Aanvallen op safety instrumented systems (SIS) laten een nieuwe klasse van cybercriminaliteit en cyberterrorisme zien. Alhoewel dit echt verontrustend nieuws is, zijn er verschillende beveiligingsmaatregelen en beschermings-methoden die iedereen kan gebruiken om de productie veilig te stellen.

Wat is een RAT? – Je zou kunnen zeggen, het is een klein knaagdiermet lange staart, die veel verschillende zoönotische pathogenen bij zich kan dragen, zoals Leptospira of Toxoplasma gondi, maar wanneer het cybersecurity betreft, is RAT de afkorting van “Remote Access Trojan“. Het is een malware programma met een achterdeur voor controlebesturing over een systeemdoelwit. Zoals ook bij het knaagdier, kan het zelfs meer kwaadaardige programma’s dragen, zoals virussen, andere Trojans of wormen. Hoewel het behoorlijk akelig is op een thuiscomputer, kan het verwoestender zijn in een OT omgeving (operationele technologie).

Een vervelend incident in de afgelopen maanden was de aanval op een veiligheidssysteem. Met verschillende namen als Triton, Hatman of Trisis is dit de eerste gedocumenteerde cyberaanval op een Safety Instrumented System (SIS). Dit is zorgwekkend omdat SIS bestaat uit technische sets hardware- en softwarebesturingen die met name gebruikt worden op cruciale processystemen. Op 14 december 2017 kreeg de malware toegang tot het SIS engineeringwerkstation dat in programmamodus was achtergelaten in plaats van overgeschakeld te worden. Volgens experts op het gebied van cyberbeveiliging was een buitenbedrijfstelling van de fabriek waarschijnlijk het plan van de malware aanval. Gelukkig werd Trisis/Hatman ontdekt als gevolg van een fout in de malware, die vervolgens werd opgepikt door de Tricon apparatuur. Dientengevolge bracht het Safety Instrumented System het proces naar een veilige toestand en schakelde de installatie uit.

Het is belangrijk op te merken dat de malware geen inherente kwetsbaarheid van het SIS gebruikt. De fabrikant reageerde trouwens op een voorbeeldige manier en startte meteen een onderzoek in het proces, samen met het beveiligingsteam van de gebruiker, FireEye en het Amerikaanse Ministerie van Binnenlandse Veiligheid. Het incident is vervolgens transparant gecommuniceerd om anderen te waarschuwen. Uit het onderzoek is gebleken dat het systeem was verbonden met de gedemilitariseerde zone (DMZ) van het netwerk, waar Triconex en het SIS model zich bevonden. De aanvallers konden inbreken op een Microsoft Windows werkstation dat toegang tot het SIS mogelijk maakte. De geheugenbeschermingsfunctie van de Tricon (een fysieke toets op het frontpanel) was in de programmeermodus gelaten, waardoor het Tricon geheugen door de aanvallers kon worden gewijzigd.

Om het korte termijn risico te beperken, wordt het ten zeerste aanbevolen voor gebruikers om standaard gedocumenteerde beveiligingspraktijken te volgen. In het bovengenoemde incident heeft de gebruiker het SIS laten draaien in de programmeermodus en heeft het achtergelaten in de gedemilitariseerde zone (DMZ) van het netwerk, waar het kwetsbaar was voor een aanval. Om het risico op de middellange tot lange termijn te beperken, is het erg belangrijk om een grondige locatiebeoordeling uit te voeren en een cyberbeveiligingsplan te ontwikkelen, inclusief het segmenteren en beschermen van OT-netwerken met een sterke industriële firewall. Wanneer u een firewall wilt gaan gebruiken, kies dan een industriële firewall die specifiek is ontworpen voor automatiseringsprofessionals zoals de MB connect line’s mbNETFIX. Het beste beveiligingssysteem brengt u nergens als mensen terughoudend zijn om ermee te werken of omdat het niet gemakkelijk te gebruiken is. Misschien wilt u uw systemen beveiligen met kwalitatief goede firewalls die gebruiksvriendelijk en speciaal ontworpen zijn voor automatiseringsgebruikers.

Lees meer over industriële firewalls