De voortschrijdende digitalisering gaat ook aan de energievoorziening niet voorbij. Het aantal componenten, zoals omvormers en sensoren, groeit met de dag. Net als de hoeveelheid online verbindingen en daarmee ook de mogelijkheden voor kwaadwillende hackers. Toegang via een zonnepaneel tot het systeem van een huishouden is nog tot daaraan toe. Maar wat als zo’n zelfde paneel toegang biedt tot een grotere keten, met impact op ook de industrie? Risico’s negeren is geen optie, stelt Marcel Oirschot van KPN Security. In plaats daarvan hebben bedrijven volgens hem hun maatregelen te nemen. ‘De vraag is niet óf je wordt gehackt maar wanneer.’
Marcel van Oirschot (KPN Security) pleit voor security by design
Het is een flinke marge wanneer Van Oirschot het heeft over ‘ergens tussen de 27 en 35 miljard’. Maar goed, het gaat de executive vice president van KPN Security niet om het exacte aantal. Wél om aan te geven hoeveel devices er inmiddels wereldwijd aan het internet zijn gekoppeld. En welke impact al die online verbindingen op ons leven hebben. ‘Digitalisering, software: we zijn er inmiddels 24/7 afhankelijk van. En dat terwijl het gebruik van software steeds ondoorzichtiger wordt. Wie een site wil bouwen, kan dat in een uurtje of twee doen. Zonder enige kennis van programmeren. Maar weet die persoon ook wat een online bouwblok aan software omvat? Het schrijven van software, ermee werken: het is de afgelopen jaren flink veranderd. Iedereen denkt er verstand van te hebben – en intussen loopt het belang van kennis van diezelfde software steeds verder op.’
‘Maak in plaats van foto’s een film van je IT-omgeving’
Systeem plat
Als dat belang ergens wordt onderstreept, is het wel op het vlak van energievoorziening. In mei dit jaar legden hackers in de Verenigde Staten het systeem van een bijna 9.000 kilometer lange oliepijpleiding van het bedrijf Colonial Pipeline plat. Talloze pompstations in meerdere staten kwamen zonder brandstof te zitten, automobilisten sloegen massaal aan het hamsterden. Losgeld is er volgens Colonial Pipeline niet betaald, al maakte de hack duidelijk welke gevolgen een aanval kan hebben op de energievoorziening. Bovendien, zo benadrukt Van Oirschot, was dit nog een aanval waarbij hackers zich kenbaar maakten. ‘Bedrijven worden ook gehackt zonder het zelf te weten. Hackers vragen dan geen losgeld, maar breken in om intellectueel eigendom te stelen of de maatschappij te ontwrichten. Zulke indirecte aanvallen komen vaker voor dan we denken.’
Talloze ingangen
Ooit was de zwaarbeveiligde energiecentrale de enige plek om in te breken en zo de energievoorziening te raken. Hoe anders is dat nu. Denk aan sensoren in oliepijpleidingen en windturbines. Aan omvormers in zonnepanelen. Komt een inbreker via zo’n omvormer binnen bij een huishouden, dan blijven de gevolgen beperkt. Maar goed, waarom zou een cybercrimineel dat überhaupt doen, zegt Van Oirschot. ‘De hacker heeft z’n eigen businesscase. Via een omvormer online inbreken bij een particulier heeft niet zoveel impact. Heel anders wordt het wanneer een paneel toegang biedt tot een groter geheel, zoals een zonnepark.’
Ketenverantwoordelijkheid
Het gaat er volgens Van Oirschot dan ook om dat bedrijven zich afvragen wat hun rol in de keten is. Wie welke verantwoordelijkheid heeft. En wie waarvoor aansprakelijk is. Dat zorgt voor een spanningsveld, zegt hij. ‘Neem de marktdruk op sensoren. Die moeten slimmer worden. Efficiënter. Energiezuiniger. Maar hoe staat het met de veiligheid? Een monteur moet ervan uit kunnen gaan dat hij een deugdelijk product installeert. Dus zie je bij de producent een lichte verschuiving, met bijvoorbeeld het aanbieden van eenmalige wachtwoorden die direct bij installatie moeten worden aangepast.’
Snelheid geboden
Van Oirschot pleit voor security by design, waarbij een producent het aspect veiligheid al in de ontwerpfase meeneemt. ‘Kwetsbaarheden komen vaak aan het licht zonder dat de fabrikant doorhad dat ze er waren. In het meest kritische geval moet een fabrikant een oplossing vinden voor een kwetsbaarheid en kan hij die nog niet herstellen, terwijl cybercriminelen er al wel misbruik van maken.’ Bij zulke zero-day kwetsbaarheden, waarbij de fabrikant niet altijd weet van een zwakke plek en er ook nog geen oplossing voor heeft, is volgens Van Oirschot snelheid geboden. ‘Zeker wanneer je beseft dat zero days nog maar al te vaak voorkomen.’
Crisisplan
Eerder dit jaar werd de wetgeving rondom cybersecurity aangescherpt. Daardoor moeten beheerders van energie-installaties met een cumulatief nominaal vermogen van 100 megawatt extra maatregelen nemen. Bedoeld om een hack te voorkomen en de impact van een eventuele aanval zo veel mogelijk te beperken. Voor afnemers gelden die eisen weliswaar niet, al is het volgens Van Oirschot ook aan de eindgebruiker om te weten waarmee hij werkt en een hack te voorkomen. ‘Zorg voor back-ups, segmenteer het netwerk. Patch systemen en zorg voor voldoende awareness bij de gebruikers. En mocht het misgaan, heb dan een crisisplan klaar. Weet wat je in welke situatie moet doen. In het ene geval moeten zo snel mogelijk alle computers uit, in het andere geval juist niet, om te voorkomen dat loggegevens kwijtraken en een aanval niet meer te herleiden is.’
Voortdurend up-to-date
Met de toename van cybercriminaliteit stijgt ook het belang van cybersecurity, stelt Van Oirschot. ‘Hoe meer parameters en componenten er bijkomen, hoe afhankelijker we worden en hoe groter de impact als het fout gaat. Cybersecurity is voor bedrijven dan ook een continu doorlopend thema. Wees je ervan bewust dat een aanval een kwestie van tijd is; de vraag is niet óf je wordt gehackt maar wanneer. Dat is niet iets om direct van te schrikken; het gaat erom wat je telkens met nieuwe kennis doet, dat je daarmee het eigen plan op orde houdt. Zie cybersecurity als een constante factor en houd het bedrijf veilig. Ga niet van momentopname naar momentopname, maar maak in plaats van foto’s een film van je IT-omgeving. Up-to-date informatie is daarom onmisbaar. Bij KPN Security helpen we bedrijven daarmee en werken we samen met onderzoeksinstituten als TNO. We vragen ons voortdurend af wat er op de samenleving afkomt. Zo’n vraag kun je alleen beantwoorden met kennis van de laatste innovaties.’