Iedereen die een beetje handig is met computers en al wat jaartjes meeloopt op het internet kent ze wel: default wachtwoorden op routers. Als je op een netwerk zit en je met je webbrowser naar het IP-adres van de router surft (meestal http://192.168.1.1/ ) kom je op de beheerpagina van je router. Soms hoef je niet in te loggen; meestal volstaat een standaard login (username=admin password=admin). Dat is natuurlijk erg grappig; je kan ongevraagd met de instellingen rommelen van de mensen waar je op bezoek bent. De iets slimmere nerds hadden in de gaten dat veel routers ook te bereiken waren via het internet, ook vaak met standaard wachtwoorden beveiligd. Dat maakt het al leuker: je kan opeens vanuit je luie stoel met heel veel internetverbindingen spelen. Dat is nog eens kattekwaad! Maar waarom doet niemand hier wat aan? De meeste mensen zetten een router neer, pluggen met veel moeite de stekkers erin. Als alles werkt zijn ze al lang blij. Ze beseffen zich niet dat er nog allemaal ingewikkelde instellingen veranderd kunnen worden en dat die beveiligd moeten worden met een wachtwoord.

De afgelopen jaren is de industrie ook steeds meer gedigitaliseerd. Waar je vroeger nog aan zware hendels moest draaien kan je nu met een paar klikken op een computer je machines bedienen. Je sluit een kastje aan op de machines in je fabriek en de computer vertelt je hoe hoog de oliedruk is, of hoe heet de oven is. Met een paar muisklikken kan je ook kleppen dichtzetten, de temperatuur opschroeven, etcetera. Zo’n kastje heet een SCADA-systeem. SCADA staat voor Supervisory Control And Data Aquisition. Fabrieken zijn ingewikkeld, dus als alle machines zijn aangesloten op het SCADA-systeem ga je niet meer de instellingen veranderen. Net als je router thuis eigenlijk. Nu hebben veel SCADA-systemen nog meer overeenkomsten met routers: ze hangen aan het internet. Dat is makkelijk als een technicus op afstand wil controleren of alles in orde is met de fabriek. Wat blijkt nu? Om de vergelijking met routers helemaal af te maken - veel SCADA-systemen zijn ook slechts beveiligd met standaard wachtwoorden zoals de bekende admin/admin-combinatie.

Dat betekent dat er controlesystemen van kritieke infrastructuur en fabrieken potentieel door iedereen met een computer te bedienen zijn. Alsof iedere 15-jarige de fabriek in kan lopen en alle knopjes kan indrukken en alle hendels kan overhalen.

Hacker @ntisec vond het genoeg en heeft besloten om een overzicht te maken van lekke SCADA-systemen om aandacht voor het probleem te vragen. Dit heeft Joost Schellevis van de website tweakers.net opgepikt in zijn artikel. Daarnaast heeft Wassila Hachchi van D66 vandaag schriftelijke kamervragen gesteld over dit onderwerp. Ik hoop dat hier de vergelijking met routers ophoudt; hiervan zijn er na al die jaren nog een hoop onbeveiligd te vinden op het internet.

Hier zijn de kamervragen:

Schriftelijke vragen van de leden Hachchi en Schouw (beiden D66) aan de minister van Binnenlandse Zaken en de minister van Veiligheid en Justitie over de risico’s van software voor het op afstand besturen van industriële processen.

  1. Hebt u kennisgenomen van het artikel, Scada-beveiliging een structureel probleem, van 30 januari 2012, door Joost Schellevis op www.tweakers.net? (http://tweakers.net/reviews/2465/all/scada-beveiliging-een-structureel-probleem.html)
  2. Onderschrijft u de stelling van de schrijver dat, anders dan in het Cybersecuritybeeld Nederland 2011 wordt gesuggereerd, het niet nodig is om over uitzonderlijk geavanceerde software te beschikken om een aanval op een beheerssysteem van bijvoorbeeld een riolering te laten slagen?
  3. Welke veiligheidseisen worden er gesteld aan Scada-systemen, zowel bij de overheid als in de commerciële sector? Hoe wordt hier toezicht op gehouden? Indien er toezicht gehouden wordt, wat is dan het beeld dat toezichthouders hebben van de veiligheid van de systemen?
  4. Onderschrijft u de waarschuwing voor het gevaar van USB-sticks? Kunnen in cruciale industriële infrastructuren, zoals de kerncentrale van Borssele, datadragers van buitenaf, zoals usb sticks, vrij ingevoerd worden? Of bestaan hier beveiligingsprotocollen voor?
  5. Hoe beoordeelt u de veiligheidsrisico’s van Scada-systemen die rechtstreeks op het internet zijn aangesloten?
  6. Is er op Europees niveau aandacht voor de veiligheidsrisico’s van Scada-systemen? Zo ja, welke activiteiten worden er op dit gebied ontplooid? Zo nee, bent u bereid hier aandacht voor te vragen?

Update: De officiële plek voor de kamervragen is hier: https://zoek.officielebekendmakingen.nl/kv-151345.html

Er zijn ook een hoop taalfouten verbeterd (dank aan @neetje)