nicc publicatie

45
Process Control Security in het Informatieknooppunt Cybercrime nicc Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime. PREEG

Upload: osage-communicatie-en-ontwerp

Post on 24-Feb-2016

233 views

Category:

Documents


0 download

DESCRIPTION

publicatie

TRANSCRIPT

Page 1: nicc publicatie

Process Control Security in hetInformatieknooppunt Cybercrimenicc

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

PREEG

Page 2: nicc publicatie

NICC | ictu

BezoekadresWilhelmina van Pruisenweg 1042595 AN Den Haag

PostadresPostbus 840112508 AA Den Haag

T 070 888 79 [email protected]

www.samentegencybercrime.nl

binnenkant omslag

Page 3: nicc publicatie

Process Control Security in hetInformatieknooppunt Cybercrimenicc

Page 4: nicc publicatie

Mark Frequinsqsbkj aeds ghdsthqd.Ehgqsws hafsuhfsitasfatsdf tey ads

Page 5: nicc publicatie

3

De continuïteit van onze vitale infrastructuren en

de veiligheid van vele andere productieprocessen

staat of valt met de (informatie)veiligheid van

procescontrolesystemen. Uit analyses en inci-

denten blijkt dat die voor verbetering vatbaar is.

Het risico voor onze samenleving begint zelfs zo

groot te worden, dat deze veiligheidsproblematiek

gezamenlijk opgepakt moet worden. Ik heb daar-

over afspraken gemaakt met het CIO Platform

Nederland. Het Informatieknooppunt Cybercrime

vormt de schakel tussen de nationale en inter-

nationale publiekprivate activiteiten op dit terrein.

Daarom onderschrijf ik de aanpak in dit boekje, die

leidend is voor hoe wij samen in Nederland deze

uitdaging op gaan pakken.

Page 6: nicc publicatie

Opsporing en vervolging van cybercrime?

Heel belangrijk, maar niet dé oplossing van

het probleem. Voorkomen is beter!

Page 7: nicc publicatie

5Opsporing en vervolging van cybercrime? Heel belangrijk,maar niet dé oplossing van het probleem. Voorkomen is beter!De sectoren die zijn aangesloten bij het InformatieknooppuntCybercrime hebben de (informatie)beveiliging van proces-controlesystemen (PCS), waaronder SCADA, als uitdagingopgepakt. Dit boekje maakt duidelijk waarom het nood-zakelijk is dat organisaties de controle hebben en houdenover de beveiliging van de informatie- en communicatie-technologie (ICT) in hun procesbesturingsomgevingen.

Dit boekje geeft een voorzet voor de Nationale Roadmapto secure Process Control Systems. Deze Nationale Roadmapwordt gebruikt voor een gezamenlijke aanpak om de proces-controlesystemen binnen en buiten de vitale sectoren op hetgewenste beveiligingsniveau te krijgen en te houden.‘Gezamenlijk’ betekent hier de publiekprivate bundeling vande krachten en kennis van de PCS-gebruikers en alle anderebetrokkenen, zoals fabrikanten, leveranciers, systemintegrators, dienstverleners, overheden, opleidingen enkennisinstellingen.

Inleiding

April 2009

Jesse William McGraw (hackersidentiteiten: GhostExodus en PhantomExodizzmo)dringt binnen in een aantal systemen van het W.B. Carrell Memorial Clinic zieken-huis in Dallas, Texas. Hij krijgt toegang tot het patiëntenregistratiesysteem p

Page 8: nicc publicatie

6

en de procescontrolesystemen die de verwarming, ventilatie en overigeluchtbehandeling regelen.

Op de linkerpagina’s van dit boekje vindt u eerst een uitlegover PCS, en vervolgens een bloemlezing van het gebruikvan PCS in verschillende sectoren. Deze stukjes geven in eennotendop aan wat het belang is van de betrouwbaarheid vanPCS voor de Nederlandse samenleving. Het gaat om zaken dieu dagelijks persoonlijk raken. Om de betrouwbaarheid ervante waarborgen, is het nodig dat we samen de informatie-beveiliging van die PCS onder controle brengen en houden.De noodzaak daarvan wordt onderaan de pagina’s geïllus-treerd met voorbeelden over waargebeurde incidenten enbedreigingen.

Page 9: nicc publicatie

7Procescontrolesystemen: het hart van veel sectoren

Onder de term PCS verstaan we het totaal aan procescontrole-systemen, waaronder systemen voor Supervisory Control andData Acquisition (SCADA), procescontrolenetwerken, PLC-systemen en hun fysieke en organisatorische omgevingen.Dit wordt ook vaak procesautomatisering genoemd.PCS worden in veel sectoren gebruikt voor de automatischemonitoring en besturing van essentiële fysieke processen.Denk hierbij aan onze energie- en drinkwatervoorzieningen(productie, transport en distributie), de waterhuishouding,het railvervoer (bijvoorbeeld wissels en seinen) en tunnel-veiligheidsystemen.PCS vormen het hart van productieprocessen in raffinaderijen,de chemische industrie en de voedingsmiddelen- en medicijn-industrie. Ze worden steeds vaker toegepast in gebouwbeheer-en toegangscontrolesystemen in vitale objecten als tele-communicatieknooppunten en computercentra.Er zijn verschillen tussen kantoorautomatisering en proces-automatisering als het gaat om de eisen die aan de systemenworden gesteld. Waar het bij kantoorautomatisering vaakgaat om Vertrouwelijkheid en dan pas om Beschikbaarheiden Integriteit, gaat het bij procesautomatisering juist in deeerste plaats om Beschikbaarheid en Integriteit en daarnapas om Vertrouwelijkheid. Daardoor verschilt ook debeveiligingsfocus.

Page 10: nicc publicatie
Page 11: nicc publicatie

9Private en publieke partijen strijden in de Nationale Infra-structuur ter bestrijding van Cybercrime zij aan zij om hetniveau van cybersecurity binnen de vitale sectoren in Neder-land op het gewenste niveau te brengen. Het NICC speeltdaarbij een faciliterende, verbindende en versterkende rol.Door kennis te delen en informatie uit te wisselen, beschikkenoverheid en bedrijfsleven over voldoende informatie om zelfde goede beslissingen te kunnen nemen.

Het Informatieknooppunt Cybercrime is het kloppende hartvan de Nationale Infrastructuur ter bestrijding van Cyber-crime. De vitale sectoren nemen hieraan deel. Zij hebbeninformatieveiligheid van PCS geïdentificeerd als een sector-overstijgend thema.

De informatieveiligheid van PCS loopt achter bij die vande normale kantoorautomatisering (KA). Ongewenstebeïnvloeding van PCS is een toenemende dreiging. Samenresulteert dit in een risico dat niet meer genegeerd mag enkan worden. PCS besturen fysieke processen. Ongewenstebeïnvloeding daarvan kan leiden tot ernstige verstoring vanvitale infrastructuur, wat ernstige gevolgen heeft voor onzeeconomie, het milieu en de levens van mensen en dieren.Daarom moeten bedrijfsleven (als gebruiker en leverancier),overheid (als gebruiker, toezichthouder en katalysator),onderwijs en onderzoek de aanpak van dit risico samenvoortvarend oppakken.

Samen tegen cybercrime

Januari 2007

De Volkskrant: “De treinreizigers in Utrecht waren weer eens de klos. De treinenreden nauwelijks en perrons zagen zwart van de wachtende reizigers. Donderdagen vrijdag werd het treinverkeer gehinderd door een flinke computerstoring.”

Page 12: nicc publicatie

10 Veilig ondergronds

Dagelijks vervoeren GVB in Amsterdam en RET in Rotterdamieder enkele honderdduizenden reizigers per metro naar hunplaats van bestemming. Dat vereist betrouwbare PCS voorhet energiebeheer, de tractiespanning en het instellen vanveilige rijwegen door middel van seinen en wissels. PCSworden ook gebruikt voor het bewaken van de veiligheidvan de reizigers in de ondergrondse stations. Denk aan debrandveiligheid en sluitsystemen bij indringend water.Beide vervoerbedrijven bestuderen de volledige automati-sering van de metro’s, waardoor geen bestuurder meer nodigis. In Amsterdam is het plan hiermee in 2014 op de Oostlijn testarten. In 2019 moeten alle metro’s zonder bestuurder rijden.Daarvoor moet wel eerst (informatie)beveiliging van de PCSdie dit allemaal besturen en bewaken goed geborgd zijn.

Januari 2008

Een jonge hacker weet de tramwissels in het Poolse Łód ´zte manipuleren met eengemodificeerde afstandsbediening. Vier trams ontsporen, er vallen twaalfgewonden.

Page 13: nicc publicatie

11Veel ingrediënten verhogen samen de kwetsbaarheid vanPCS. We zetten ze op een rijtje in vier categorieën.

Risico’s van de PCS-technologieDe (informatie)beveiliging van PCS loopt vaak sterk achterbij die van de kantoorautomatisering.De redenen hiervoor zijn zowel van beleidsmatige,organisatorische en technologische als economische aard.In veel organisaties zijn er grote cultuurverschillen tussende procesautomatisering en de kantoorautomatisering.

Procesautomatisering is van oudsher gericht op een hogegraad van beschikbaarheid, betrouwbaarheid, efficiency enveiligheid. De wijziging van PCS-technologie gaat sluipend.Vroeger werd speciale PCS-hardware met leverancier-specifieke programmatuur en hardware gebruikt, die moeilijkbeïnvloedbaar was van buitenaf. Dit wordt echter steedsvaker vervangen door COTS-computersystemen (CommercialOff The Shelf) met open operating-systemen zoals Windowsof Linux, een Internetprotocolsuite en toepassingssoftware(soms zelfs open source SCADA-software).

De afschrijfperioden van PCS zijn voor de niet-Windows-systemen lang in vergelijking met die voor kantoorautomati-sering. Oude systemen zijn dus lange tijd in gebruik. Het isvaak lastig om extra veiligheidsmaatregelen toe te voegen.

Wat zijn de risico’s?

Page 14: nicc publicatie

12 Personele risico’sTraditioneel is de procesautomatiseerder niet opgeleidin (informatie)beveiliging. Hij is zich er dan ook niet ofnauwelijks van bewust dat er een taak is bijgekomen.

Als het procesautomatiseringsmanagement al beveiligings-bewust is, vindt het nauwelijks een luisterend oor bij hethogere management omdat wijzigingen veel geld kunnenkosten.

De ICT-afdelingen zien procesautomatisering eerder als eenverzameling sensoren, pompen, motoren en kleppen, en nietals te beveiligen informatietechnologie.

Wanneer procesautomatiseerders en ICT-ers proberen samente werken, blijkt er een groot cultuurverschil te bestaan tussende procesbesturing en -controle (‘vierentwintig uur per dag,zeven dagen per week’) enerzijds en de ICT-aanpak bij dekantoorautomatisering (‘even herstarten tijdens de lunch-pauze’) anderzijds.

Risico’s in de PCS-omgevingDe procesautomatiseringsomgeving wordt steeds opener.Door marktontwikkelingen zijn organisaties soms verplichtgegevens uit hun PCS via het internet aan derden te leveren.Het is handig dat storingsmedewerkers van thuis uit de PCSkunnen benaderen. En leveranciers van turnkey-systemenwillen op afstand wijzigingen kunnen doorvoeren.

Page 15: nicc publicatie

13PCS-ontwerpers, PCS-leveranciers en systeemintegratorenzijn meer gericht op het ontwikkelen van nieuwe mogelijk-heden dan op het ontwikkelen van inherent veiliger systemen.Dit wordt mede veroorzaakt door de vraag van de klant.Overigens is daar al wel een kentering te zien, zowel aande vraag- als de aanbodzijde.

Externe (criminele) risico’sAan de dreigingzijde constateren we een toenemende belang-stelling voor en kennis over PCS/SCADA in hackerskringen.Externe koppelingen van PCS-netwerken met de buitenwereldgepaard aan een lage weerstand van PCS-protocollen voorincorrecte communicatieberichten verhogen de kans op eenPCS-verstoring door een Trojan of een hacker aanzienlijk.

Overigens kunnen besmettingen zowel bewust als onbewusteen infrastructuur binnen dringen. In beide gevallen kan deschade aanzienlijk zijn.

Februari 2008

Een PCS storing in het pompstation te Epe leidt tot het ongecontroleerd oplopenvan de druk in het drinkwaterleidingstelsel. Leidingen breken op zeven plaatsen.In Epe, Oene en Zuuk valt de drinkwatervoorziening enkele uren uit.

Page 16: nicc publicatie

14 Betrouwbaar drinkwater

PCS zijn onmisbaar geworden bij de winning, zuivering endistributie van ons drinkwater. Deze processen zijn daardoorsterk verbeterd. Met de komst van PCS is het bijvoorbeeldmogelijk geworden verbruiksprognoses te gebruiken bij hetaansturen van het productieproces. Er kan daardoor veelgelijkmatiger geproduceerd worden, wat de efficiëntie ende productkwaliteit sterk ten goede komt. De gegevensover het productieproces zijn ook veel sneller beschikbaar.Waterleidingbedrijven kunnen daar dus sneller, in de meestegevallen zelfs automatisch, op reageren. De continuïteit vande waterlevering en de waterkwaliteit zijn door PCS goedgeborgd.Het belang van betrouwbare PCS is dus duidelijk. Vaak zullende waterleidingbedrijven bij uitval van de PCS terug kunnenvallen op de oude methoden van water leveren. Maar dat iszeker niet eenvoudig en het heeft grote gevolgen voor deeffectiviteit, efficiency en organisatie.

Een deel van Zeeland krijgt gas met een zeer hoog percentage stikstof geleverd.Oorzaak: één van de PCS van het Delta-gasmengstation in Borssele werkt fout doorhet installeren van verkeerde PCS-software. Zo’n 26.000 huishoudens zitten tot drie

November 2001

Page 17: nicc publicatie

15Continu druk op gas

Gasunie voorziet heel Nederland en delen van Noordwest-Europa van aardgas. Een verstoring van de gasvoorzieningheeft direct maatschappelijke gevolgen. Gasunie wil ver-storingen zoveel mogelijk voorkomen, en als dat niet luktde gevolgen daarvan beperken. Daarom is flexibiliteit inhet leidingnet ingebouwd.De PCS die het gastransport aansturen, zijn dubbel uit-gevoerd. De omschakeling wordt geregeld getest. Om foutente voorkomen, worden wijzigingen aan de systemen zorg-vuldig gecontroleerd en getest. De netwerkomgeving vande PCS is afgescheiden van de kantooromgevingen. Ook derobuustheid tegen ongewenste toegang door personen enkwaadaardige software wordt periodiek getest. Goed getraindeen risicobewuste medewerkers zorgen ervoor dat Gasuniezijn gastransporttaken hoogwaardig en betrouwbaar kan uit-voeren. Het moet goed gaan, ook als het onverhoopt fout gaat.

dagen in de kou en kunnen niet koken. De huis-aan-huis-heraansluiting op degasvoorziening vereist een grootschalige inzet van politie, brandweer engasstoringsmedewerkers uit het hele land.

Page 18: nicc publicatie
Page 19: nicc publicatie

17Hoe veilig of onveilig gaan we om met de (informatie)-beveiliging van PCS? Die vraag stelde de Nederlandse drink-watersector zichzelf in 2007. Een quickscan-benchmarktoonde sectorbreed een aantal zwakke punten aan. Ookkwamen opvallende verschillen in beveiligingsniveaustussen de verschillende drinkwaterbedrijven aan het licht.

De drinkwatersector heeft good practices ontwikkeld omde zwakke punten aan te pakken. Om ook bedrijven buitenNederland te helpen en zinvolle feedback terug te krijgen,zijn deze good practices in het Engels vertaald en inter-nationaal beschikbaar gesteld. Aan vertalingen in hetItaliaans, Frans en Japans wordt door derden gewerkt.

De energiesector heeft dezelfde benchmark-aanpak gebruikt.Ook daar zijn sectorbreed verbeterpunten gevonden. Een ver-gelijking tussen beide sectoren laat interessante overeen-komsten en verschillen zien. Vrijwel alle bedrijven in beidesectoren gebruiken de Code voor Informatiebeveiliging(ISO/IEC 27001:2005) voor hun kantoorautomatisering.De meeste bedrijven uit beide sectoren passen deze Code ooktoe als beveiligingsleidraad voor hun procesautomatisering.

De grootste verschillen tussen beide sectoren zitten in debeleidsmatige hoek, bijvoorbeeld het wel of niet hebben vanspecifiek beleid voor de PCS-omgeving.

Vinger aan de pols

Mei 2004

Het PCS-netwerk van het Australische RailCorp wordt getroffen door de Sasser-worm. In de ruime omgeving van Sydney valt een dag later 80% van de treinen uitdoordat het veiligheidssysteem onbetrouwbaar is. 50.000 passagiers lopen ernstigevertragingen op.

Page 20: nicc publicatie

18 Zorgpunten voor beide sectoren zijn onder andere het gebrekaan borging van de PCS-informatiebeveiliging door audits (deWet op de jaarrekening stelt die zelfs verplicht) en de wijzewaarop toegang voor onderhoudstechnici van derde partijentot de PCS-omgeving is geregeld.

De benchmark heeft zijn waarde in de praktijk bewezen. Hijheeft een aantal collectieve aandachtspunten geïdentificeerden individuele bedrijven gewezen op punten waar ze tekort-schieten. Daarmee is tevens een agenda gezet voor de Water-ISAC en de Energy-ISAC in het InformatieknooppuntCybercrime.

Page 21: nicc publicatie

19Het veiligheidsrisico, ofwel de combinatie van kwetsbaarheid,dreiging en potentieel effect, zorgt ervoor dat het onderwerp(informatie)beveiliging van PCS nationaal en internationaalsteeds vaker op de agenda van beleidsmakers terecht komt.Terecht vragen zij naar de urgentie en omvang van hetprobleem. Dat is niet eenvoudig te beantwoorden.

Om inzicht te krijgen in de risico’s voor de Nederlandsesamenleving, hebben TNO en KEMA in opdracht van hetministerie van Economische Zaken in 2006 de PCS-(informatie)beveiligingsproblematiek in kaart gebracht.Treden beveiligingsincidenten op en, zo ja, wat was hun(potentiële) impact? Openbare bronnen laten eigenlijk alleenPCS-(informatie)beveiligingsproblemen zien in de VerenigdeStaten en Australië. Openbaarmaking van incidenten komtdaar vaak voort uit een wettelijke verplichting tot meldenof door openbare rechtbankverslagen.

Niet-openbare bronnen laten echter zien dat PCS-(informatie)-beveiligingsincidenten ook in Europa en in Nederland plaats-vinden. Soms halen ze de pers, vaak vermomd als ‘technischestoring’ of problemen met een ‘nog onbekende oorzaak’.De meeste PCS-incidenten blijven binnenshuis. Bij gebrekaan formele rapportagelijnen zijn ze vaak ook niet zichtbaarvoor het topmanagement.

Inzicht in incidenten

2005

Een hacker weet het gebouwbeheersysteem van een computercentrum in een groteEuropese bankinstelling binnen te dringen. Hij of zij manipuleert de instellingen vande airconditioning waardoor alle servers door oververhitting uitvallen.

Page 22: nicc publicatie

20 Binnen de sectoroverleggen van het InformatieknooppuntCybercrime delen publieke en private partijen vertrouwelijkeinformatie over dergelijke incidenten. Desondanks is de aarden omvang van ongewenste PCS-beïnvloeding in Nederland,net als in andere landen, nog onduidelijk. Om landelijk inzichtte krijgen en te leren van incidenten bij anderen, start vanuithet Informatieknooppunt Cybercrime als proef een PCS-incidentenregistratie. GOVCERT.NL heeft de hosting van dezeincidentendatabase op zich genomen. Organisaties kunnenvrijwillig deelnemen aan de proef. Alleen deelnemers krijgenvolledige toegang tot de informatie.

De Ingenieur: “… demonstreerde een waterschap hoe daar 1400 waterpeilregelendekunstwerken met behulp van internettelemetrie en afstandbediening wordenbewaakt en bediend. Dat gaat niet zonder problemen, want de betrouwbaarheiden veiligheid van GPRS-netwerken zijn nog steeds niet groot.”

December 2005

Page 23: nicc publicatie

21Droge voeten

Veel Nederlanders leven meters beneden de zeespiegel ofhet rivierniveau. Toch slapen we rustig. We vertrouwen oponze waterschappen die de dijken, pompen, sluizen, stuwenen andere waterwerken onderhouden. Het beheer van dewaterpeilen in polders en de watergangen, 24 uur per dag enhet hele jaar door, wordt steeds meer geregeld met PCS. Hetmeten van de peilen en de aansturing van pompen en stuwengebeurt vaak op afstand, soms via GSM/GPRS of zelfs via hetinternet.Ook de grote zeekeringen, bijvoorbeeld de Oosterschelde enMaeslandtkeringen en de zeesluiscomplexen, houden onzevoeten en infrastructuur droog. Rijkswaterstaat beheert zemet PCS Bij dreigende situaties, gebaseerd op wind- entijverwachtingen, sluiten de zeekeringen volautomatisch.

Maart 2000

Als gevolg van een menselijke bedienfout gaat de verkeerde sluisdeur open in dezeesluizen bij Delfzijl. Door de sterke stroming zijn de sluisdeuren daarna niet meerte sluiten. Kanalen lopen leeg, arken en boten tot in de stad Groningen aan toekomen enkele dagen droog te liggen en de beroepsvaart ligt dagenlang stil.

Page 24: nicc publicatie

22 Internationaal begint het steeds meer door te dringen dat de(informatie)beveiliging van PCS sterk achterloopt bij die vande kantoorautomatisering, en dat er een toenemend risico is.In de Verenigde Staten vinden hierover hoorzittingen plaatsin het Congres. De GAO, de Amerikaanse Rekenkamer, steltkritische rapporten op. Het Department of Homeland Securityheeft R&D-programma’s opgestart ter verbetering van dePCS-beveiliging. Internationaal wordt ook gewerkt aan hetdocumenteren van Good Practices en de ontwikkeling vannieuwe standaarden voor (informatie)beveiliging van PCS.

De kern hierbij is dat de uitdagingen gezamenlijk aangepaktworden door de overheid (als gebruiker, wetgever voorspeciale sectoren en toezichthouder), PCS-gebruikers,fabrikanten, system integrators, leveranciers en kennis-,opleidings- en onderzoeksinstituten.

Nederland heeft de keuze: stilzitten en afwachten totstandaarden en technische verbeteringen uitontwikkeld zijn,of proactief in internationale samenhang de problemen aan-pakken. De deelnemende partijen in de Nationale Infra-structuur ter bestrijding van Cybercrime kiezen voor delaatste strategie. Zij ontwikkelen initiatieven op nationaalniveau maar stemmen deze internationaal af. Het NICCneemt actief deel aan de Europese SCADA SecurityInformation Exchange (EuroSCSIE) en de Meridian ProcessControl Security Information Exchange (MPCSIE). Een inter-nationale groep van PCS-afnemers heeft zich verenigd in de

Internationaal probleem

Sinds de opening in december 2006 is de Dublin Port-tunnel ruim twintig keer uren-lang gesloten geweest ten gevolge van SCADA-storingen. De tunnel zorgt ervoordat vrachtverkeer tussen de haven en de omliggende snelwegen het centrum en

December 2006

Page 25: nicc publicatie

23werkgroep Plant Security van de WIB (International InstrumentUsers’ Association) om te werken aan het verhogen van hetniveau van PCS-security in hun organisaties.

Continue overslag

In de Nederlandse havens worden goederen overgeslagenvanuit zeeschepen naar de wal en andersom. De integratievan PCS met back-office ICT speelt hierin een steeds grotererol. Bij de Europese Container Terminal (ECT) in Rotterdamworden zeecontainers vierentwintig uur per dag, zeven dagenper week volautomatisch met kranen uit het schip gelicht.Computergestuurde, zelfstandig over de terminal rijdendewagens (Automated Guided Vehicles ofwel AGV’s) brengende containers naar hun opslaglocatie en laden ze optreinwagons of trailers voor direct transport.PCS geven de AGV’s de opdracht om naar de opslag- ofbehandellocatie te rijden. Ze bewaken de positie en statusvan de wagens en regelen de voorrang van de ene AGV opeen andere. PCS zorgen voor een snelle overslag van de zee-containers, zodat een zeeschip uiterlijk binnen 24 uur deRotterdamse haven weer kan verlaten.

woonwijken kan vermijden. Uitval van de tunnel resulteert iedere keer in een groteverkeerschaos en veel milieuoverlast.

Page 26: nicc publicatie
Page 27: nicc publicatie

25De fabrikanten van PCS en de leveranciers van PCS-diensten(van ontwerp en applicatieontwikkeling tot turnkey-project-ontwikkeling en onderhoud) spelen een grote rol in hetbeveiligen van PCS. Zij zorgen niet alleen voor beveiligings-mogelijkheden in de programmatuur. Met adviezen en doorhun werkwijze kunnen zij de PCS-beveiliging bij hun klantenop een hoger plan tillen. Zij kunnen bijvoorbeeld in hun offertes‘hardening’ van het onderliggende besturingssysteem aan-bieden. Of vanuit de aanbodzijde proactief afspraken makenover het informatieveilig werken door hun onderhouds-personeel.

In Amerika hebben gebruikers en aanbieders van PCSgezamenlijk een Cyber Security Procurement Languagefor Control Systems (CSPL) opgesteld. Deze catalogus metbeveiligingseisen voor PCS is een eerste stap in de ontwikke-ling van een professionele, gezamenlijke aanpak van(informatie)beveiliging van PCS. In verschillende landen,waaronder Nederland, wordt momenteel gewerkt aanverspreiding en waar nodig verbetering van deze CSPL.

De werkgroep Plant Security van de WIB is bezig met het op-stellen van een ideale standaard voor het Process ControlDomain. Shell is één van de voortrekkers en heeft zelf al hetinitiatief genomen tot het opstellen van Process ControlDomain Security Requirements for Vendors. Het bedrijf zoekthiermee aansluiting bij de ontwikkeling van de SP-99 standaardvoor PCS. Dat opent de mogelijkheid tot certificering van PCS.

Fabrikanten en leveranciers

Page 28: nicc publicatie

26 Veilig achter slot en grendel

De Dienst Justitiële Inrichtingen (DJI) zorgt namens deminister van Justitie voor de uitvoer van straffen en vrijheids-benemende maatregelen. De DJI heeft 19.000 medewerkersin de meer dan honderd vestigingen van gevangenissen enhuizen van bewaring, forensische psychiatrische centra endetentie- en uitzetcentra verspreid over heel Nederland.Jaarlijks zijn daar zo’n 80.000 personen voor korte of langeretijd ondergebracht. Dagelijks verwerkt de DJI bovendien eenstroom van bezoekers. PCS bewaken en regelen continu deveiligheid van die ruim honderdduizend personen. Gebouw-beheer-, veiligheids- en beveiligingssystemen zorgen ervoordat DJI-medewerkers veilig kunnen werken en dat gedeti-neerden veilig en beveiligd ingesloten blijven. GeïntegreerdePCS regelen de brandveiligheid, noodstroomvoorzieningen,airconditioning, camera’s, slagbomen en op afstand bedien-bare sloten. De Schipholbrand toonde aan hoe belangrijk dezesystemen zijn voor het waarborgen van de veiligheid van in-geslotenen en DJI-medewerkers.

Een storing in het veiligheidssysteem van gevangenis De Geerhorst in Sittard leidttot commotie. Het lijkt alsof er een persoon op het dak van de gevangenis zit. Eenkordon van een helikopter en politiewagens wordt om de gevangenis geplaatst,maar na onderzoek blijkt dat alle gevangenen nog aanwezig zijn.

Mei 2009

Page 29: nicc publicatie

27In een Round Table hebben CIO’s van grote ondernemingenen overheidsorganisaties samen met de Directeur-generaalEnergie en Telecom het PCS-risico besproken. De conclusie:geen enkele partij in het veld is nog in staat geheel zelf dePCS-(informatie)veiligheid te borgen. De PA-omgevingen zijncomplex en door een toenemende graad van automatiseringin de PCS nemen afhankelijkheden toe. De dreigingen zijndivers en zeer veranderlijk. De grenzen van organisatiesworden steeds diffuser, waarbij steeds meer werkzaamhedenworden uitbesteed aan turnkey-partijen, outsourcing-partners, PCS-leveranciers en andere ingehuurde partijen.Alleen door een gezamenlijke aanpak van alle betrokkenenkan een voldoende niveau van (informatie)veiligheid van PCSin Nederland bereikt en ook in de toekomst geborgd worden.

De deelnemers aan de Round Table hebben zich er aangecommitteerd om te komen tot een nationale aanpak omde (informatie)beveiliging van PCS in Nederland op het juistepeil te brengen en te houden. Enkele partijen in de NationaleInfrastructuur voor de Bestrijding van Cybercrime hebben hetinitiatief genomen om te komen tot een ‘Nationale Roadmapto secure Process Control Systems’. Actieve deelnemers zijnonder meer de WIB, verschillende sectoren uit het Informatie-knooppunt Cybercrime, leveranciers, kennisinstellingen,universiteiten, het CIO Platform Nederland en de overheid.

De uitdaging

Page 30: nicc publicatie

28 Knop om, licht uit

In Nederland kunnen we op de stroomvoorziening vertrouwen.We realiseren ons niet dat de elektriciteitsvoorziening eencomplex proces is, opgebouwd uit generatie (kern-, kolen-,gas- en waterkrachtcentrales, windparken, zoncentrales),schakel- en transformatiestations en transmissielijnen. Debegrenzing van deze gedistribueerde hoogspanningsmachineloopt van de Noordkaap via Engeland en het Iberisch schier-eiland via Marokko, Italië, Griekenland en de Oost-Europeselanden tot aan de Baltische staten. Op termijn wordt dit uit-gebreid tot aan Vladiwostok en komt er een gesloten ringrond de Middellandse Zee. Het proces werkt, ondanks dathet bestaat uit vele componenten die beheerd worden dooreen groot aantal organisaties met vaak tegengesteldecommerciële belangen.PCS bewaken, besturen en controleren de elektriciteits-generatie. Door de omwentelingssnelheid van de generatorente regelen, wordt de generatie in balans gebracht met deelektriciteit die wordt afgenomen (load). PCS bewaken ookhet voltage en de frequentie in het netwerk, de vermogens-overdracht via transmissielijnen en transformatoren, hetreactief vermogen en nog veel meer. Bij te grote afwijkingenwordt automatisch de load van grote bedrijven afgeschakeld.Is dat niet voldoende om het systeem in balans te houden,dan gaat ook bij de burgers het licht uit.

Het PCS-netwerk van de nucleaire centrale Davis-Besse van First Energy in Ohiowordt geïnfecteerd met de SQL Slammer-worm. De worm dringt via een inbel-verbinding het PCS-netwerk binnen en infecteert het weergavesysteem voor de

Januari 2003

Page 31: nicc publicatie

29De eerste stappen naar een Nationale Roadmap to secureProcess Control Systems zijn gezet. De inspirerende voor-beelden uit de Verenigde Staten zijn zeer bruikbaar voor deNederlandse situatie. Daar heeft men bijvoorbeeld ervarendat in de afzonderlijke sectorale roadmaps slechts accent-verschillen te zien zijn. Daarom is in Nederland gekozen vooreen sectoroverstijgende aanpak: één Nationale Roadmap.De menselijke factor vormt daarbij een belangrijke rol. In deRoadmap wordt gestreefd naar een balans tussen de organi-satorische en technische aspecten enerzijds en de menselijkegedragslijn anderzijds.

De aanzet voor de Roadmap werd gegeven tijdens het derdeProces Control Security Event ‘Control IT!’ van het NICC, ineen workshop waarbij alle partijen aanwezig waren. De visieis besproken, de doelstellingen zijn bepaald.

Uitgangspunt van de Roadmap is een gezamenlijke visie dievoorlopig als volgt is gedefinieerd:

‘Binnen tien jaar zijn beschermingslagen van PCS die kritischeprocessen aansturen, ontworpen en geïmplementeerd enworden ze onderhouden. Dit in overeenstemming met degeïdentificeerde risico’s. Doelstelling daarbij is om geenverlies van kritische functies te hebben tijdens en na eencyber-incident.’

Naar een Nationale Roadmap

beveiligingsparameters. Dit systeem is vijf uur lang niet bruikbaar. Ook decentrale procescomputer is zes uur uit de lucht. De nucleaire centrale is gelukkigin onderhoud.

Page 32: nicc publicatie

30 De Roadmap focust op veilig PCS-gebruik tijdens de gehelePCS-levenscyclus. Fabrikanten, leveranciers, dienstverleners,overheid, opleidingen, kennisinstellingen en internationaledwarsverbanden ondersteunen dit. In nauwe samenwerkinghebben deze partijen de visie uitgewerkt tot de volgendedoelstellingen.

1. Meten en bepalen van de stand en het niveau van security.2. Ontwikkelen en integreren van beschermende

maatregelen.3. Detecteren van ‘intrusion’ en implementeren van

responsstrategieën.4. Permanente aandacht voor verbetering van security.5. ‘Secure-by-design’.6. Security zit bij de mensen in de genen.

Deze doelstellingen worden in de Roadmap op strategisch entactisch niveau actiegericht uitgewerkt in mijlpalen op kortetermijn, quick-wins (0-1 jaar), middellange termijn (tot 3 jaar)en lange termijn (tot 10 jaar). Taken, rollen en verantwoorde-lijkheden worden SMART (specific, measurable, achievable,realistic, timely) belegd.

In de loop der jaren hebben bedrijven en overheid al de nodigeactiviteiten uitgevoerd en maatregelen genomen om de veilig-heid van PCS op een hoger plan te tillen. Deze worden zoveelmogelijk geïntegreerd in de Roadmap. Denk hierbij aan bij-voorbeeld de organisatie van Red/Blue team trainingen (in

Een softwarefout in het bagageafhandelingssysteem van de nieuwe HeathrowTerminal 5 leidt tot een wekenlang durende chaos in de kofferverwerking. Meer dan28.000 koffers worden verkeerd gesorteerd. British Airways laat meer dan vier

April 2008

Page 33: nicc publicatie

31samenwerking met het Amerikaanse Department ofHomeland Security), internationale samenwerking, hetinvoeren en aanpassen van de Cyber Security ProcurementLanguage, het opstellen van ‘Process Control Domain SecurityRequirements for Vendors’, ontwikkeling van standaarden, dePCS-incidentenregistratie en Process Control Security Events.

Bagage naar timboektoe

De bagageafhandelingsystemen op Amsterdam AirportSchiphol verwerken dagelijks tussen de 130.000 en 160.000stuks bagage. Deze hoogwaardige systemen zorgen ervoordat uw bagage tegelijk met u aankomt in Timboektoe, envoorkomen dat bagage van passagiers op weg naar anderewerelddelen in Timboektoe eindigt.Vanuit de centrale regiekamer houden regisseurs van deluchthaven en KLM het bagageproces vierentwintig uurper dag, zeven dagen per week nauwlettend in de gaten.Dat doen ze via een SCADA IM-pakket (InstallationManagement) dat specifiek is toegerust op het proces vanbagageafhandeling. Als een systeem of parameter afwijkt,kan een regisseur via IM meteen ingrijpen. Een voorbeeld ishet vollopen van een sorteerband, het eindpunt in het bagage-systeem waar de bagage van een vlucht wordt uitgesorteerd.Als bagage hier niet op tijd vanaf wordt gehaald, wordt deband te vol. Bij een bepaalde vullingsgraad slaat het IMalarm en grijpt de regisseur in.

honderd vluchten vervallen. Met extra vrachtvluchten worden grote stapels koffersnaar andere Europese vliegvelden in Europa gebracht om via hun bagagesystemenop de juiste plaats van bestemming te komen. De geschatte schade: 50 miljoen dollar.

Page 34: nicc publicatie
Page 35: nicc publicatie

33De Nationale Roadmap wordt de komende tijd verder ont-wikkeld in nauwe samenwerking met alle betrokken partijen.Dit waarborgt hun commitment bij de implementatie.De voorbeelden in dit boekje tonen het glashelder aan: allesdraait om het borgen van de beschikbaarheid en betrouw-baarheid van vele vitale en essentiële producten en diensten.Niet alleen voor onze samenleving als geheel, maar ook voorde individuele burgers.

Meer met melk

Bij een gezond glas melk denk je niet automatisch aan PCS.Maar in moderne stallen zijn het niet de boer en de boerin zelfmaar PCS die de gezondheid van koeien bewaken, het auto-matisch melken regelen en ervoor zorgen dat de melk veiligop de juiste temperatuur wordt bewaard.In de melkfabriek wordt het verwerkingsproces van de rauwemelk tot een brede diversiteit aan melkproducten bestuurd enbewaakt door PCS. Zo wordt de kwaliteit van de verschillendeeindproducten geborgd.Aan het einde van het verwerkingsproces zorgen PCS voorhet afvullen van de pakken melk, karnemelk, vla, room,pappen, yoghurt, eventueel gemengd met toeslagstoffenen versneden vruchten.De volgende stap is het automatisch stapelen van deeindproducten op pallets.

Mei 2008

Na zijn ontslag manipuleert Mario Azar, een PCS-software manager bij PacificEnergy Resources, van 8 mei tot 29 juni 2008 de instellingen van het lek-detectiesysteem van oliepijpleidingen tussen olieplatformen en de kust.

De verantwoordelijken aan zet

Page 36: nicc publicatie

34 Cybergestuurd kraken

In onze havens en op andere plaatsen in Nederland staangrote petrochemische complexen met krakers en vele kilo-meters transportleidingen. Krakers verwerken bij hogetemperatuur en druk grondstoffen als nafta, butaan, etheenen andere olieproducten. Lange koolstofketens wordengebroken, zodat lichtere fracties na destillatie uit de krakerstromen: (poly)ethyleen en andere aromaten die in nabijefabrieken gebruikt worden voor de productie van complexekoolstofchemische producten.PCS zijn de oren en ogen van de procesoperators in de (petro)-chemische industrie. Veilig werken staat voorop. Vanuit cen-trale controlekamers worden alle procesparameters bewaakten zo nodig bijgeregeld, zodat de tussen- en eindproductenvan de juiste kwaliteit zijn. Het proces is fail-safe ontworpen.Dat voorkomt echter niet dat er soms grote vlammen bovende affakkelkolom verschijnen en onaangename geuren ont-snappen als de controle over het proces uit de hand loopt.Onbevoegde beïnvloeding van de bestuurde processen moette allen tijde voorkomen worden. Toch is bekend dat hackerszijn doorgedrongen tot de PCS die dergelijke petrochemischeinstallatie besturen.

Corus had een vervlochten procesautomatiserings- en kantoorautomatiserings-netwerk. Totdat in 2003 het Blaster-virus delen van de productie stillegt. Corus startdaarop een programma om de productie- en kantooromgevingen volledig van elkaarlos te koppelen.

2003

Page 37: nicc publicatie

35Helder afvalwater

Gemeenten en Waterschappen zijn verantwoordelijk voor hettransporteren en zuiveren van ons afvalwater. Daar wordenruim 100.000 kilometer riolering en 368 rioolwaterzuiverings-installaties voor gebruikt. De zuiveringscapaciteit van éénenkele installatie kan oplopen tot één miljoen inwoners.Dit continue proces is in hoge mate geautomatiseerd. Doorsteeds complexere processtappen en regelingen, bedieningop afstand en outsourcing wordt de afhankelijkheid van debetrouwbaarheid van PCS alleen maar groter. Als de afval-waterketen hapert, heeft dat ernstige gevolgen voor hetmilieu en de volksgezondheid.

November 2007

In Nokia, Finland wordt een verbinding tussen een afvalwaterleiding en een drink-waterleiding opengezet om de afvalwaterleiding door te spoelen. Door drukverschilkomt afvalwater terecht in het drinkwater (backflow). 12.500 inwoners krijgen lastvan maag- en darmklachten. Honderden mensen worden in het ziekenhuis p

Page 38: nicc publicatie

36 Zicht op bruggen

Rijkswaterstaat beheert rijkswegen en rijksvaarwegen.Steeds meer bruggen, sluizen en tunnels worden met PCS opafstand bediend. Problemen in en uitval van die bedieningleiden tot grote files, stremming, veel oponthoud, onveiligesituaties, overlast elders en soms schade voor het milieu. Watte denken als bijvoorbeeld een brug onverwacht in de spitsopenstaat, zoals gebeurde bij de brug in de A4 bij Leiderdorp?Weggebruikers vertonen ook onverwacht gedrag: ze negereneen stoplicht of slagboom. Als dat mis gaat en er auto’s vande brug vallen, is het voorpaginanieuws. Het veilig openenen sluiten van een brug met zicht op de actuele situatie is duscruciaal voor Rijkswaterstaat. PCS helpen bij de doorstromingen veiligheid.

opgenomen, drie patiënten overlijden als gevolg van het besmette drinkwater.Het weer veilig krijgen van het drinkwatersysteem duurt enkele maanden.

Page 39: nicc publicatie

37Standaarden en Good Practices

• SCADA Good Practices for the Dutch Drinking Water sector,

TNO DV 2008 C096, March 2008.

• Een verzameling SCADA Good Practices, waaronder een firewall

guide, door het Centre for the Protection of National Infrastructure

(CPNI), http://www.cpni.gov.uk/Products/guidelines.aspx

• 21 steps to improve the security of SCADA networks,

http://www.oe.netl.doe.gov/docs/prepare/21stepsbooklet.pdf

• ISO/IEC 27001:2005, Information Technology – Information

Security Management Systems - requirements

• NIST Special Publication SP 800-53 - Appendix I: security controls

for Industrial Control Systems.

• NIST Special Publication SP 800-82 (draft) Guide to Industrial

Control Systems (ICS).

• Cyber Security Procurement Language for Control Systems (INL).

• Establishing an Industrial Automation and Control Systems

Security Program, ANSI/ISA-99.02.01-2009 (draft IEC 62443-2-1).

• Operating an Industrial Automation and Control Systems Security

Program, ANSI/ISA-99.02.02-2009 (draft IEC 62443-3-1).

Achtergrondinformatie

• H.A.M. Luiijf en R. Lassche, SCADA (on)veiligheid, een rol voor de

overheid?, TNO/KEMA rapport, april 2006.

• Control Systems Security Program, DHS and US-CERT,

http://www.us-cert.gov/control_systems met onder andere de

Cyber Security Procurement Language for Control Systems

• US Guide to inspections of computerised systems in the food

processing industry, USFDA,

http://www.fda.gov/ora/inspect_ref/igs/foodcomp.html

Bijlagen

Page 40: nicc publicatie

38 Onderzoek en ontwikkeling

• European Workshop on Industrial Computer Systems Reliability,

Safety and Security, http://www. ewics.org

• Crutial – Critical Utility Infrastructure Resilience,

http://crutial.cesiricerca.it

• IRRIIS – Integrated Risk Reduction of Information-based

Infrastructure Systems, http://www.irriiis.org

• GRID – Cyber kwetsbaarheid elektriciteitsnetwerken,

http://grid.jrc.it

Het programma NICC is een ICTU-programma. Deopdrachtgever is het ministerie van Economische Zaken. Hetmotto van ICTU is: overheden helpen beter te presteren metICT. ICTU bundelt kennis en kunde op het gebied van ICT enoverheid. Voor en met overheidsorganisaties voert ICTUdiverse projecten uit. Zo wordt beleid omgezet in concreteprojecten voor de overheid. Meer informatie? Kijk opwww.ictu.nl.

Oktober 2009

Page 41: nicc publicatie
Page 42: nicc publicatie

programma

foto’s?

Page 43: nicc publicatie

Uitgave

NICC

Redactie

Tekstbureau De Nieuwe Koekoek, Utrecht

Ontwerp

OSAGE / communicatie en ontwerp, Utrecht

Fotografie

Marcel Rozenberg, Schiedam

Druk

OBT / TDS printmaildata, Schiedam

oktober 2009

Colofonbinnenkant omslag

Page 44: nicc publicatie

Aquae Sulis agnascor Octavius,

iam chirographi lucide vocificat

agricolae. Quadrupei vix libere

amputat saetosus zothecas.

Agricolae agnascor cathedras,

et parsimonia oratori praem un

iet ossifragi, iam apparatus be

llis frugaliter conubium santet

lascivius umbraculi, utcunque

tremulus chirographi agnascor

utilitas...

Page 45: nicc publicatie

Process Control Security in hetInformatieknooppunt Cybercrimenicc

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

Aquae Sulis agnascor Octavius,

iam chirographi lucide vocificat

agricolae. Quadrupei vix libere

amputat saetosus zothecas.

Agricolae agnascor cathedras,

et parsimonia oratori praem un

iet ossifragi, iam apparatus be

llis frugaliter conubium santet

lascivius umbraculi, utcunque

tremulus chirographi agnascor

utilitas...

Process C

ontrol Se

curity in h

et

Informat

ieknoopp

unt Cyber

crime

nicc

Eén publie

kprivate g

eïntegreer

de aanpak

.

Eén sluite

nde nation

ale infrast

ructuur te

r

bestrijding

van cyberc

rime.

ProcessC

ontrolSecurityin

hetInform

atieknooppuntC

ybercrime