naar top
Menu
Logo Print
21/11/2018 - SAMMY SOETAERT

DRAADLOZE COMMUNICATIE VOOR EEN (CYBER)VEILIGE PROCESINDUSTRIE

Hacking van industriële installaties is een gevaar met meerdere gezichten

Sinds de performantie en bedrijfszekerheid van draadloze communicatie een stuk beter geworden zijn, wordt vaste bekabeling weleens overboord gegooid. Zeker in toepassingen met veel sensoren kan het vermijden van dure kabels een grote impact hebben op de kostprijs. En dan is er nog de steile groei van de dataweergave via smartphone en tablet. Maar hoe veilig verloopt die draadloze communicatie?

 

Het aantal nodes stijgt stelselmatig, maar veel bedrijven hebben geen duidelijke strategie om deze adequaat  te beveiligen
Het aantal nodes stijgt stelselmatig, maar veel bedrijven hebben geen duidelijke strategie om deze adequaat te beveiligen
De explosieve groei van handheld toestellen is een bijkomend aandachtspunt in de strijd tegen hackers
De explosieve groei van handheld toestellen is een bijkomend aandachtspunt in de strijd tegen hackers

GEVAAR WORDT ONDERSCHAT

“Waarom zouden hackers ons viseren, onze data zijn niet interessant genoeg!" Een vaak gehoorde kreet als een gesprek richting industriële cyberveiligheid gaat. Helaas is niets minder waar. De motieven van hackers zijn zo divers dat elk proces een potentieel slachtoffer is. Vergelijk het gerust met zinloos geweld: het is niet omdat u persoonlijk de rust zelve bent en geen enkele mogelijke aanleiding tot geweld geeft, dat u niet het slachtoffer kan worden van agressie.

Bovendien is uw proces misschien niet zo interessant voor hackers, maar uw toestellen kunnen dat wel zijn. Het gebeurt frequent dat geïnfecteerde toestellen - 'zombies' in hackertaal - ingezet worden om distributed denial-of-serviceaanvallen (DDoS) uit te voeren op andere entiteiten. De geïnfecteerde toestellen worden dan massaal misbruikt om een systeem zodanig te overbelasten dat het het begeeft. Als uit onderzoek blijkt dat één van uw toestellen betrokken was, kan dat leiden tot vervelende situaties. Zorg dus dat uw installatie altijd veilig is.

 

draadloze communicatie
Bij draadloze communicatie is er de extra moeilijkheid dat data via de ether gecommuniceerd worden en dus onderschept kunnen worden

WIRELESS TOEPASSINGEN

Als het over hacken en cybersecurity gaat, wordt er vaak gekeken naar pc's, laptops, routers en PLC's. We associëren hacken dus vaak met IT-gerelateerde toestellen, maar vergeet niet dat er vandaag een sterke evolutie is naar de integratie van allerlei andere types toestellen in één netwerk. Ook sensoren, gateways en dergelijke komen op hetzelfde IIoT-netwerk (Industrial Internet of Things) terecht en dat rolt de rode loper uit voor malafide hackers.

Let overigens op met te poneren dat u veilig bent omdat uw installatie niet met het internet verbonden is. Uit onderzoek van de Universiteit van Boston (in 2016) blijkt dat er in 48% van de gevallen toch altijd wel ergens een poort richting het internet wagenwijd openstaat. Bij wireless communicatie treedt er nog een bijkomend gevaar op de voorgrond.

De datapakketten worden via de ether verstuurd en aangezien de ether vrij toegankelijk is voor iedereen - in tegenstelling tot afschermbare kabels - kan in principe iedereen deze data ontvangen. Voor we echter bekijken wat we kunnen doen om die data te beschermen, loont het de moeite om de specifieke gevaren verbonden aan data-onderschepping te analyseren.

 

VORMEN VAN DATACYBERCRIME

Sniffing

Bij sniffing worden data geïntercepteerd door een externe partij met de bedoeling om de verkregen informatie voor een ander doel in te zetten. De motieven kunnen divers van aard zijn: zo ontdekte een zilverproducent dat de draadloos gecommuniceerde meetgegevens van een weegschaal onderschept werden, waardoor criminelen konden weten hoeveel zilver er gedurende een periode geproduceerd werd. Een ander motief voor sniffing is bedrijfsspionage, voornamelijk de toeleveringsbedrijven voor de militaire sector zijn hier een potentieel slachtoffer.

Spoofing

Bij spoofing doet een extern toestel zich voor als de gebruiker, om zo toegang te kunnen krijgen tot de data. Het systeem wordt dus om de tuin geleid omdat het denkt dat het communiceert met de gewone gebruiker, maar het malafide toestel wordt beheerd door de hackers.

Datavervalsing

Bij datavervalsing is niet enkel het stelen van data aan de orde, hier zullen de data ook aangepast worden en weer doorgestuurd worden naar het systeem. De aangepaste data kunnen zo schade toebrengen aan het systeem, verkeerde conclusies triggeren of de productie in de war sturen.

Delay-Replayaanval

In dit type aanval worden de gestolen data niet aangepast, maar opgeslagen en pas op een later moment doorgestuurd. Zo krijgt de gebruiker de informatie wel door, maar omdat dit op het verkeerde moment gebeurt, kan het proces vastlopen of kunnen er verkeerde handelingen veroorzaakt worden.

 

EN DE ZWAKSTE SCHAKEL IS …

Alhoewel fabrikanten er alles aan doen om hun toestellen intrinsiek veilig te maken, is er één factor waar ze minder grip op hebben: de mensen die werken met de toestellen. In te veel gevallen blijkt één van de oorzaken van recente hackings onachtzaamheid. Een bloemlezing maakt snel duidelijk dat de mogelijke gevaren divers zijn. Bewustwording creëren rond het thema is dus belangrijk.

Enkele voorbeelden uit de praktijk

  • In een groot Belgisch bedrijf liet de IT- dienst bij wijze van test 36 USB-sticks 'rondslingeren' op lukraak gekozen plaatsen in het bedrijf. Op de USB-sticks stond een programma dat bij het inpluggen automatisch een melding verstuurde naar de IT-dienst. Na twee weken waren er al 24 meldingen binnengekomen. Weinigen zien er dus graten in om onbekende USB-sticks zomaar in bedrijfs-pc's in te pluggen.
  • Bij een Duits staalbedrijf moest een hoogoven zes weken stilgelegd worden na een aanval waarbij onder meer de temperatuursensoren verkeerde waarden bleken te geven. Bij deze aanval was men erin geslaagd om de wachtwoorden te achterhalen van enkele operatoren via de 'social engineering'-techniek. Hierbij identificeren hackers de sleutelfiguren binnen een bedrijf en worden zij volledig online geanalyseerd. Facebook-profielen, LinkedIn, Twitter en andere socialemediakanalen worden uitgeplozen op zoek naar informatie die kan helpen om wachtwoorden te achterhalen. Cybersecurity eindigt dus niet bij het einde van de shift!
  • Ook de stijging in appgebruik maakt systemen onveiliger. Het appgebruik raakt zo ingeburgerd dat kwetsbaarheden uit Android-omgevingen ingevoerd kunnen worden in draadloze systemen die intrinsiek wél veilig waren. Een recent voorbeeld is een Android-app die toelaat om parameters van WirelessHART-sensoren op de telefoon of tablet uit te lezen en aan te passen, maar door een manke beveiliging was het ook voor externe partijen mogelijk om toegang te krijgen tot de installatie.

 

HOE BESCHERMEN?

cyberveiligheidsaudit
Een cyberveiligheidsaudit kan duidelijk maken waar de veiligheidsrisico’s zich bevinden

In kaart brengen systeem

Een wireless systeem beschermen begint met het in kaart brengen van de installatie. Besef dat een industrieel draadloos systeem een andere benadering vraagt dan een wifithuisnetwerk. Het kan daarom geen kwaad om eerst een cyberveiligheidsaudit uit te voeren op uw draadloze installatie: lijst op welke nodes (dit zijn bijvoorbeeld sensoren) communiceren met welke gateways, hoe de topologie van uw netwerk eruitziet, hoe de gateways verder communiceren met het hoofdstation en de bovenliggende controllers (zoals PLC's), in welk type netwerk dat gebeurt en wat hun communicatieprotocol is. Bekijk ook de inplanting van al deze toestellen, zodat u kan nagaan wie er fysiek toegang toe heeft, wie er over aanpassingsrechten beschikt en hoe de aanpassingen - bijvoorbeeld bij de plaatsing van een nieuwe sensor - exact gebeuren. Bekijk ook wie gemachtigd is om externe toestellen in te pluggen, zoals dataloggers of USB-sticks, en welke voorwaarden daaraan verbonden zijn.

Draadloze netwerken kunnen communiceren met verschillende protocollen, elk met eigen (veiligheids)aspecten
Draadloze netwerken kunnen communiceren met verschillende protocollen, elk met eigen (veiligheids)aspecten 

Belang van gebruik standaarden

Vandaag zijn er heel wat communicatieprotocollen in voege, bekend klinkende namen zijn onder meer Zigbee, Trusted Wireless, Bluetooth,  ISA100.11a en WirelessHART. Open protocollen zoals WirelessHART worden ondersteund door meerdere fabrikanten. Als er op langere termijn eentje het faillissement aanvraagt, kan u dus altijd ergens anders terecht voor firmware-updates en andere securitybesognes.

 

WirelessHART en ISA100.11a

De populairste standaarden (WirelessHART en ISA100.11a) nemen in de procesindustrie het leeuwendeel van de installaties voor hun rekening. Zowel hun architectuur als hun procedures zijn aangepast aan de huidige noden rond cyberveiligheid. Zo wordt er gebruikgemaakt van een netwerkmanager en een securitymanager. Dit zijn twee toestellen die samen de veilige werking borgen (zie verder in dit artikel).

Beide standaarden hebben dezelfde norm (IEEE 802.15.4) als onderliggende backbone, maar er zijn wat communicatietechnische verschillen. Ook op het vlak van cyberveiligheid zijn er kleine verschillen, al is de basis dezelfde. Toestellen die in een WirelessHART-systeem opgenomen willen worden, moeten voor de volle 100% voldoen aan die standaard. Bij ISA100-11a is dat niet het geval, daar gaat men uit van minimumvereisten en optioneel bijkomende features. Die laatste is daardoor iets flexibeler, maar het is wel opletten geblazen, want twee willekeurige toestellen die werken volgens deze standaard kunnen dus verschillende beveiligingsopties hebben. Over het algemeen zijn beide standaarden wel veilig te noemen, want ze beschikken over meerdere beveiligingslagen. Zo maken ze beide gebruik van 'channel hopping', waarbij ze voortdurend gebruikmaken van een andere frequentie om hun boodschappen te communiceren. Ook 'channel blacklisting' wordt gebruikt, hierbij worden bepaalde frequenties uitgesloten als communicatiekanaal.

 

Een degelijke beveiliging bestaat uit meerdere beschermingslagen
Een degelijke beveiliging bestaat uit meerdere beschermingslagen

 

128 bit AES encryptie met versleuteling is een belangrijk onderdeel van de bescherming.

Bij encryptie worden data onleesbaar gemaakt voor andere partijen. Beide standaarden werken met AES-128 encryptie met dubbele versleuteling van de communicatie. Enkel de toestellen die beschikken over de juiste encryptiesleutels, kunnen de data ontsleutelen. Omdat hackers ook tools hebben die de encryptiesleutel kunnen kraken, is een voldoende sterke uitvoering van deze sleutel broodnodig.

De AES-128 encryptie is vergelijkbaar met die van de beveiliging van financiële transacties. Sowieso duurt het enorm lang om een dergelijke code te kraken, maar bovendien wijzigen de sleutels ook met de regelmaat van de klok.

Authenticatie bestaat dan weer uit 2 pijlers: toestelauthenticatie en data-authenticatie. Bij het eerste gaat het erom dat de toestellen die communiceren in een systeem, 'bewijzen' dat ze wel degelijk gerechtigd zijn om dit te doen. Bij data-authenticatie gaat het erom dat een datapakket bewijst dat het wel degelijk bedoeld is om verstuurd te worden binnen het systeem. Hiermee samenhangend is ook 'data freshness' van belang, waarbij datapakketten ook een bijkomende timestamp krijgen. Enkel data met die timestamp worden goedgekeurd om verwerkt te worden. Dit is dus een prima bescherming tegen de eerder beschreven delay-replaytactiek. Naast de pure bescherming geven kwaliteitsprotocollen ook een melding over mislukte communicatiepogingen.

Het opzet met een security- en netwerkmanager laat toe om enkel geverifieerde toestellen aan te sluiten
Het opzet met een security- en netwerkmanager laat toe om enkel geverifieerde toestellen aan te sluiten

Een afgelijnde procedure voor het inschakelen van nieuwe toestellen in het netwerk is broodnodig. Protocollen als WirelessHart en ISA100.11a werken met een dergelijk systeem. Toestellen die opgenomen willen worden in het netwerk, moeten een zogeheten 'join request' versturen naar de netwerkmanager, samen met de ID-gegevens van het toestel. De netwerkmanager - dit is geen fysieke persoon, voor alle duidelijkheid - zal dat verzoek evalueren. Na de toelating zal de netwerkmanager een sein geven aan de securitymanager dat een nieuw toestel verbonden kan worden met de router. Het is overigens mogelijk om alle verzoeken te blokkeren, zelfs al beschikken de nieuwe toestellen over de correcte join key en ID. Dat kan handig zijn bij vaste installaties waarbij er geen veranderingen te verwachten vallen. Ook is het mogelijk om het aantal aanmeldingen van een toestel bij te houden. Bij iedere nieuwe aanmelding wordt dit cijfer dan gecontroleerd. Dit voorkomt dat een toestel zomaar vervangen kan worden zonder dat het opgemerkt wordt.

Opvolgen firmware-updates

Een toestel dat geplaatst wordt, kan vandaag intrinsiek veilig zijn op cybersecuritygebied, maar niets garandeert dat dit zo zal blijven. Helaas zitten ook cybercriminelen niet stil, het uitbuiten van dergelijke vulnerabiliteiten is een zeer beproefde methode. Ontstane zwaktes worden door de fabrikanten opgelost door updates aan te bieden van de firmware, waarin de zogenaamde patches zorgen voor een herstelling van de beveiliging. Het installeren van deze patches is broodnodig, een goede opvolging daarvan eveneens. Bovendien zou eigenlijk al bij de aanschaf van de componenten nagegaan moeten worden hoelang de fabrikant zijn toestellen nog beschermt met updates. Het kan ook geen kwaad om de hardware die op zich geen deel uitmaakt van het draadloze systeem, zoals de PLC, aan een bijkomende controle te onderwerpen. Veelal stammen die toestellen nog uit een periode waarin cyberveiligheid minder een issue was, waardoor ze geleidelijk aan onveilig geworden zijn. Zo bevatten oudere toestellen nog onbeveiligde ingangen en biedt de verouderde software te weinig bescherming. Vaak volstaat het inladen van nieuwe firmware om deze gevaarlijke situatie te verhelpen. Als de fabrikant geen updates meer levert voor uw type PLC, is het toch raadzaam om stilaan uit te kijken naar vervanging. Ook IPC's (Industrial PC) die draaien op Windows XP, zijn onbeschermd sinds Microsoft de opvolging stopzette in 2014. Toch zien we dit besturingssysteem nog heel vaak operationeel. Hackers zien het graag gebeuren.

 

CONCLUSIE

Er is nog een lange weg te gaan als we het over cybersecurity hebben, maar enkele gerichte ingrepen kunnen al heel wat zoden aan de dijk brengen. Een veiligheidsaudit (laten) uitvoeren vormt de basis, van daaruit kan u het verder te bewandelen pad uitstippelen. Dat pad zal voor elk bedrijf specifiek zijn, maar de grote lijnen zullen wel hetzelfde blijven: zorg voor veilige toestellen die geüpdatet en opgevolgd worden. Zorg dat die toestellen werken met gangbare veiligheidsprotocollen die hun deugdzaamheid bewezen hebben. Zorg voor afgelijnde en duidelijke procedures om aanpassingen aan de installatie aan te brengen. En als laatste, en misschien ook wel als belangrijkste: leg de mensen uit wat er verwacht wordt en wat de mogelijke gevaren zijn van onaangepast gedrag. Want cybersecurity garanderen kan niet zonder geïnformeerde medewerkers.