Dit liet beveiligingsexpert Ira Winkler weten tijdens een presentatie op de RSA Security conferentie die deze week in San Francisco heeft plaatsgevonden.
Winkler heeft eerder dit jaar in opdracht van een elektriciteitsbedrijf de beveiliging getest. Binnen een dag maakte hij de tools die nodig waren voor een aanval, en voerde deze vervolgens uit. De aanval, die social engineering combineerde met een aanval op de browsers op computers van een elektriciteitsbedrijf, zorgde ervoor dat het team aan het eind van de dag verschillende computers controleerde. Daarmee had hij tevens toegang tot het netwerk dat het netwerk beheerde, waardoor hij de stroomtoevoer had kunnen lamleggen.
Ingehuurd door het bedrijf
Winkler vertelde niet welk bedrijf hij had gehad of wanneer de test heeft plaatsgevonden. Het bedrijf zette de test direct stop nadat het team de machines had overgenomen. Winkler: "We moesten de hele operatie binnen enkele uren afblazen. Logisch, het werkte veel te goed. We hadden meer dan bewezen dat hun systeem zo lek als een mandje was."
Hele industrie is in gevaar
Het probleem is overigens niet uniek voor deze elektriciteitsmaatschappij. Volgens Winkler geldt dit voor de gehele sector. Dat komt doordat de elektriciteitsindustrie geëvolueerd is van een gesloten supervisory, control and data acquisition (SCADA) netwerk naar een netwerk met toegang tot intranets en het internet. Computers die togang hebben tot internet en het bedrijfsnetwerk vormen daarmee een groot gevaar. Volgens Winkler staan de netwerken van elektriciteitsbedrijven al meer dan tien jaar wagenwijd open.
Controle binnen enkele minuten
De inbraak in het netwerk begon met behulp van het aftappen van distributielijsten voor SCADA user groups. Op die manier kon het team e-mail adressen achterhalen van mensen die voor het elektriciteitsbedrijf werken. Deze mensen kregen vervolgens een e-mail met negatieve informatie over hun toekomst binnen het bedrijf, en een link waarop geklikt kon worden. Medewerkers die op deze link klikten, werden omgeleid naar een webserver van Winkler en zijn team.
Op de computer van de medewerker verscheen een foutmelding getoond, maar ondertussen werd er malware gedownload die ervoor zorgde dat het team de computer kon overnemen. Winkler: "Daarna hadden we volledige controle over het systeem. Het was binnen een paar minuten gebeurd."
Zwakke plekken
Volgens Winkler zijn SCADA systemen onveilig omdat ze software draaien op standaardbesturingssystemen en op standaard server hardware. Dit maakt ze kwetsbaar voor alle zwakke plekken binnen deze systemen. Volgens Winkler is het zelfs zo slecht gesteld dat het eenvoudiger is om in te breken bij een elektriciteitsbedrijf dan bij ieder ander netwerk.
Winkler kreeg veel kritiek op zijn test, omdat men bang was dat de elektriciteitsbedrijven nu meer risico liepen, maar volgens hem is dat onzin: "Zowel de bedrijven als de bad guys weten precies wat er aan de hand is. Het is slechts een kwestie van tijd."
Eerder dit jaar vaardigde de CIA al een officiële waarschuwing uit over de beveiliging van computers die het elektriciteitsnet beheren. Daarbij wees de organisatie erop dat hackers in het buitenland al stroomstoringen hadden veroorzaakt.
Nederland veilig?
In Nederland hoeven we overigens niet te vrezen voor dergelijke aanvallen. In een reactie op de CIA-waarschuwing liet hoogspanningsnetbeheerder TenneT weten dat Nederland beschermd is tegen dit soort aanvallen, simpelweg omdat het hoogspanningsnet geen verbinding heeft met internet.
Het risico van dergelijke hacks voor de nationale infrastructuur bracht de PvdA er eerder deze maand toe te pleiten voor een meldplicht voor computercriminaliteit. Tweede Kamerlid Attje Kuiken waarschuwde ervoor dat meer dan 80 procent van de Nederlandse infrastructuur in handen is van publieke partijen, waardoor de overheid niet op de hoogte is van eventuele risico's en hier ook niet naar kan handelen. |
