Onderzoek onder meer dan 100 energiesystemen onthult kritieke OT-cyberbeveiligingslacunes

Cyberbeveiliging
Onderzoek onder meer dan 100 energiesystemen onthult kritieke OT-cyberbeveiligingslacunes

Een onderzoek van OMICRON heeft wijdverspreide cyberbeveiligingslacunes aan het licht gebracht in de operationele technologie (OT)-netwerken van substations, energiecentrales en controlecentra over de hele wereld. Op basis van gegevens van meer dan 100 installaties benadrukt de analyse terugkerende technische, organisatorische en functionele problemen die de kritieke energie-infrastructuur kwetsbaar maken voor cyberdreigingen.

De bevindingen zijn gebaseerd op een aantal jaren van inzet van OMICRON’s inbraakdetectiesysteem (IDS) StationGuard in beschermings-, automatiserings- en controlesystemen (PAC). De technologie, die het netwerkverkeer passief monitort, heeft gezorgd voor diepgaand inzicht in echte OT-omgevingen. De resultaten onderstrepen het groeiende aanvalsoppervlak in energiesystemen en de uitdagingen waarmee operators worden geconfronteerd bij het beveiligen van verouderende infrastructuur en complexe netwerkarchitecturen.

StationGuard-implementaties, vaak uitgevoerd tijdens beveiligingsbeoordelingen, brachten kwetsbaarheden aan het licht zoals niet-gepatchte apparaten, onveilige externe verbindingen, zwakke netwerksegmentatie en onvolledige inventarissen van bedrijfsmiddelen. In veel gevallen werden deze beveiligingsproblemen binnen de eerste 30 minuten na verbinding met het netwerk geïdentificeerd. Naast beveiligingsrisico’s brachten de beoordelingen ook operationele problemen aan het licht, zoals verkeerde VLAN-configuraties, tijdsynchronisatiefouten en problemen met netwerkredundantie.

Naast technische tekortkomingen wijzen de bevindingen op organisatorische factoren die bijdragen aan deze risico’s, waaronder onduidelijke verantwoordelijkheden voor OT-beveiliging, beperkte middelen en afdelingssilo’s. Deze bevindingen weerspiegelen een groeiende trend in de energiesector: IT- en OT-omgevingen convergeren snel, maar beveiligingsmaatregelen houden vaak geen gelijke tred. Hoe passen nutsbedrijven zich aan deze complexe risico’s aan, en welke hiaten blijven er bestaan ​​waardoor kritieke systemen bloot kunnen komen te liggen?

Waarom OT-netwerken inbraakdetectie nodig hebben

De mogelijkheid om beveiligingsincidenten te detecteren is een integraal onderdeel van de meeste beveiligingsframeworks en -richtlijnen, waaronder het NIST Cybersecurity Framework, IEC 62443 en de ISO 27000-standaardreeks. In onderstations, besturingssystemen van elektriciteitscentrales en controlecentra werken veel apparaten zonder standaardbesturingssystemen, waardoor het onmogelijk wordt om eindpuntdetectiesoftware te installeren. In dergelijke omgevingen moeten detectiemogelijkheden op netwerkniveau worden geïmplementeerd.

OMICRON’s StationGuard-implementaties maken doorgaans gebruik van netwerkspiegelpoorten of Ethernet TAP’s om de communicatie passief te monitoren. Naast het detecteren van inbraken en cyberdreigingen biedt de IDS-technologie belangrijke voordelen, waaronder:

  • Visualisatie van netwerkcommunicatie
  • Identificatie van onnodige diensten en risicovolle netwerkverbindingen
  • Automatische creatie van activa-inventaris
  • Detectie van kwetsbaarheden in apparaten op basis van deze inventarisatie

Risico’s beoordelen: methodologie achter de bevindingen

Het rapport is gebaseerd op jarenlange IDS-installaties. De eerste installatie dateert uit 2018. Sindsdien zijn er honderden installaties en veiligheidsbeoordelingen uitgevoerd bij onderstations, energiecentrales en controlecentra in tientallen landen. De bevindingen zijn gegroepeerd in drie categorieën:

  1. Technische veiligheidsrisico’s
  2. Organisatorische beveiligingsproblemen
  3. Operationele en functionele problemen

In de meeste gevallen werden kritieke beveiligings- en operationele problemen binnen enkele minuten na het verbinden van de IDS met het netwerk gedetecteerd.

Meestal werden sensoren aangesloten op spiegelpoorten op OT-netwerken, vaak op gateways en andere kritieke netwerktoegangspunten, om belangrijke communicatiestromen vast te leggen. In veel substations was monitoring op veldniveau niet nodig, omdat multicast-propagatie het verkeer elders in het netwerk zichtbaar maakte.

Verborgen apparaten en blinde vlekken op activa

Nauwkeurige inventarisaties van activa zijn essentieel voor het beveiligen van complexe energiesystemen. Het handmatig aanmaken en onderhouden van dergelijke mappen is tijdrovend en foutgevoelig. Om dit aan te pakken, gebruikte OMICRON zowel passieve als actieve methoden voor het geautomatiseerd ontdekken van bedrijfsmiddelen.

Passieve activa-identificatie is gebaseerd op bestaande systeemconfiguratiebeschrijvingsbestanden (SCD), gestandaardiseerd onder IEC 61850-6, die gedetailleerde apparaatinformatie bevatten. Passieve monitoring alleen bleek in veel gevallen echter onvoldoende, omdat essentiële gegevens zoals firmwareversies bij normale PAC-communicatie niet worden verzonden.

Actief opvragen van apparaatinformatieaan de andere kant, maakt gebruik van het MMS-protocol om typeplaatjegegevens op te halen, zoals apparaatnamen, fabrikanten, modelnummers, firmwareversies en soms zelfs hardware-ID’s. Deze combinatie van passieve en actieve technieken zorgde voor een uitgebreide inventaris van de activa van alle installaties.

Welke technische cyberbeveiligingsrisico’s komen het meest voor?

De analyse van OMICRON identificeerde verschillende terugkerende technische problemen in energie-OT-netwerken:

  • Kwetsbare PAC-apparaten:

    Veel PAC-apparaten bleken te werken met verouderde firmware die bekende kwetsbaarheden bevatte. Een opmerkelijk voorbeeld is de CVE-2015-5374-kwetsbaarheid, die een denial-of-service-aanval op beschermende relais mogelijk maakt met een enkel UDP-pakket. Hoewel er sinds 2015 patches beschikbaar zijn, zijn er op veel apparaten nog steeds geen patches beschikbaar. Soortgelijke kwetsbaarheden in GOOSE-implementaties en MMS-protocolstacks vormen extra risico’s.

  • Risicovolle externe verbindingen:

    In verschillende installaties werden ongedocumenteerde externe TCP/IP-verbindingen gevonden, in sommige gevallen meer dan 50 persistente verbindingen met externe IP-adressen in één enkel onderstation.

  • Onnodige onveilige diensten:

    Veel voorkomende bevindingen waren onder meer ongebruikte Windows-services voor het delen van bestanden (NetBIOS), IPv6-services, licentiebeheerservices met verhoogde rechten en onbeveiligde PLC-foutopsporingsfuncties.

  • Zwakke netwerksegmentatie:

    Veel faciliteiten functioneerden als één groot plat netwerk, waardoor onbeperkte communicatie tussen honderden apparaten mogelijk was. In sommige gevallen waren zelfs IT-kantoornetwerken bereikbaar vanaf externe onderstations. Dergelijke architecturen vergroten de impactradius van cyberincidenten aanzienlijk.

  • Onverwachte apparaten:

    Niet-getrackte IP-camera’s, printers en zelfs automatiseringsapparatuur verschenen vaak op netwerken zonder te worden gedocumenteerd in activa-inventarisaties, waardoor ernstige blinde vlekken voor verdedigers ontstonden.

De menselijke factor: organisatorische zwakheden in OT-beveiliging

Naast technische tekortkomingen heeft OMICRON ook terugkerende organisatorische uitdagingen waargenomen die het cyberrisico vergroten. Deze omvatten:

  • Afdelingsgrenzen tussen IT- en OT-teams
  • Gebrek aan toegewijd OT-beveiligingspersoneel
  • Beperkingen op het gebied van middelen beperken de implementatie van beveiligingscontroles

In veel organisaties blijven IT-afdelingen verantwoordelijk voor OT-beveiliging – een model dat vaak moeite heeft om aan de unieke eisen van de energie-infrastructuur te voldoen.

Wanneer operaties mislukken: functionele risico’s in onderstations

De IDS-implementaties brachten ook een reeks operationele problemen aan het licht die geen verband hielden met directe cyberdreigingen, maar die nog steeds de systeembetrouwbaarheid aantasten. De meest voorkomende waren:

  • VLAN-problemen kwamen veruit het meest voor, vaak met inconsistente VLAN-tagging van GOOSE-berichten over het netwerk.
  • RTU- en SCD-mismatches leidde tot een verbroken communicatie tussen apparaten, waardoor SCADA-updates in verschillende gevallen werden voorkomen.
  • Fouten bij tijdsynchronisatie varieerde van eenvoudige verkeerde configuraties tot apparaten die met onjuiste tijdzones of standaardtijdstempels werken.
  • Problemen met netwerkredundantie waarbij RSTP-lussen en verkeerd geconfigureerde switchchips betrokken waren, veroorzaakten in sommige installaties ernstige prestatievermindering.

Deze operationele zwakheden hebben niet alleen invloed op de beschikbaarheid, maar kunnen ook de gevolgen van cyberincidenten vergroten.

Wat kunnen nutsbedrijven van deze bevindingen leren?

De analyse van meer dan 100 energiefaciliteiten benadrukt de dringende behoefte aan robuuste, speciaal gebouwde beveiligingsoplossingen die zijn ontworpen voor de unieke uitdagingen van operationele technologische omgevingen.

Dankzij het diepgaande protocolbegrip en de zichtbaarheid van assets is de StationGuard Oplossing biedt beveiligingsteams de transparantie en controle die nodig zijn om kritieke infrastructuur te beschermen. De ingebouwde toelatingslijst detecteert zelfs subtiele afwijkingen van verwacht gedrag, terwijl de op handtekeningen gebaseerde detectie bekende bedreigingen in realtime identificeert.

Dankzij de mogelijkheid van het systeem om zowel IT- als OT-protocollen te monitoren (waaronder IEC 104, MMS, GOOSE en meer) kunnen nutsbedrijven bedreigingen in elke laag van hun substationnetwerk detecteren en hierop reageren. Gecombineerd met functies zoals geautomatiseerde activa-inventarisaties, op rollen gebaseerde toegangscontrole en naadloze integratie in bestaande beveiligingsworkflows, StationGuard stelt organisaties in staat hun veerkracht te versterken zonder de bedrijfsvoering te verstoren.

Voor meer informatie over hoe StationGuard ondersteunt nutsbedrijven bij het dichten van deze kritieke veiligheidslacunes, bezoek onze website.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google ‘verkent’ afmelding voor AI-zoekopdrachten na druk van Britse toezichthouders

Bij het nieuwe 13-inch E-Paper kleurendisplay van Samsung draait alles om duurzaamheid

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]