Tuesday, March 12, 2013

Security in de vitale infrastructuur

In november 2012 was weer de beurs Information Security/ Tooling Event/ Storage Expo. Ik nam een aantal periodieken mee van het Platform voor Informatiebeveiliging. Daarin las ik een artikel van consultant Luijf van de afdeling Bescherming Vitale Infrastructuur bij TNO.
Er komt steeds meer aandacht voor de Procesindustrie: Energie- en drinkwatervoorziening, wissels en seinen van metro en trein, raffinaderijen, containeroverslag, bagageafhandeling, nucleaire centrales, haveninstallaties, chemische fabrieken. Minder gauw wordt gedacht aan zaken die niet worden gezien als kernprocessen: besturing van riolering, straatverlichting, pompen/ sluizen/ bruggen, gebouwbeheersing, luchtbehandeling, liften en toegangsbeveiliging.
In mijn eigen ervaring herinner ik mij, dat het Facilitair Bedrijf als ondergeschikt wordt gezien aan de automatisering van de primaire processen in financiele instellingen en andere bedrijven en instellingen. De schrijver van het artikel stelt, dat de bewustwording nog steeds uitermate laag is. De verhalen zijn bekend, dat outsiders bijvoorbeeld de besturing van pompen en sluizen van lagere overheden konden overnemen. En met de overname van vitale infrastructuur van bedrijven en landen kan natuurlijk wel het functioneren daarvan worden lamgelegd. In Amerika werd er al over geschreven hoe het land via deze cyberwar (oorlogsvoering via het internet) ernstig kan worden bedreigd.
Aanvankelijk waren er proprietary systemen voor procesbesturing; bedrijven als Siemens ontwikkelden daarvoor specifieke hardware en software. Dat kan kosten-ineffectief worden genoemd, maar het voordeel is, dat de drempel voor inbraak hoger is. Echter wordt er steeds meer generiek gewerkt, windows, gsm en internet. Efficient en effectief, maar door het generieke karakter ook blootgesteld aan risico. Incidenten die zijn gemeld van inbraken: regeling verwarming Leger des Heils, systemen gemeente Veere, pompen van een zwemparadijs. De toegang was heel simpel, omdat er simpele passwords waren (password 'Veere').
De genoemde auteur en ook andere auteurs in Platform Informatiebeveiliging stellen, dat bewustwording de eerste prioriteit is. De bewustwording van cybercriminaliteit is al gegroeid bij specialistische ICT-afdelingen, maar helaas hebben deze geen notie van kleppen, pompen, motoren, 24/7 operaties. Het beheer daarvan zit bij het Facilitair bedrijf en bij een ver weggestopte technische dienst. Vaak is het beheer uitbesteed bij een externe technische onderhoudsfirma.
Ik citeer een treffende observatie van John GrĂ¼ter: Awareness is geen rationele maar een emotionele toestand. IT systemen hebben nog steeds een grote afstand tot ons gevoel. Het vervelende is, dat ze wel grote gevolgen kunnen hebben. Deze afstand tussen gevoel en gevolgen is typisch voor veel van de techniek en de organisaties in onze hoog ontwikkelde samenleving. Het is duidelijk dat je lang haar in een knotje moet doen, als je met een cirkelzaag werkt, maar dat je regelmatig je password moet veranderen, is minder logisch voor ons gevoel.