Onveilige technologie voor externe toegang gaf een snode hacker toegang tot het water van 15,000 inwoners.
De feiten
In een ander geval waarin cybergemak misging, werd een waterzuiveringsinstallatie in Oldsmar, Florida gehackt. Op vrijdag 8 februari rond 12 uur merkte een fabrieksmedewerker dat zijn computer op afstand werd bestuurd. De medewerker was niet ongerust. Toegang op afstand is een gebruikelijke strategie die de fabriek gebruikt om IT-problemen op te lossen.
Toen de curser om 1 uur weer bewoog, was wat de exploitant van de installatie waarnam allesbehalve onschadelijk. Degene die het systeem deze keer op afstand bestuurde, bracht de drie tot vijf minuten dat ze zich in het systeem bevonden door met het veranderen van de niveaus van natriumhydroxide (algemeen bekend als loog) van een veilige 30 delen per miljoen naar een gevaarlijke 3 delen per miljoen. De medewerker heeft de wijziging snel verholpen. Stadsfunctionarissen verzekerden de 5 inwoners en bedrijven aan de waterlijn dat zelfs als de exploitant de verandering niet had opgemerkt, andere controles en evenwichten zouden hebben voorkomen dat het gevaarlijke water de kraan zou bereiken.
Zie ook: Beveiligd toegangsbewustzijn
Toch is zo’n snode daad reden tot ongerustheid. Het kantoor van de sheriff begon die avond met het onderzoek. Er is nog geen indicatie of de hacker lokaal in Florida of zelfs in de Verenigde Staten was. De hacker zal waarschijnlijk te maken krijgen met aanklachten wegens misdrijf en mogelijk ook met federale aanklachten.
Senator Marco Rubio tweeted op maandag een verzoek aan de FBI “… alle hulp te bieden die nodig is bij het onderzoeken van een poging om de watervoorziening van een stad in Florida te vergiftigen”, alvorens eraan toe te voegen: “Dit moet worden behandeld als een kwestie van nationale veiligheid.”
De hack zelf was ongecompliceerd van aard en er is momenteel geen bewijs dat de aanval in andere gemeenten is geprobeerd. Het is echter een voorbeeld van een grootschalig probleem waar experts op het gebied van cyberveiligheid zich al jaren zorgen over maken: via internet toegankelijke operationele technologie (OT). Die bezorgdheid is nu een daadwerkelijke systemische kwetsbaarheid geworden.
Zie ook: 100% Zero Trust: de nieuwe werkplek beschermen en mogelijk maken in 2021 en daarna
Of het nu onwetendheid of een gebrek aan bezorgdheid was die tot de kwetsbaarheden leidde die de hack mogelijk maakten, de waterzuiveringsinstallatie bevindt zich in goed gezelschap. Ondanks de waarschuwingen neemt externe toegang toe; niet afnemen. Bezuinigingen en COVID-19 hebben IT-afdelingen in een hoek gedreven. Stadsdiensten moeten blijven draaien, maar nu met minder geld en minder toegang. Toch kunnen en moeten bepaalde waarborgen worden opgelegd.
Lesje geleerd
Het gecompromitteerde stukje software van derden dat de hack op afstand mogelijk maakte, is zozeer een vloek geworden voor cyberbeveiligingsexperts dat het enigszins een standaard geworden is. een meme in bepaalde cyberveiligheidskringen. TeamViewer, dat wereldwijd 200 miljoen gebruikers heeft, is eenvoudig en effectief. Het maakt eenvoudige connectiviteit tussen twee computers mogelijk via externe toegang. Hoewel TeamViewer gebruiksvriendelijk is voor bijvoorbeeld huiswerkhulp tussen gezinsleden, slaat TeamViewer een aantal cruciale beveiligingsstappen over.
In plaats daarvan adviseren experts dat industriële controlesystemen (ICS) de banden met TeamViewer hebben verbroken voor veiligere protocollen. Idealiter zou ICS een veilige VPN voor zijn interne netwerken moeten opzetten en een verplicht multi-factor authenticatiebeleid moeten invoeren. Eenmaal binnen moet een definitief beveiligingsprotocol worden gevolgd voordat er wijzigingen aan het systeem mogen worden aangebracht.
Of deze basisprincipes van veiligheid nu opzettelijk of onopzettelijk over het hoofd worden gezien, vanwege bezuinigingen, gebruiksgemak of gebrek aan opleiding, de hack in Oldsmar, Florida is een waarschuwend verhaal. Gemeentelijke systemen hebben meer ondersteuning nodig. Dit onderzoek is lopende.
Lees verder: Incident van de week
