
Er zijn in Nederland nog geen specifieke normenkaders voor ICS/SCADA van waterstaatswerken met bijvoorbeeld normen voor PLC’s;
Er bestaan veel verschillende typen security-maatregelen voor ICS/SCADA, deze komen uit buitenlandse literatuur, er is nog geen coherent overzicht of systeem van maatregelen die bruikbaar voor de specifiek Nederlandse context.
22 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
4. Casestudies ICS/SCADA
4.1 Inleiding
Voor de beantwoording van deelvraag 2 (over hoe in de praktijk met veiligheidsrisico’s wordt
omgegaan) is een tweetal casestudies uitgevoerd bij beheerders van waterstaatwerken. Daarbij is
gekozen voor waterschappen aangezien zij vaak meerdere typen waterstaatwerken beheren. De
samenvattende verslagen van casestudies zijn in dit referaat, in samenspraak met de betreffende
waterschappen, geanonimiseerd opgenomen. De hier opgenomen verslagen zijn door de
waterschappen gevalideerd.
4.2 Aanpak van de casestudies
De aanpak van de casestudies is gebaseerd op Yin (2013). De volgende stappen zijn uitgevoerd:
Oriënterend gesprek met vertegenwoordigers van het waterschap;
Toezenden documentatie ICS/SCADA casestudie en informatie-uitvraag;
Initieel interview met IT-medewerker(s) en proceseigenaren;
Verzamelen informatie op basis van informatie-uitvraag;
Bezoeken hoofdvestiging waterschap en uitvoeren site-visits bij waterstaatswerken;
Uitwerken en laten valideren casestudieverslag.
De informatie-uitvraag bij de casestudies bestond uit de volgende onderdelen:
1. De Architectuurplaat Beschrijving of visualisatie van de ICS/SCADA-architectuur en haar omgeving en betrekking hebbend op (de groep van) de waterstaatwerken.
2. Het Framework van risico- en bedreigingsmanagement Beschrijving van toepaste framework van risico- en bedreigingsmanagement zoals rollen, verantwoordelijkheden, processtappen, input- en outputvormen etc.
3. Recente risico/bedreigingsanalyse De uitwerking van de meeste recente risico/bedreigingsanalyse ICS/SCADA.
4. Reactie op risico-onderzoekslijst Reactie op het omgaan met ontwikkelingen zoals mobility, social engineering, nieuwe hackertools (zie ook tabel paragraaf 3.3).
5. Operationele maatregelenset Uitwerking van actuele veiligheidsmaatregelen die getroffen zijn.
6. Incidentenoverzicht ICS/SCADA Overzicht van recente ICS/SCADA incidenten
7. Ontwikkelingsbeeld ICS/SCADA Overzicht van recente, verwachte en/of voorgenomen ontwikkelingen ICS/SCADA.
23 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
De paragrafen 4.3 en 4.4 bevat de case-studie verslagen en zijn gebaseerd op de initiële gesprekken, de
ontvangen informatie naar aanleiding van de uitvragen, de site visits en de evaluerende gesprekken.
4.3 Casestudie 1: Middelgroot waterschap
Situatieschets
De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor
meerdere soorten waterstaatswerken zoals sluizen, bruggen, stuwen, gemalen en zuiverings-
installaties. Het waterschap kent een beheergebied van circa 1.500 km2 met meer dan 300 voor de
casestudie relevante waterstaatswerken. Er werken circa 300 personen bij het waterschap. Onderdeel
van de casestudie waren site visits bij een aantal grote waterstaatswerken. Deze site visits bij de
objecten en de lokale operator zijn uitgevoerd samen met de proceseigenaar (peilbeheer), de
beleidsadviseur automatisering en de concerncontroller.
Governance omtrent procesautomatisering
Bij het betreffende waterschap is altijd een procesmanager verantwoordelijk voor specifieke
beheersprocessen, de daarbij behorende waterstaatswerken inclusief de procesautomatisering
(SCADA). De IT-functie heeft in de organisatie een overwegend ondersteunende en dienstverlenende
rol. De organisatie kent geen specifieke SCADA-expert(s). Essentiële beslissingen inzake het
waterbeheer (zoals bijvoorbeeld het moment, de duur en intensiteit van het lozen van water) worden
zoveel mogelijk decentraal genomen alwaar ook de feitelijke aansturing (via de Human Machine
Interface, HMI) van het waterstaatswerk plaatsvindt.
Procesautomatisering
Waterstaatswerken zoals sluizen, gemalen en stuwen hebben deels geautomatiseerde besturing
alsmede telemetrie-aansluitingen. Zuiveringsinstallaties worden bestuurd door PLC-systemen
(Programmable Logic Controller) en bediend via SCADA. Rioolgemalen werken met een
telemetriesysteem. Er is sprake van een centraal hoofdpostsysteem, echter niet alle objecten kunnen
vanuit het hoofdpostsysteem worden bediend.
Er is geen scheiding tussen kantoor- en procesautomatisering, het geïntegreerde netwerk is ingericht
naar een ster-structuur met het hoofdkantoor (hoofdpost) als het hart van de ster. SCADA-
componenten en telemetrie zijn altijd via modems verbonden met het IT-netwerk. Het
beveiligingsniveau van de kantoorautomatisering op het hoofdkantoor is recent verhoogd en wordt
periodiek getest door middel van externe penetratie-testen. Het waterschap kent vijf verschillende
besturingssystemen (en leveranciers), drie verschillende telemetriesystemen en drie verschillende
SCADA-systemen.
Op IT- en SCADA-.gebied hebben zich recent geen markante ontwikkelingen voorgaan en worden
vooralsnog geen specifieke of substantiële ontwikkelingen verwacht anders dan regulier onderhoud en
reguliere vervanging / uitbreiding.
Tot op heden hebben zich geen security-incidenten ten aanzien van de procesautomatisering
voorgedaan.
24 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Risico- en bedreigingsmanagement
Framework risicomanagement
Het waterschap beschikt niet over een raamwerk of systematiek van risicomanagement en
bedreigingsmanagement gericht op informatieveiligheid en SCADA. Er is dus geen integrale
risicoanalyse voorhanden en geen integraal beleid inzake de veiligheid van procesautomatisering c.q.
SCADA. Naar aanleiding van de zaak Veere is begin 2012 wel een quick scan uitgevoerd naar SCADA-
risico’s. De uitkomsten van deze quick scan zijn destijds gedeeld met directie en bestuur.
Namens IT participeert de beleidsadviseur automatisering in een landelijke werkgroep
informatieveiligheid waterschappen en richt hij zich daarbij specifiek op de veiligheid van
procesautomatisering. Het thema van risicomanagement staat derhalve op de IT-agenda, het doel is
om een plan inzake informatieveiligheid te formuleren.
Informeel risicomanagement
Hoewel er geen formeel risicomanagement is georganiseerd komen tijdens de casestudie (toch) een
aantal relevante uitgangspunten ten aanzien van veiligheid naar voren die in de praktijk worden
gehanteerd (informeel risicomanagement):
Hoe kwetsbaarder een waterstaatswerk is voor de omgeving en burger en hoe meer tijd nodig is voor herstel na een incident, hoe meer het waterstaatswerk en bijbehorende SCADA door het waterschap wordt geïsoleerd;
Kantoor- en procesautomatisering is niet gescheiden omdat juist de verbindingen ertussen als risicovol worden ervaren (mogelijke lekken);
Op cruciale plaatsen worden altijd nog (extra) fysieke beveiligingen aangebracht rondom de besturingssystemen zoals fysieke slot/sleutelcombinaties.
Quick scan risicoanalyse voorjaar 2012
De eerder genoemde quick scan van begin 2012 had betrekking op de veiligheid van de
procesautomatisering bij het waterschap. In deze quick scan worden de waterstaatswerken / objecten
beschreven alsmede het netwerk van verbindingen en de beveiliging van de objecten. Daarnaast
worden 8 concrete risico’s benoemd inclusief voorgestelde maatregelen en acties. Van de 8 benoemde
risico’s kunnen er 6 in direct verband worden gebracht met cybersecurity-risico’s. Uit oogpunt van
vertrouwelijkheid worden deze risico’s hier niet nader geduid.
25 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Maatregelenset
Op basis van informeel risicomanagement en de quick scan uit 2012 zijn de volgende
veiligheidsmaatregelen getroffen (niet limitatief):
Isolatie van specifieke risicovolle waterstaatswerken zodanig dat centrale SCADA-aansturing daarvan niet mogelijk is;
Integratie van kantoor- en procesautomatisering om kwetsbare koppelingen te elimineren en te vermijden;
Aanvullende fysieke beveiligingsmaatregelen tussen de logische en mechanische techniek door middel van sloten en sleutels, bij afwezigheid van de operator zijn de sloten in werking;
DMZ tussen interne netwerk en internet; toegang vanaf internet alleen door middel van strong authentication,
Breed gebruik van VPN verbindingen;
Hoog autorisatie-niveau in SCADA-applicaties voor aansturing op afstand;
Telemetrie wordt niet rechtstreeks, maar alleen via modem aan het netwerk verbonden;
Jaarlijkse externe penetratietest gericht op eventuele zwakheden van het netwerk. Zowel van buiten naar binnen als van binnen naar buiten.
Specifieke bevindingen uit de casestudie/site visits
Aangezien het waterschap geen integrale risic0-analyse kent en ook geen integraal veiligheidsplan
voorhanden is bestaat er intern geen normenset inzake veiligheid die bijvoorbeeld kan dienen als
handvat voor bewustzijn van en gebruik door lokale operators. Bij de site visits bleken enerzijds basale
beveiligingsmaatregelen te zijn aangebracht of getroffen maar anderzijds dat deze niet allemaal
effectief waren. Onder meer username/password-combinaties bleken zichtbaar en in één geval was
een specifieke veiligheidsmaatregel doorbreken wegens lokaal ongewenste neveneffecten. Op één
HMI/SCADA-computer ontbrak een virusscanner met risico’s op het nestelen van trojans.
26 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
4.4 Casestudie 2: Middelgroot waterschap
Situatieschets
De casestudie is uitgevoerd bij een waterschap van middelgrote omvang die verantwoordelijk is voor
meerdere soorten waterstaatswerken zoals gemalen, rioolgemalen en zuiveringsinstallaties. Het
waterschap kent een beheergebied van circa 1.500 km2 met circa 100 voor deze casestudie relevante
waterstaatswerken. Een groot deel hiervan wordt via SCADA aangestuurd. Het aantal werkzame fte
bedraagt circa 250. Onderdeel van de casestudie was een site visit bij een grote, relatief nieuwe,
afvalwaterzuiveringsinstallatie (AWZI). De site visit bij deze AWZI en haar lokale operators is
uitgevoerd samen met de Security Officer en de Systeembeheerder Waterkwantiteit. Nota bene:
procesautomatisering wordt bij dit waterschap de Technische Automatisering (TA) genoemd.
Governance omtrent technische automatisering (procesautomatisering)
Proceseigenaren zijn (eind)verantwoordelijk voor de SCADA-systemen die de betreffende processen
ondersteunen. De rol van ICT in dit geheel is adviserend en faciliterend. ICT stelt wel de eisen en
uitgangspunten inzake de platformen waar SCADA op draait. Bij ontwikkeling op het domein TA en
SCADA wordt ICT betrokken. De organisatie kent geen specifieke functie of rol inzake SCADA. De
systeembeheerders van ICT zijn verantwoordelijk voor de SCADA-systemen in termen van onderhoud
en changemanagement. Bij de lokale operators is relatief gedetailleerde kennis aanwezig inzake het
functioneren van PLC’s, PLC-besturing en PLC-programmering. Deze kennis is opgedaan bij externe
opleidingen en cursussen. Lokale operators zijn verantwoordelijk voor de directe aansturing van de
afvalwaterzuiveringsprocessen en oplossen van storingen. Beslissingen daaromtrent mogen
decentraal worden genomen alwaar ook de feitelijke aansturing (via de HMI/SCADA) van het
waterstaatswerk plaatsvindt. Lokale operators zijn in staat van afstand (bijvoorbeeld via een tablet of
laptop thuis) de SCADA van de eigen werkplek aan te sturen.
Technisch Automatiseringsnetwerk
De technische automatisering is gescheiden van de kantoorautomatisering (KA). Het actuele
beveiligingsniveau van de TA wordt laag tot gemiddeld genoemd. Het actuele beveiligingsniveau van
de KA wordt zeer hoog genoemd. De beveiligingsniveaus van TA en KA wijken derhalve van elkaar af.
Centraal bekende kwetsbaarheden inzake de TA zijn onder meer het gebruik van zeer eenvoudige
passwords, het gebruik van een onvoldoende veilige remote access applicatie en het niet voorzien in
logging van activiteiten.
Communicatie met de PLC’s van de gemalen, zuiveringsinstallaties en andere waterstaatswerken vindt
vanuit het TA-netwerkplaats plaats via Cloud/private APN en private glasvezelnetwerk, de
hoofdlocaties zijn door middel van het glasvezelnetwerk met elkaar verbonden. Het waterschap heeft
recent een supportcontract voor haar SCADA afgesloten waardoor nieuwe versies van de SCADA-
software, middels downloading, snel ter beschikking komen te staan. SCADA-software voor
kwantiteitsbeheer kan (lokaal) worden aangepast: het beheer is in eigen huis. Het beheer van de
SCADA-software voor kwaliteitsbeheer, inclusief patching en upgrading, is uitbesteed aan de externe
leverancier. Een werkgroep is bezig met het thema van mobility met als doel het op afstand kunnen
bedienen van SCADA via mobile devices te faciliteren.
Tot op heden hebben zich geen security-incidenten ten aanzien van de technische automatisering
voorgedaan.
27 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Risico- en bedreigingsmanagement
Framework risicomanagement
Het waterschap heeft, in aanvulling op het reeds aanwezige en gestructureerde financieel
risicomanagement, in 2013 een uitgebreide risicoanalyse uitgevoerd inzake informatieveiligheid. De
Security Officer heeft deze risicoanalyse aangestuurd, beheert de resultaten en initieert de
verbeteracties. Doel van het waterschap inzake informatieveiligheid is het op termijn kunnen voldoen
aan de BIWA. De uitgebreide en uitgewerkte risicoanalyse inclusief maatregelen is vastgelegd in het
Informatiebeveiligingsplan. Dit plan is door de directie vastgesteld, de opvolging en voortgang wordt
systematisch vastgelegd in een, van het informatiebeveiligingsplan afgeleid Excelbestand. De
technische automatisering maakt deel uit van de risicoanalyse. Er is derhalve een integrale
risicoanalyse aanwezig inzake informatieveiligheid en te treffen maatregelen. De maatregelen worden
momenteel stapsgewijs ingevoerd. Er is nog onvoldoende aandacht besteed aan risico-awareness op
site-niveau. Een belangrijke voorgestelde maatregel zijnde het creëren van een incident-responseteam
is onderhanden.
Maatregelenset
Met betrekking tot TA is er nog geen formele set aan maatregelen geïmplementeerd. Wel kent men
een aantal basis security-afspraken die zijn gemaakt direct na de zaak Veere. Deze afspraken zijn als
volgt (bron waterschap, letterlijke teksten):
Windows lock na opstart van het systeem en na x tijd niet gebruikt;
Een degelijk password voor inlog niet zijnde bijvoorbeeld welkom01;
Symantec virus-scan installeren en beheren;
Scada voorzien van persoonlijke inlog zodat ook wijzigingen\parameter instellingen op naam gelogd kunnen worden;
Toegang van buiten\thuis via de ICT\KA security dus portaal met token enz.
Uit de bovengenoemde uitgebreide risico-analyse van 2013 zijn 6 risico’s benoemd die specifiek
betrekking op de Technische Automatisering. Voor alle 6 risico’s zijn beheersmaatregelen opgesteld en
wordt de status daarvan periodiek gemeten. Daarnaast zijn vanuit de benoemde risico’s en
beheersmaatregelen aanbevelingen uitgewerkt ter actualisatie en completering van het
informatiebeveiligingsplan van het waterschap. De 6 risico’s zien op (1) toegang tot locaties met TA,
op (2) de continuïteit van de TA in termen van energievoorziening, op (3) TA-apparatuur buiten de
eigen terreinen, op (4) de beheersing van de operationele programmatuur, op (5) de bescherming van
testdata en op (6) procedures voor wijzigingsbeheer.
Specifieke bevindingen uit de casestudie
Uit de site visit bij de AWZI komt een aantal specifieke zaken naar voren. Ten eerste blijkt dat de
lokale operators goede kennis hebben van de SCADA en gebruikte PLC’s. De lokale operators zijn ook
goed op de hoogte van de kwetsbaarheden van de in gebruik zijnde SCADA-software en de (remote)
communicatieapplicaties. Enerzijds heeft dit een positieve kant omdat door de één van de operators
zelf een specifieke security-maatregel was getroffen om bepaalde toegangsrisico’s te beperken (een
eigen verzwaarde password instelling op een SCADA-applicatie. Anderzijds blijkt dat men in staat is
om ongeautoriseerd op de eigen mobiele telefoon en thuiscomputer besturingssoftware te plaatsen
waarmee de SCADA op de werkplek kan worden bediend. Ten tweede bleek dat een aantal basale,
intern afgesproken, veiligheidsmaatregelen niet werking waren: op een aantal werkstations met
SCADA was geen virusdetectie geïnstalleerd en er was geen automatische screen-locking geactiveerd.
Daarnaast bleek dat dat er geen sprake van automatische uitlogging uit SCADA-applicaties: eenmaal
ingelogd blijft ingelogd.
28 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
4.5 Bevindingen uit de casestudies
Op basis van de casestudies kan nu ook deelvraag 2 van het onderzoek worden beantwoord. Deze
deelvraag gaat over de wijze waarop beheerders van waterstaatwerken in de praktijk omgaan met de
veiligheidsrisico’s van ICS/SCADA.
Uit de casestudies komen de volgende bevindingen:
De beheerders van waterstaatswerken zijn zich bewust van het feit dat er specifieke risico’s spelen inzake ICS/SCADA in relatie met IT-netwerken en internet;
Bij beide waterschappen werd de zaak Veere in 2012 (bijlage 1) genoemd als reden om een quick scan risicoanalyse uit te voeren, respectievelijk om specifieke security-afspraken te maken;
De BIWA was bij beide waterschappen mede een reden om ICS/SCADA security (nader) op de managementagenda te zetten; vertegenwoordigers van beide waterschappen zijn betrokken bij landelijke werkgroepen in relatie met de verdere ontwikkeling van de BIWA;
Bij één waterschap was recent een integrale risicoanalyse informatieveiligheid uitgevoerd waar ook ICS/SCADA onderdeel van uitmaakt. Bij het andere waterschap dateerde de meest recente risicoanalyse (quick scan) uit 2012, geïnitieerd vanwege “Veere”;
Risicomanagement inzake ICS/SCADA staat nog in de kinderschoenen, bedreigings-management past men in het geheel nog niet toe. Er was geen specifiek ICS-SCADA normenkader voor security opgesteld en/of in gebruik.
Bij beide waterschappen is, ten aanzien van de reguliere IT-omgeving (kantoorautomatisering) en de koppeling daarvan met internet, sprake van een uitgebreide set aan technische securitymaatregelen;
Beide waterschappen hebben vanuit de ICT-functie specifieke security-maatregelen voor ICS/SCADA gedefinieerd en (deels) getroffen. Deze maatregelen zijn hoofdzakelijk technisch van aard;
Wat betreft het op afstand besturen van de ICS/SCADA zelf (mobility) zijn beide waterschappen daar reeds vergaand mee bezig in termen van planvorming c.q. (voltooide) implementatie;
Lokale operators worden weinig tot niet betrokken bij het ontwikkelen van een security-maatregelen voor ICS/SCADA;
Bij één van de site visits bleken lokale operators over zeer ruime PLC-ervaring te beschikken
ten aanzien van architectuur, aansturing, communicatieprotocollen en het kunnen
programmeren van PLC’s;
Op site niveau bleek bij beide casestudies dat een aantal basale security maatregelen niet waren getroffen dan wel buiten gebruik te zijn gesteld of dat specifieke interne afspraken over security niet werden nagekomen.
Men vertrouwt er ook op dat ingeval van security-incidenten inzake ICS/SCADA men tijdig via fysieke handelingen kan bijsturen c.q. de schade kan beperken: handmatig aan-/uitzetten.
29 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
4.6 Conclusies uit het praktijkonderzoek
Beheerders van waterstaatswerken zijn steeds meer bekend met de veiligheidsrisico’s van
ICS/SCADA. De zaak Veere heeft de bewustwording daaromtrent in 2012 versneld. De zaak Veere
kwam tijdens de casestudies ook aan de orde en heeft ook tot zichtbare stappen geleid op het gebied
van risicomanagement. ICS/SCADA is een thema dat anno 2014 op agenda is komen te staan van de
beheerders van waterstaatswerken, gedreven door onder meer de BIWA en publiciteit in de media.
Naast de constatering dat risico-management gericht op ICS/SCADA nu plaatsvindt, is een tweede
constatering dat de IT-functie in beide situaties een scala aan technische maatregelen heeft
geïnitieerd. Dit betreffen overigens wel IT- securitymaatregelen waarmee een deel van de ICS/SCADA
security risico’s wordt afgedekt. Heel specifieke ICS/SCADA security-maatregelen zijn nog weinig tot
niet getroffen.
De derde conclusie is dat er bij beide waterschappen niet sprake was van een integraal ICS/SCADA
beveiligingsplan inclusief aandacht voor ontwikkelingen, security-awareness en aandacht voor heel
specifieke ICS/SCADA security issues.
Een vierde conclusie is dat op site-niveau sprake was van het niet altijd voldoen aan afgesproken
securitymaatregelen zoals bijvoorbeeld het geheimhouden van passwords en het gebruiken van
virusscanners.
30 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
5. Essentiële leerpunten uit het onderzoek en reflectie
5.1 Inleiding
De derde en laatste deelvraag van dit onderzoek gaat over welke essentiële leerpunten nu zijn te
destilleren ten aanzien van de digitale (on)veiligheid van waterstaatswerken en mogelijke maatregelen
ter mitigatie van de geconstateerde risico’s. In paragraaf 2 wordt daartoe een synthese tussen theorie
en praktijk uitgewerkt, in paragraaf 3 volgen de leerpunten in de vorm van een tweetal scenario’s, in
paragraaf 4 wordt kort op de rol van de IT-auditor ingegaan en tot slot volgen aanbevelingen voor
nader onderzoek (paragraaf 5) en de persoonlijke reflectie (paragraaf 6)
5.2 Synthese tussen theorie en praktijk
De synthese van dit referaat bestaat uit het bij elkaar brengen van het theoretische deel van het
onderzoek en de casestudies als praktijkonderzoek. Gekozen is om deze synthese te formuleren in
termen van opvallende overeenkomsten en verschillen tussen theorie en praktijk.
Opvallende overeenkomsten tussen theorie en praktijk
ICS/SCADA security bij waterstaatswerken blijkt zowel vanuit de theorie als vanuit de praktijk een
complexe problematiek waar geen “one size fits all” oplossing voor bestaat. De ontwikkelingspatronen
van ICS/SCADA zoals geschetst in hoofdstuk 3, de risico’s omtrent ICS/SCADA security en de actuele
ontwikkelingen zoals mobility komen ook terug in de casestudies. Vanuit de theorie is nog geen
allesomvattend kader ontwikkeld zoals een integraal security ICS/SCADA framework die toepasbaar is
voor alle beheerders van waterstaatswerken, hoewel met de BIG en BIWA de eerste stappen zijn gezet.
Lopende onderzoeken zoals “Veilig Water”, interventies van de overheid en diverse publicaties maken
vanuit de theorie duidelijk dat er nog geen gezamenlijke route is om ICS/SCADA security problemen
grondig aan te pakken ter preventie van mogelijke majeure incidenten. Uit de praktijk blijkt ook op
organisatieniveau nog geen intern gezamenlijk pad is om ICS/SCADA security grondig aan te pakken.
Hier sluiten de theorie en de praktijk op elkaar aan. Dit geldt eveneens voor het thema van security-
awareness. Uit de theoretische verkenning blijkt dat awareness zijn intrede heeft gedaan, in de
praktijk geldt hetzelfde. Risicoanalyses in de theorie blijken nog voor het overgrote deel te wijzen op
de technische kwetsbaarheden en technische maatregelen. Security awareness en
bedreigingsmanagement blijven daarin nog onderbelicht. Ook dit punt sluit de praktijk aan op de
theorie.
Opvallende verschillen tussen theorie en praktijk
Zoals blijkt uit dit onderzoek zijn er in de literatuur inmiddels veel analyses te vinden van
ICS/SCADA- problemen, kwetsbaarheden, risico’s, securitymaatregelen etc. Er zijn echter twee
belangrijke punten die in de praktijk wel naar voren komt maar in de theorie nog onderbelicht blijven
of niet worden. Het eerste punt betreft de permanente afweging in de praktijk tussen de ontwikkeling
van nieuwe functionaliteit versus de ontwikkeling van security. De neiging om prioriteit te blijven
leggen op functionaliteit is uiteraard groot. Deze afweging wordt in de theorie niet genoemd.
31 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Een tweede punt betreft het kennis- en kostenaspect. Specifiek voor Nederland blijkt dat de
verantwoordelijkheid van de mogelijk duizenden waterstaatswerken en ICS/SCADA-systemen is
verdeeld over meer dan 20 waterschappen en een aanzienlijke groep van gemeenten. Al deze
organisaties beschikken niet over specifieke ICS/SCADA-experts en de kosten om deze experts aan te
trekken, in dienst te hebben en op te (blijven) leiden zijn (te) hoog. Dat geldt ook voor eventuele
inhuur van deze kennis en kunde. Dat zou ook macro gezien niet efficiënt en niet effectief zijn. Op
micro-niveau geldt het kostenvraagstuk overigens ook in termen van wie de securitykosten in eerste
instantie gaat dragen: IT of de “business” in de persoon van de proceseigenaar.
5.3 Leerpunten digitale veiligheid waterstaatswerken
Het belangrijkste leerpunt uit het onderzoek naar de digitale veiligheid van waterstaatwerken is dat er
nog een (hele) lange weg te gaan is om tot een situatie te komen waar sprake is van “in control” zijn
ten aanzien van ICS/SCADA security. Dit geldt op microniveau (waterstaatswerken, waterschap,
gemeente) maar zeker ook op overstijgend landelijk niveau. Daarbij is relevant dat de complexiteit
hoog is en er enerzijds geen ‘one size fits all”- oplossing bestaat en dat anderzijds ook sprake is van
digitale veiligheid als een “bewegend doel” (moving target). Met dit laatste wordt bedoeld dat
momenteel de technische ontwikkelingen en wensen zo snel gaan dat voorgenomen of getroffen
security-maatregelen al snel verouderd of achterhaald blijken te zijn. Dit, in combinatie met de
financiële druk die vrijwel alle organisaties momenteel voelen, leidt tot de situatie waarin security van
ICS/SCADA bij waterstaatwerken nog geen grote prioriteit of urgentie kent. Dat neemt niet weg dat de
eerder geconstateerde risico’s en kwetsbaarheden onverminderd blijven bestaan en mogelijk zelfs
toenemen in het licht van de mobiliteit-bewegingen zoals ICS/SCADA aansturing vanuit huis.
Maar hoe nu verder? Om deze vraag te beantwoorden is een tweetal realistische scenario’s ontwikkeld
op weg naar meer digitale veiligheid voor ICS/SCADA bij waterstaatswerken. Deze scenario’s zijn
ontwikkeld op basis van de bevindingen van dit ICS/SCADA onderzoek:
1. Het incrementele ICS/SCADA security-scenario;
2. Het versnelde ICS/SCADA security-scenario.
Scenario 1: Het incrementele ICS/SCADA security-scenario
In dit eerste scenario is sprake van continuering van de bestaande praktijk op weg naar meer adequate
security voor de ICS/SCADA van waterstaatswerken. In dit scenario blijft de focus van de beheerders
van waterstaatswerken nog voornamelijk liggen op het ontwikkelen van nieuwe, betere of snellere
ICS/SCADA-functionaliteit zelf, zoals het toepasbaar maken van ICS/SCADA voor vergaande vormen
van mobilititeit. De BIG voor gemeenten en de BIWA voor waterschappen zullen in dit scenario de
belangrijkste drivers zijn om uiteindelijk tot een meer coherent en integraal security-pakket te komen
voor ICS/SCADA. Dit security-pakket is daarbij dan een onderdeel van een integraal en organisatie-
breed informatieveiligheidsbeleid zoals de BIG en BIWA dat voorstaan. In dit scenario bestaat het
risico dat actuele ICS/SCADA ontwikkelingen en de aard en omvang van bedreigingen sneller gaan
dan de ontwikkeling van security kan bijhouden.
32 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Een globale inschatting van de duur van “bewandelen” van deze incrementele weg, gemaakt mede op
basis van de vijf ontwikkelingsfasen van paragraaf 2.4 en de ervaringen uit de casestudies komt op
zeker een periode van één tot twee decennia. De onzekerheid die aan deze tijdsraming is verbonden
ligt met name op het vlak het eerdergenoemde moving target: ontwikkelingen van ICS/SCADA
functionaliteit kunnen sneller gaan dan de ontwikkelingen van security-maatregelen waardoor de
kloof niet kleiner kan worden gemaakt of gedicht.
Scenario 2: Het versnelde ICS/SCADA security-scenario
In dit tweede scenario doet zich binnen enkele jaren, dus op relatief korte termijn, één of meer
significante of zelfs ernstige cybersecurity-incidenten voor op het gebied van ICS/SCADA bij
waterstaatswerken. Deze incidenten leiden in dit scenario tot schade en onrust en tot een grote
versnelling op de weg naar meer adequate security voor ICS/SCADA van waterstaatswerken. Deze
versnelling zal in dit scenario enerzijds door beheerders van de waterstaatswerken zelf worden
geïnitieerd om verdere of nieuwe schade te beperken en te voorkomen. Aan de andere kant zal de
overheid ICS/SCADA security versneld gaan afdwingen door middel van bijvoorbeeld wetgeving in
combinatie met toezicht en inspectie. In dit scenario zullen de BIG en BIWA en bestaande
instrumenten zoals de checklijsten van het NCSC ontoereikend blijken om de vereiste versnelling te
kunnen faciliteren. Een robuust en relatief gedetailleerd normenkader voor ICS/SCADA security bij
waterstaatswerken zal daarvoor in de plaats nodig zijn als detaillering van een vergaand wettelijk
kader.
5.4 Rol voor de IT auditor(s)
Dit referaat is geschreven in het kader van de Post Graduate Opleiding IT Audit, Compliance &
Advisory. Het is dan ook interessant vast te stellen in het kader van de leerpunten of en zo ja welke rol
de IT auditor kan spelen bij het vraagstuk van cybersecurity van waterstaatswerken. Om dit vast
stellen dient eerst te worden bepaald welke rollen een IT auditor in dit kader kan spelen. Dit zijn de
volgende:
1. De interne IT auditor die audits en onderzoek uitvoert naar informatieveiligheid in brede of specifieke zin;
2. De externe IT auditor in het kader van de jaarrekeningcontrole; 3. De externe IT auditor die een specifieke audit uitvoert op informatieveiligheid in brede zin
(bijvoorbeeld in het licht van de BIG of BIWA) of in specifieke zin (in casu de security van ICS/SCADA van waterstaatswerken);
4. De externe IT auditor die optreedt als adviseur inzake informatieveiligheid en/of ICS/SCADA; 5. De IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied van ICS/SCADA.
Voor interne IT auditor is sprake van een relevant thema die hij (/zij) op de agenda kan zetten voor
het management van de beheerders van waterstaatswerken. De rol van de IT auditor zal met name
kunnen liggen in het opzetten van een specifiek normenkader die gebruikt kan worden voor
ontwikkeling en auditing van ICS/SCADA security. Gezien de soms zeer specifieke en unieke
waterstaatswerken die er bestaan kunnen dan zelfs op site-level deelnormenkaders worden
ontwikkeld.
33 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Voor de externe IT auditor in het kader van jaarrekeningcontrole is er minder snel een rol vast te
stellen. ICS/SCADA gaat immers niet over financiële data die relevant zijn voor de jaarrekening. Een
rol zou kunnen zijn dat deze IT auditor vaststelt dat de beheerders voldoen aan bijvoorbeeld BIG en
BIWA, een andere rol zou kunnen zijn dat de IT auditor nagaat of ICS/SCADA risico’s in de praktijk zo
groot zijn dat de “betrouwbaarheid en continuïteit van de geautomatiseerde gegevens” in gevaar komt.
Dit lijkt (te) vergezocht.
De externe IT auditor die een specifieke audit uitvoert zal in deze rol veel aandacht moeten schenken
het normenkader dat gebruikt gaat worden en het realistische tijdspad om te kunnen voldoen aan de
daarin beschreven normen. Het is in deze rol van belang te beseffen en vooraf te communiceren dat de
kans reëel is dat de audits niet direct tot positieve oordelen zullen leiden, maar dat dat een proces van
jaren kan zijn.
De externe IT auditor die optreedt als adviseur heeft gegeven de uitkomsten van dit onderzoek een
grote potentiële markt voorhanden, maar zal moeten waken voor een aantal zaken in zijn
beroepsuitoefening. Deze zaken zijn: over specifieke kennis en ervaring beschikken inzake
ICS/SCADA, geduld hebben en diep leren inzoomen op de specifieke ICS/SCADA constellaties die het
object van advies zijn waarbij site visits onontbeerlijk zijn.
Tot slot de IT auditor met onderzoeks- of ontwikkelingsdoeleinden op het vakgebied. Uit dit
onderzoek blijkt dat er vele interessante thema’s zijn voor nader onderzoek (zie ook de volgende
paragraaf). Tevens blijkt dat er reeds onderzoeksinitiatieven lopen. De rol van dit type IT auditor kan
zijn dat een bijdrage wordt geleverd aan het ontwikkelen van integrale ICS/SCADA normenkaders
(voor waterstaatswerken) en/of voor het mede ontwikkelen van ketenoptimalisatie rondom
ICS/SCADA waarin alle relevante stakeholders worden betrokken.
5.5 Aanbevelingen voor nader onderzoek
Dit onderzoek naar de digitale veiligheid van waterstaatwerken heeft geleid tot een serie van
interessante bevindingen en conclusies. Tegelijkertijd blijkt sprake van een complex security-domein
waar een groot aantal stakeholders betrokken is zoals beheerders van waterstaatswerken,
ICS/SCADA-leveranciers, overheid, adviseurs en onderzoekers. Binnen dit domein en naar aanleiding
van dit onderzoek kunnen in ieder geval de volgende thema’s aan de orde worden gesteld die de
aanbeveling verdienen om nader onderzocht te worden:
Hoe kan de samenwerking tussen alle stakeholders op het gebied van ICS/SCADA security van waterstaatswerken zodanig worden georganiseerd dat sprake is van een gezamenlijke win-win-situatie?
Hoe is het mogelijk tot om tot standaardisatie te komen van technieken in termen ICS/SCADA-software en communicatieprotocollen alsmede van de patching- en upgradeprocessen, naast effectieve en specifieke security-frameworks?
Hoe kan in Nederland het bedreigingsmanagement van ICS/SCADA bij waterstaatswerken het meeste effectief en efficiënt worden vormgegeven?
Hoe zit de landelijke business case er uit voor ICS/SCADA effectieve security bij waterstaatswerken in termen van te beveiligen componenten, de financiële waarden en de (financiële) kwantificering van bedreigingen?
34 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
5.6 Reflectie op het onderzoeks- en leerproces
Tot slot van dit referaat mijn persoonlijke reflectie op het onderzoeks- en leerproces en mijn
inschatting welke van de twee scenario’s uit paragraaf 5.3 het meest realistische is.
Menig maal is in dit referaat de zaak Veere aan de orde gekomen: een televisierapportage over de
gemeente Veere en haar slecht beveiligde SCADA die schetst hoe eenvoudig het is om sluizen, bruggen
en gemalen te manipuleren waardoor grote schade kan ontstaan. Een rapportage die landelijk tot veel
onrust en publiciteit heeft geleid. Gedurende mijn onderzoek is mij gebleken dat de achterliggende
situatie van ICS/SCADA daarentegen niet eenvoudig maar juist bijzonder ingewikkeld is en dat er
geen snelle en eenvoudige oplossingen voorhanden zijn. Via Veere is met dit onderzoek een domein
betreden dat actueel, gevarieerd en complex is, getuige alleen al de literatuurlijst op de volgende
pagina’s als een samenvattende representatie van vele onderzoeken, artikelen en weblogs die recent
over SCADA-risico’s zijn verschenen. Een boeiend domein omdat het de directe wereld om ons heen
(bruggen, sluizen, gemalen, water) direct verbindt met techniek, mechaniek, internet en security. Een
boeiend domein ook omdat het laat zien dat actuele ontwikkelingen op IT gebied grote impact kunnen
hebben op ICS/SCADA-systemen die soms decennia geleden zijn ontwikkeld en in gebruik zijn
genomen. Als reflectiepunt kan ik dan ook zeggen dat het van belang is en blijft om bij toekomstige
ICS/SCADA-ontwikkelingen altijd flexibiliteit in te bouwen, dit kan zijn flexibiliteit in de architectuur
of in IT- en OT-componenten zelf, dan wel de flexibiliteit om ICS/SCADA-constellaties snel en tegen
aanvaardbare kosten te kunnen vervangen. Dit vereist een ketenaanpak, waar alle partijen samen
zullen moeten werken. Een ketenaanpak die mogelijk kan leiden tot herontwerp van ICS/SCADA in
het licht van security.
Een tweede reflectiepunt betreft het proces van het onderzoek. In veel situaties bestaat
praktijkonderzoek uit, naast documentstudie, enquêteren en/of het uitvoeren van een aantal
interviews. Voor dit onderzoek heeft naast de interviews alle nadruk gelegen op de site visits bij
sluizen, gemalen en afvalwaterzuiveringsinstallatie en de aansturing daarvan. Op deze wijze kon een
totaalbeeld worden verkregen van ICS/SCADA in de praktijk en de securitymaatregelen die wel en
soms ook niet in gebruik waren. De casestudies zijn onmisbaar geweest in mijn onderzoek. De site
visits waren daarnaast ook voor alle anderen betrokkenen van de waterschappen zelf leerzame
momenten van inventarisatie, kennisuitwisseling en dialoog met ongetwijfeld nog interne discussie en
opvolging.
Ter afsluiting mijn mening over de twee in paragraaf 5.3 geschetste scenario’s. Ik denk, alles
afwegende, dat scenario 2 het meest realistische is. Mijn verwachting is dat zich één of meer ernstige
cyber-security-incidenten op het gebied van waterstaatswerken zullen voordoen die uiteindelijk de
security als geheel zullen versnellen: het versnelde ICS/SCADA securityscenario. Één geruststelling
daarbij: alle operators bij de site visits gaven aan nog steeds handmatig te kunnen interveniëren in de
regeltechniek en de mechanica. Ze moeten er dan wel fysiek tijdig bij zijn….
35 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Literatuuroverzicht
Bloem, W.J. en Blokzijl, J. (redactie) , 2012, Sluizen, gemalen en bruggen slecht beveiligd,
Éénvandaag,
http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slech
t_beveiligd, geraadpleegd 14 september 2013. (zie ook Bijlage 1).
CPNI.NL, 2012, Beveiliging van legacy procescontrolesystemen, op weg naar veilige
procescontrolesystemen, White Paper Platform voor Cybersecurity, versie 1.0 15 februari 2012.
GEENSTIJL, 2013, WTF! Hackers kunnen heel Nederland platleggen,
http://www.geenstijl.nl/mt/archieven/2013/05/wtf_hackers_kunnen_heel_nederl.html,
geraadpleegd 14 september 2013.
Gils, van W., 2012, Process Control Frameworks – which frameworks are available for PCS’s and how
do companies use these frameworks, Thesis PGO IT audit, VU Amsterdam.
Larkin, R.D., 2012, Evaluation of traditional security solutions in the SCADA environment, Thesis Air
Force Institute of Technology, Ohio, USA.
Luiijf, H.A.M., 2008, Beveiliging procescontrole is een onderbelicht onderwerp, Vakblad
Informatiebeveiliging nummer 4-2008, Platform voor Informatiebeveiliging.
Luiijf, H.A.M., 2012, Onbewust onveilig, Vakblad Informatiebeveiliging nummer 4-2012, Platform
voor Informatiebeveiliging.
Molenaar, M. 2003, De performance van web enabled telemetrie, KNW, Neerslag Magazine (2003),
www.neerslag-magazine .nl, http://www.neerslag-magazine.nl/magazine/artikel/312/,
geraadpleegd 28 september 2013.
Nl.wikipedia.org, 2013, lemma SCADA,
http://nl.wikipedia.org/wiki/Supervisory_control_and_data_acquisition, geraadpleegd 14 september
2013.
NCSC, 2012, Beveiligingsrisico’s van on-line SCADA systemen, Factsheet FS-2012-01.
NSCS, 2012, Checklist beveiliging van ICS/SCADA0-systemen, PDF bestand, via:
https://www.ncsc.nl/actueel/nieuwsberichten/ncsc-publiceert-checklist-beveiliging-ics-scada-
systemen.html, geraadpleegd 14 september 2013.
NSCS, 2013, Cybersecuritybeeld Nederland 3 – CSBN-3,
https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-kwetsbaarheid-van-
ict-onverminderd-hoog.html, geraadpleegd 14 september 2013.
36 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Norlander, J., 2009, What is special about SCADA system cyber security? A comparison between
existing SCADA system security standards and ISO 17799, Master Thesis Report in collaboration with
Department of Industrial Information and Control Systems Royal Institute of Technology and Svenska
Kraftnät, Stockholm, Zweden.
Ouchn, N.J. 2013, New SCADA Default Passwords added to DPE xml Database, www.toolswatch.org,
http://www.toolswatch.org/2013/02/new-scada-default-passwords-added-to-dpe-xml-database/,
geraadpleegd 28 september 2013.
Peters, J., 2013, SCADA Systems: Myths, Inaccuracies and Chaos Surrounding Our Critical
Infrastructure, www.hacksurfer.com, http://www.hacksurfer.com/amplifications/276-scada-
systems-myths-inaccuracies-and-chaos-surrounding-our-critical-infrastructure, geraadpleegd 27
september 2013.
Radvanovsky, R. en Brodsky, J., 2013, Handbook of SCADA / Control Systems Security, CRC Press
Taylor & Francis Group, USA.
Reijerman, D., 2012, ‘Nederlandse scada-systemen zijn kwetsbaar voor aanvallen’, Tweakers.net,
http://tweakers.net/nieuws/80027/nederlandse-scada-systemen-zijn-kwetsbaar-voor-
aanvallen.html, geraadpleegd 20 september 2013.
Schellevis, J., 2012, Scada-beveiliging: een structureel probleem system, Tweakers.net,
http://tweakers.net/reviews/2465/3, geraadpleegd 27 september 2013.
Schellevis, J., 2012, Onderzoekers vinden 20 bugs in scada-systemen Siemens,
http://tweakers.net/nieuws/86318/onderzoekers-vinden-20-bugs-in-scada-systemen-siemens.html,
geraadpleegd 27 september 2013.
Schoemaker, R., 2012, Kabinet ‘niet verantwoordelijk’ voor lekke SCADA, Webwereld.nl,
http://webwereld.nl/beveiliging/56357-kabinet--niet-verantwoordelijk--voor-lekke-scada,
geraadpleegd 27 september 2013.
Schoemaker, R., 2012, Minister: SCADA-systemen van het Rijk zijn veilig, Webwereld.nl,
http://webwereld.nl/beveiliging/56300-minister-scada-systemen-van-het-rijk-zijn-veilig,
geraadpleegd 27 september 2013.
Schoemaker, R., 2012, SCADA-leveranciers nemen security niet serieus, Webwereld.nl,
http://webwereld.nl/beveiliging/56169--scada-leveranciers-nemen-security-niet-serieus-,
geraadpleegd 27 september 2013.
Schoemaker, R., 2013, Kwetsbare SCADA-systemen in kaart gebracht, Webwereld.nl,
http://webwereld.nl/beveiliging/59619-kwetsbare-scada-systemen-in-kaart-gebracht, geraadpleegd
27 september 2013.
Security.nl, 2012, “Nederlandse bruggen kwetsbaar voor hackers”,
https://www.security.nl/artikel/40344/1/%22Nederlandse_bruggen_kwetsbaar_voor_hackers%22.h
tml, geraadpleegd 27 september 2013.
37 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Security.nl, 2012, Nederlandse hacker onthult open SCADA-systemen,
https://www.security.nl/posting/34974/ , geraadpleegd 16 september 2013
Security.nl, 2012, Gapend gat bij honderden SCADA-leveranciers,
https://www.security.nl/posting/38630/Gapend+gat+bij+honderden+SCADA-leveranciers,
geraadpleegd 27 september 2013.
Security.nl, 2013, SCADA- leverancier verhelpt backdoor na anderhalf jaar,
https://www.security.nl/posting/41344/SCADA-leverancier+verhelpt+backdoor+na+anderhalf+jaar,
geraadpleegd 27 september 2013.
Stouffer, K., Falco, J., en Scarfone, K., 2011, Guide to Industrial Control Systems Security; Supervisory
Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control
system configurations such as Programmable Logic Controllers (PLC); Recommendations of the
National Institute of Standards and Technology, NIST, Special Publication 800-82, USA.
Trouw, 2012, ‘Kinderlijk eenvoudig om vanuit huis een sluis te bedienen’,
http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3179466/2012/02/14/Kinderlijk-
eenvoudig-om-vanuit-huis-sluis-te-bedienen.dhtml, geraadpleegd 14 september 2013.
Ward, M., 2012, How to hack a nation’s infrastructure, BBC News Technology,
http://www.bbc.co.uk/news/technology-22524274, geraadpleegd 14 september 2013.
Watervragen, 2012, Water ABC,
http://www.watervragen.nl/component/sobipro/?pid=55&sid=1055:Waterstaatswerk&Itemid=0
geraadpleegd 7 oktober 2013.
Zwaap, R., 2011, Nederland kwetsbaar voor cybercriminaliteit – De wereld na Stuxnet, Public
Mission, http://www.pm.nl/artikel/1707/nederland-kwetsbaar-voor-cybercriminaliteit ,
geraadpleegd 27 september 2013.
Yin, R.K., 2013, Case Study Research – Design and Methods, 5th edition, SAGE Publications, USA
38 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Overzicht interviews SCADA-experts en overige
SCADA expert /
betrokkene
Rol / functie Onderwerp Datum
Interview
De heer O.Koeroo KPN CISO – Red Team De technische details van casus
Veere (casus bijlage 1)
29-10-2013
De heer H.Wubs
Manager Engineering &
Development van een SCADA-
leverancier
ICS en SCADA security vanuit
het blikveld van een supplier en
engineer
06-11-2013
De heer S.de Vries Manager Operations van een
SCADA-leverancier
ICS en SCADA security vanuit
het blikveld van een supplier en
engineer
06-11-2013
De heer S.Hernando
CISA CISM CISSP
CRISC GCFA
Senior Manager Security &
Privacy Deloitte Risk Services
Industrial Control System
security vanuit het blikveld van
consultancy
15-11-2013
De heren DP, VRH en
SJ (en lokale SCADA-
operators) van
waterschap uit
casestudie 1
Concerncontroller,
beleidsadviseur/coördinator
automatisering en
proceseigenaar
SCADA bij waterschap Meerdere
gesprekken in
december
2013 en
januari 2014
De heren SF, ME, DR
en WF van waterschap
casestudie 2
Security Officer,
Systeembeheerder
Waterkwantiteit en lokale
SCADA-operators
SCADA bij waterschap Meerdere
gesprekken in
februari en
maart 2014
Deloitte / Siemens seminar
ICS/SCADA
Security Intelligence Session.
ICS security vanuit een
praktisch perspectief.
Presentaties en paneldiscussie.
Sprekers:
- Generaal (b.d). D. Berlijn, namens Deloitte;
- De heer A. van der Touw, namens Siemens;
- De heer S. Hernando, namens Deloitte;
- De heer G. Bravenboer, namens Siemens;
- Professor S. Etalle namens TU/e;
- De heer J. Eikelboom, namens ENCS.
19 maart 2014
Zeist
39 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Bijlage 1: EenVandaag 14-02-2012: “Sluizen, gemalen en bruggen slecht beveiligd”
EenVandaag: televisie reportage van 14 februari 2012.
Bron: Bloem, W.J. en Blokzijl, J. (redactie) , 2012, Sluizen, gemalen en bruggen slecht beveiligd,
http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slech
t_beveiligd
Het blijkt kinderlijk eenvoudig om sluizen, gemalen, rioleringspompen en zelfs bruggen in
Nederland via internet op afstand te bedienen. In EenVandaag een reportage die bijvoorbeeld
laat zien hoe slecht de rioleringspompen en gemalen van de gemeente Veere zijn beveiligd.
Met een paar simpele handelingen zijn ze vanaf een thuiscomputer te bedienen. De Nationaal
Coördinator Terrorismebestrijding (NCTB) waarschuwt al enkele jaren voor de
kwetsbaarheid van deze zogenoemde ‘SCADA-systemen’ maar dat lijkt weinig te helpen.
Beveiligingsexperts van instituut NIKHEF en kennisorganisatie TNO zeggen dat veel meer Scada-systemen in
Nederland kwetsbaar zijn, variërend van parkeergarages en verwarmingssystemen tot complete bruggen en
sluizen. Een nieuwe zoekmachine laat zelfs honderden Nederlandse systemen zien die met gemak te hacken
zijn. In sommige gevallen zijn die beveiligd met een standaard wachtwoord, in andere gevallen is er in het
geheel geen wachtwoord nodig om in de betreffende apparatuur binnen te dringen. Beveiligingsspecialist
Oscar Koeroo, werkzaam bij het Nationaal instituut voor subatomaire fysica (NIKHEF) is geschokt. Over de
situatie in Veere zegt hij: 'De machines staan bloot aan het internet. Er is geen beveiliging die ervoor zorgt dat
alleen de beheerder toegang heeft'.
40 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Niet slim
Eric Luiijf, Scada-expert en onderzoeker bij TNO waarschuwt al jaren voor de gevaren van dit soort systemen.
'Vanaf 2001 ben ik hier al mee bezig en in 2005 hebben we de overheid zelfs al gewaarschuwd.’ Volgens hem
hoef je geen ervaren hacker te zijn om in de systemen in te kunnen breken: ‘Je hoeft hier helemaal niet slim
voor te zijn, dat is juist het gevaarlijke'.
Ernstige bedreiging
De NCTB schreef in december 2011 nog over de gevaren van aanvallen op Scada-systemen: 'Dergelijke
aanvallen vormen een potentieel ernstige bedreiging voor de nationale veiligheid wanneer zij de vitale
infrastructuur (zoals energie, water, financiën) treffen. Bij dergelijke complexe aanvallen is het risico van
maatschappelijke ontwrichting reëel'. In een reactie laat de NCTB weten bezorgd te zijn over de door
EenVandaag ontdekte situatie en de organisatie staat de gemeente Veere bij om voor de uitzending van
vanavond de systemen goed te beveiligen.
Onderlopen
Peter van Rooij, expert op het gebied van de waterhuishouding, is geschrokken. 'Als je dit niet goed beveiligd,
dan loopt Nederland onder, zo kwetsbaar zijn we hier. Eric Luiijf van TNO benadrukt dat het gevaar nog niet
eens van hackers hoeft te komen. 'De echter hacker, die denkt nog na over welke schade hij aanbrengt. De
eerste de beste 13-jarige die binnenkomt en pompen uitzet veroorzaakt behoorlijke schade'.
41 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Bijlage 2: ICS/SCADA systemen nader toegelicht
Algemeen
ICS/SCADA-systemen hebben als taak het centraal volgen, beheersen en aansturen van decentraal
verspreide processen, besturingssystemen en middelen zoals sensoren, pompen, sluizen, gemalen etc.
SCADA staat voor Supervisory Control And Data Acquisitie, zoals blijkt uit deze definitie speelt het
inwinnen en opslaan van data ook een belangrijke rol. Een voorbeeld van ICS/SCADA is een centrale
hoofdpost van een waterschap van waaruit sluizen en gemalen, gelegen in een groot geografiscg=h
gebied, worden beheerst en aangestuurd. ICS/SCADA systemen zijn er in allerlei soorten, varianten,
versies en er zijn veel ondernemingen die bezig houden met de ontwikkeling en het vermarkten van
ICS/SCADA-systemen. Diverse organisaties beschikken ook over (vaak in het verleden) zelf
ontwikkelde SCADA-systemen. In de kern gaat het bij ICS/SCADA om een permante loop waarin
informatie over decentrale processen of activa wordt verzameld en naar de centrale ICS/SCADA-
server wordt verzonden. Daar wordt de data opgeslagen, geïnterpreteerd en gevisualiseerd en gebruikt
voor het aansturen of bijsturen van de decentrale processen en systemen. Dat laatste kan geheel
automatisch dan wel door operators plaatsvinden.
Basis componenten
De basiscomponenten waaruit een ICS/SCADA-systeem bestaat zijn de volgende:
SCADA-server of Master Terminal Unit (MTU)
De SCADA-server of MTU is een component, een device, die dient als de zogenaamde “master” in of
het hart van de SCADA-omgeving waarin de Remote Terminal Units (RTU’s) of PCL’s, die als “slaaf”
dienen, zijn verbonden. De MTU kan RTU’s volgen, beheersen en aansturen. Bij grote organisaties
kan de MTU ook de vorm hebben van een grote control-kamer met schermen waarin de
waterstaatswerken worden gevisualiseerd in actuele staat.
Remote Terminal Unit (RTU)
De RTU is een device of control systeem die een fysiek proces kan besturen en tegelijk kan
communiceren met de MTU. In feite heeft de RTU de functionaliteit van een PLC maar kan daarnaast
communiceren met de MTU via bijvoorbeeld Wi-Fi, GSM, Ethernet etc.
Programmable Logic Controller (PLC)
Een PLC is een controller die in staat is complexe (fysieke) processen aan te sturen, ingeval van
waterstaatswerken stuurt de PLC de sluis-bewegingen aan. In de PLC zit specifieke programma-code
voor het specifieke proces.
Human-Machine Interface (HMI)
De HMI betreft de hard- en software die er voor zorgt dat operators (dus mensen) het fysieke proces
kunnen beheersen. De HMI kent daardoor een veelheid aan functionaliteit zoals het tonen van
historische en actuele statusinformatie, het kunnen laten configureren van meetpunten, het alarmeren
ingeval van dreigingen of noodsituaties, verwerken van handmatige input en interventies etc.
42 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Data Historian
Dit betreft een centrale database waarin alle verzamelde procesinformatie wordt opgeslagen. Dit ten
behoeve van rapportage, (trend-)analyse, planning, procesverbetering etc.
Sensor
Een sensor is een device ten behoeve van metingen op veld-niveau. Bijvoorbeeld ingeval van een sluis
betreft dit een device die de waterstanden meet en doorgeeft aan de PLC.
Figuur 3: voorbeeld visualisatie ICS/SCADA
43 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Bijlage 3: Praktijktoetsing actuele ontwikkelingen
Ten behoeve van het onderzoek is op een aantal momenten in het najaar van 2013 door middel van
google-searches nagegaan welke informatie over specifieke ICS/SCADA systemen publiek te vinden
was (reconnaissance). Deze praktijksearch leverde een aantal bevindingen op:
Een aantal waterschappen maakt direct of indirect (bijvoorbeeld via een vakblad) informatie over hun ICS/SCADA-omgeving openbaar;
Leveranciers van ICS/SCADA-systemen maken specifieke informatie van ICS/SCADA-omgevingen van bij naam genoemde cliënten openbaar, met name door deze als referentie te publiceren;
Werknemers en IT-consultants maken specifieke informatie over ICS/SCADA-constellaties openbaar, bijvoorbeeld in hun Linked-in profielen.
Onderstaand zijn hits van twee eenvoudige Google-searches opgenomen.
Het eerste voorbeeld toont, op basis van zoekterm “SCADA [naam waterschap X]”, de eerste vier hits
van 2.210 hits met publieke informatie over:
Het type in gebruik zijn ICS/SCADA-pakket inclusief leverancier. Op de website van deze leverancier zijn overigens gedetailleerde productspecificaties te downloaden;
Interne activiteiten ten aanzien van autorisatie-niveaus en daarmee het impliciet creëren van aanleidingen en uitdagingen voor hackers om die niveaus te doorbreken;
Het integrale informatiebeleid inclusief SCADA van het waterschap X
NAAM SCADAPAKKET
EN LEVERANCIER BEKEND
KWETSBAARHEDEN BEKEND
EN CREËREN UITDAGINGEN
VOOR HACKERS
INTEGRALE NFORMATIEBELEIDS-
PLAN ONLINE INCL SCADA
44 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Het tweede voorbeeld toont de samenvattingen van de Linked-in profielen van een drietal personen,
op basis van de Google- zoekterm “SCADA [Waterschap Y]”
45 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
Bijlage 4: Overzicht van ICS/SCADA securitymaatregelen
Maatregelen security
In deze bijlage is een overzicht opgenomen van mogelijke maatregelen om security-risico’s van
ICS/SCADA-systemen te beheersen en te mitigeren.
Het overzicht is opgebouwd door security-maatregelen uit drie verschillende bronnen naast elkaar te
leggen, te weten:
Maatregelen volgens NIST 800-82 (Stouffer et al. 2011);
Maatregelen volgens Radvanovsky en Brodsky (2013);
Maatregelen volgens Nordlander (2009).
46 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY
NIS
T 8
00
-82
Han
db
oo
k o
f SC
AD
A /
CS
Secu
rity
J.N
ord
lan
der
- T
hes
is S
CA
DA
ICS
Secu
rity
Pro
gram
De
velo
pm
en
t an
d D
ep
loym
en
tC
h-2
1P
en
etr
atio
n T
est
ing
1N
etw
ork
Se
curi
ty
De
velo
pin
g a
Co
mp
reh
en
sive
Se
curi
ty P
rogr
am2
Ne
two
rk M
app
ing
and
Sca
nn
ing
2Se
par
atio
n o
f N
etw
ork
1B
uil
d a
nd
Tra
in a
Cro
ss-F
un
ctio
nal
Te
am (
4.2.
2)3
Traf
fic
Mo
nit
eri
ng
3Fi
rew
all
2D
efi
ne
ICS
Spe
cifi
c Se
curi
ty P
oli
cie
s an
d P
roce
du
res
(4.2
.4)
Ch
-44
Ris
k A
sse
ssm
en
t an
d M
anag
em
en
t4
Intr
usi
on
De
tect
ion
3D
efi
ne
an
d In
ven
tory
ICS
Syst
em
s an
d N
etw
ork
Ass
ets
(4.
2.5)
Ch
-55
SCA
DA
Co
nti
nge
ncy
Pla
nn
ing
5C
ryp
togr
aph
y
4P
erf
orm
Ris
k an
d V
uln
era
bil
ity
Ass
ess
me
nt
(4.2
.6)
Ch
-66
Inci
de
nt
Re
spo
nse
6A
uth
ori
zati
on
5C
h-7
7In
tru
sio
n D
ete
ctio
n6
Au
the
nti
cati
on
6P
rovi
de
Tra
inin
g an
d R
aise
Se
curi
ty A
war
en
ess
(4.
2.8)
8SC
AD
A F
ore
nsi
cs7
Har
de
nin
g
Ch
-89
Go
vern
ance
an
d t
he
Su
pp
ort
ing
Po
licy
Su
ite
8A
nti
viru
s
Ne
two
rk A
rch
ite
ctu
reC
h-9
10N
etw
ork
Inte
grit
y M
on
ito
rin
g9
Pat
ch M
anag
em
en
t
7Fi
rew
alls
(5.
1)11
Co
ntr
ol V
alid
atio
n10
Ch
ange
Man
age
me
nt
8Lo
gica
lly
Sep
arat
ed
Co
ntr
ol N
etw
ork
(5.
2)12
Man
agin
g P
roce
ss D
ep
en
de
nci
es
11A
ud
itin
g an
d v
uln
era
bil
ity
scan
nin
g
9N
etw
ork
Se
gre
gati
on
(5.
3)C
h-1
013
Use
of
US-
DH
S Se
curi
ty F
ram
ew
ork
an
d T
ech
nic
al M
etr
ics
12In
ven
tory
an
d O
verv
iew
10R
eco
mm
en
de
d D
efe
nse
-in
-De
pth
Arc
hit
ect
ure
(5.
4)-
Secu
rity
gro
up
kn
ow
led
ge13
Ris
k A
sse
ssm
en
t an
d M
anag
em
en
t
11G
en
era
l Fir
ew
all P
oli
cie
s fo
r IC
S (5
.5)
- A
ttac
k gr
ou
p k
no
wle
dge
14Se
curi
ty O
rgan
izat
ion
7/ 1
2R
eco
mm
en
de
d F
ire
wal
l Ru
les
for
Spe
cifi
c Se
rvic
es
(5.6
)-
Acc
ess
15Tr
ain
ing
and
Aw
are
ne
ss
7/ 1
3Sp
eci
fic
ICS
Fire
wal
l Iss
ue
s (5
.8)
- V
uln
era
bil
itie
s16
Pe
rso
nn
el M
anag
em
en
t
14R
ed
un
dan
cy a
nd
Fau
lt T
ole
ran
ce (
5.10
)-
Dam
age
Po
ten
tial
17
Inci
de
nt
pla
nn
ing
and
han
dli
ng
15P
reve
nti
ng
Man
-in
-th
e-M
idd
le A
ttac
ks (
5.11
)-
De
tect
ion
18B
usi
ne
ss C
on
tin
uit
y an
d C
on
tin
gen
cy p
lan
nin
g
- R
eco
very
19Sy
ste
m R
esi
lie
nce
ICS
Secu
rity
Co
ntr
ols
Ch
-11
14N
etw
ork
To
po
logy
an
d Im
ple
me
nta
tio
n20
Bac
kup
Man
age
me
nt
Co
ntr
ols
15N
etw
ork
Man
age
me
nt
and
Do
cum
en
tati
on
21Th
ird
Par
ty c
oll
abo
rati
on
16Se
curi
ty A
sse
ssm
en
t an
d A
uth
ori
zati
on
(6.
1.1)
Ch
-13
16P
atch
ing
and
Ch
ange
Man
age
me
nt
22B
usi
ne
ss M
anag
em
en
t C
om
mit
me
nt
17P
lan
nin
g (6
.1.2
)C
h-1
417
Ph
ysic
al S
ecu
rity
Man
age
me
nt
23P
oli
cie
s an
d S
tan
dar
ds
4/ 1
8R
isk
Ass
ess
me
nt
(6.1
.3)
Ch
-16
11/
18(M
on
ito
rin
g) S
yste
m In
tegr
ity
24Se
curi
ty P
rin
cip
les
19Sy
ste
m a
nd
Se
rvic
es
Acq
uis
itio
n (
6.1.
4)3/
19
Ne
two
rk T
raff
ic A
nal
ysis
25Sy
ste
m a
dm
inis
trat
ion
to
ols
20P
rogr
am M
anag
em
en
t (6
.1.5
.)7/
20
Ne
two
rk In
tru
sio
n D
ete
ctio
n
Op
era
tio
nal
s C
on
tro
ls21
Encr
ypti
on
21P
ers
on
ne
l Se
curi
ty (
6.2.
1)22
Bu
ild
ing
and
De
plo
yme
nt
22P
hys
ical
an
d E
nvi
ron
me
nta
l Pro
tect
ion
(6.
2.2)
23R
ead
On
ly A
gen
t an
d S
yste
ms
23C
on
tin
gen
cy P
lan
nin
g (6
.2.3
)24
Au
dit
ing
the
De
plo
yme
nt
24C
on
figu
rati
on
Man
age
me
nt
(6.2
.4)
25(U
sin
g) L
ogs
25M
ain
ten
ance
(6.
2.5)
26A
ud
itin
g fo
r in
tegr
ity
26Sy
ste
m a
nd
Info
rmat
ion
Inte
grit
y (6
.2.6
)27
Co
ntr
ols
(d
ir.,
pre
v., d
et.
, co
rr. r
eco
v. a
pp
l., t
ran
sact
.)
27M
ed
ia P
rote
ctio
n (
6.2.
7)28
Har
dw
are
inve
nto
ry a
nd
co
nfi
gura
tio
n
28In
cid
en
t R
esp
on
se (
6.2.
8)29
Har
dw
are
Co
ntr
ols
6/ 2
9A
war
en
ess
an
d T
rain
ing(
6.2.
9)30
Mai
nte
nan
ce A
cco
un
ts
Tech
nic
al C
on
tro
ls31
Pro
tect
ion
of
Op
era
tio
nal
Fil
es
30Id
en
tifi
cati
on
an
d A
uth
en
tica
tio
n (
6.3.
1)32
Co
nfi
gura
tio
n C
han
ge M
anam
en
t
31A
cce
ss C
on
tro
l (6.
3.2)
Ch
-18
33D
ata
Man
age
me
nt
32A
ud
it a
nd
Acc
ou
nta
bil
ity
(6.3
.3)
34D
ata
Shar
ing
33Sy
ste
m a
nd
Co
mm
un
icat
ion
Pro
tect
ion
(6.
3.4)
Bro
n: d
eze
se
t aa
n s
ecu
rity
-maa
tre
gele
n is
afg
ele
id v
an N
IST
800-
82B
ron
: de
ze s
et
aan
se
curi
ty-m
aatr
ege
len
is a
fge
leid
van
he
t H
and
bo
ok
of
Bro
n: d
eze
se
t aa
n s
ecu
rity
-maa
tre
gele
n is
afk
om
stig
uit
SC
AD
A-
van
jun
i 201
1 in
clu
sie
f p
arag
raaf
nu
mm
ers
. SC
AD
A/C
on
tro
l Sys
tem
s Se
curu
ty v
an 2
013
incl
usi
ef
ho
ofd
stu
knu
mm
ers
.th
esi
s 20
09 v
an J
.No
rdla
nd
er,
ko
pie
tab
el 5
pag
29
t/m
31.
De
fin
e t
he
Mit
igat
ion
Co
ntr
ols
(4.
2.7)
47 CYBERSECURITY BIJ WATERSTAATSWERKEN – PGO IT AUDIT, COMPLIANCE & ADVISORY