Als hoofd van de activiteiten van GlobalSign voor Noord- en Zuid-Amerika heb ik voortdurend te maken met een grote verscheidenheid aan bedrijven, van B2B tot de detailhandel en consumentengoederen. Maar uiteindelijk heb ik me het afgelopen decennium vooral beziggehouden met de energiemarkt, in het bijzonder met de North American Energy Standards Board (NAESB). Daarbij heb ik het geluk gehad nogal wat te weten te komen over de elektriciteitsmarkt en de bredere energiesector.
Toen het nieuws van de hack van Colonial Pipeline bekend werd, trok dat dus zeker mijn aandacht (het incident trok natuurlijk de aandacht van mensen over de hele wereld). Dit gezegd zijnde wil ik toch enkele zeer belangrijke punten naar voren brengen.
Ten eerste was de hack van Colonial Pipeline natuurlijk opmerkelijk omdat het de belangrijkste ransomwareaanval was op een Amerikaans energietransportsysteem versus een echte brandstofleverancier zoals Exxon.
Hype versus werkelijkheid
Ondanks de hype over de aanval op het net was dit niet het geval. Het energienet werd NIET aangevallen. Ook het industriële controlesysteem dat Colonial Pipeline gebruikt niet.
Nee, dit was geen nachtmerriescenario waarbij hackers op afstand kleppen en schakelaars bedienden. Maar de waarheid is dat dit had kunnen gebeuren.
Wat ook zeker waar is, is dat de hack van Colonial Pipeline in veel delen van het land massale paniek veroorzaakte, vooral aan de oostkust, omdat men bang was dat de brandstof op zou raken, en dat de pompen van benzinestations voor een onbekende periode leeg zouden zijn. De angst voor het onbekende is krachtig.
Maar toen de CEO van Colonial Pipeline, Joseph Blount, de zeer moeilijke beslissing nam om het losgeld te betalen – een bedrag van 4,4 miljoen dollar – kreeg het bedrijf een decryptiesleutel en kon de brandstof weer stromen, waardoor miljoenen inwoners van de VS opgelucht adem konden halen. Kort daarna begonnen de lange rijen bij de benzinestations te verdwijnen.
Wat is er gebeurd?
Wat werd aangevallen was het IT-systeem van Colonial Pipeline. De ransomware werd waarschijnlijk geïnjecteerd via bekende aanvalsvectoren zoals phishing en spear phishing. Zoals we zagen bij SolarWinds, kan malware worden ingezet via schijnbaar routinematige firmware-updates.
Toen Colonial Pipeline ontdekte dat het door een cyberaanval was getroffen, schakelde het een aantal systemen uit om de dreiging te isoleren, waardoor de brandstofstromen in de pijpleiding tijdelijk werden stopgezet. Het bedrijf kondigde later aan dat het had ontdekt dat de cyberaanval ransomware betrof.
Hoewel er geen aanwijzingen zijn dat de aanvallers de vitale besturingssystemen zijn binnengedrongen (omdat deze diepere laag van besturingssystemen kwetsbaar is voor cyberaanvallen), zou de verspreiding van de infectie ernstige gevolgen hebben gehad.
Het verschil tussen IT- en OT-systemen begrijpen
Bron van afbeelding: Coolfire Solutions
Terwijl de IT bedrijfsprocessen zoals facturering en administratie regelt, sturen OT-systemen kleppen, motoren en andere machines om temperatuur, druk en debiet te regelen.
Colonial beschikt over een modern OT-systeem, dat gebruik maakt van SCADA-systemen (Supervisory Control and Data Acquisition) om industriële besturingssystemen te controleren en te bewaken.
De vooruitgang op het gebied van OT heeft enorme voordelen opgeleverd op het gebied van productiviteit, betrouwbaarheid en veiligheid, maar heeft ook de deur geopend naar een grotere kwetsbaarheid. Deze voorheen ‘bemande’ functies worden nu door computers uitgevoerd, waardoor zelfs de meest afgelegen incidenten snel kunnen worden gedetecteerd en verholpen.
De grenzen tussen IT en OT vervagen, zodat elke inbreuk op een IT-systeem zeer ernstig moet worden genomen, hoewel dit bij Colonial niet het geval lijkt te zijn geweest.
Wat kan er worden gedaan?
Vandaag heeft iedereen een rol te spelen in het doen wat mogelijk is om een cyberincident te verlichten. Hieronder volgen enkele belangrijke tips om in gedachten te houden.
1. Meer voorlichting over het detecteren van verdachte e-mails – ga met uw muis over het domein, vertrouw alleen digitaal ondertekende berichten en controleer op duidelijke typefouten. Klik niet op verdachte links zonder dit eerst aan uw IT-afdeling te melden.
2. Zet een tandje bij voor uw bedrijfsherstelplan. We zijn de tijd ver voorbij dat we vroegen “zullen we gehackt worden?”. Omdat we nu weten dat dat voor de meeste bedrijven geldt. Een betere vraag is: "Hoe gaan we reageren en onze systemen herstellen?".
3. Maak een back-up van uw gegevens in een apart netwerk.
4. Voer de cyberbeveiligingcontroles op, vooral in OT-systemen.
5. Maak gebruik van de flexibiliteit van PKI-technologie door afzonderlijke private CA-hiërarchieën te gebruiken voor de uitgifte van certificaten voor gebruikers- en computerauthenticatie die worden gebruikt om mensen en computers te verifiëren. Wat u wilt, is een scheiding van IT- en OT-toegangsregels om het risico op een IT-inbreuk op uw OT-systemen tot een minimum te beperken.
6. Houd uw systemen goed in de gaten. Veel hackers zijn geduldig en zullen talrijke stappen ondernemen, vaak met phishing-e-mails, om binnen te dringen in systemen die – als ze toegang kunnen krijgen – verwoestende gevolgen kunnen hebben in termen van datalekken en, erger nog, controle over industriële besturingssystemen (het gebruik van een oplossing voor het ondertekenen van code kan helpen). Bovendien mag u geen uitvoerbare bestanden uitvoeren die niet zijn geverifieerd door een betrouwbaar certificaat voor ondertekening van code, waarbij de uitgever van de software duidelijk is geverifieerd door middel van een sterke identiteitscontrole.
7. Beveilig uw private key voor het ondertekenen van code op een Trusted Platform module (TPM) of USB-hardware.
8. Neem contact op met NAESB en andere sectorspecifieke normalisatieorganisaties voor best practices op het gebied van cyberbeveiliging.
Wilt u meer weten? Bekijk onze Q&A met energie-expert Richard Brooks en bezoek onze website om te ontdekken hoe GlobalSign samenwerkt met NAESB om compatibele digitale certificaten te leveren die voldoen aan de voorschriften voor een groot aantal gebruikssituaties, waaronder veilige authenticatie bij online services, toegang tot het NAESB Electronic Industry Registry (EIR), het digitaal ondertekenen van e-mail en documenten, en de versleuteling van servercommunicatie.