“Slechte software is een kwetsbaarheid”

Erik Poll (Radboud Universiteit) over cybersecurity in de maakindustrie

De maakindustrie liep met de cyberbeveiliging van haar operationele technologie (OT) achter op de wereld van de IT. Dankzij groeiend bewustzijn van de gevaren en onder druk van nieuwe Europese regelgeving maakt de industrie een inhaalslag. Natuurlijk is de factor mens – klik niet op dubieuze links – van belang, maar de meeste winst valt toch te behalen met veilige software. Dat stelt Erik Poll, universitair hoofddocent digital security aan de Radboud Universiteit in Nijmegen.

In de maakindustrie moet voor cybersecurity onderscheid worden gemaakt tussen IT en OT. IT (informatietechnologie) betreft de automatisering op kantoor en OT de operationele technologie op de werkvloer. “Voor de IT heeft men het min of meer wel goed geregeld, met software die vrij standaard is en meestal in een Windows-omgeving werkt. In de OT-wereld zie je echter een heel heterogene verzameling van machines en apparaten, waarvan er de afgelopen tien jaar steeds meer aan het internet zijn gekoppeld. Die machines hebben echter vaak een heel lange levensduur, van wel dertig jaar of meer. Die kennen geen cyclus waarin de software elke zoveel maand wordt geüpdatet. Communicatieprotocollen dateren soms nog uit het stenen tijdperk van de jaren negentig. Die protocollen werken nog niet met veilige verbindingen met bijvoorbeeld TLS (Transport Layer Security, een cryptografisch protocol voor beveiligde communicatie, bekend van het slotje in de browser, red.). In veel sectoren zal het nog wel even duren voordat men het erover eens is wat de standaardoplossing wordt voor veilige verbinding met het net. Gevolg van dit alles is dat het bewustzijn van de cybergevaren slechts langzaam is gegroeid.”

De softwarekant van cybersecurity

Erik Poll is verbonden aan het Institute for Computing and Information Sciences (iCIS) van de Faculteit der Natuurwetenschappen, Wiskunde en Informatica van de Radboud Universiteit in Nijmegen. Daar is hij universitair hoofddocent in de vakgroep Digital Security. Samen met hoogleraar Bart Jacobs stond hij aan de wieg van de groep, die regelmatig de media haalde, onder meer over de veiligheid en privacy van chipkaarten. “Ja, in het begin waren we voorlopers op het gebied van digitale veiligheid; nu zijn we dat in bepaalde niches nog. We doen bijvoorbeeld veel aan cryptografie (versleuteling van digitale communicatie, red.) en hebben ook juristen die naar privacy kijken.” 
In zijn onderzoek richt Poll zich vooral op de softwarekant. “Uiteindelijk ontstaan daar veel van de cybersecurityproblemen. Ik onderzoek formele methoden om software te analyseren en fouten daarin te vinden, en structurele manieren om die fouten uit te sluiten.” In de loop der jaren heeft hij aan veel verschillende toepassingen gewerkt, waaronder smartcards (betaalkaarten, rijbewijzen en paspoorten), internetbankieren en smart grids (slimme elektriciteitsmeters). 
 

Europese regelgeving

Voor bedrijven die met cybersecurity worstelen, is de actuele Europese regelgeving niet alleen een stok achter de deur maar ook een steuntje in de rug. Poll noemt drie belangrijke richtlijnen, waaronder twee die specifiek over apparatuur gaan. De Radio Equipment Directive (RED), die al is ingegaan, zet onder meer standaarden voor beveiliging van alle apparatuur die radiocommunicatie gebruikt, bijvoorbeeld via wifi, bluetooth of 5G. “Aan de ene kant geeft RED je enige zekerheid dat er bij de spullen die je koopt aandacht aan de beveiliging is gegeven. Anderzijds is het voor jezelf als fabrikant een verplichting om te zorgen dat jouw producten eraan voldoen.” De Cyber Resilience Act, die eind 2027 van kracht wordt, verplicht fabrikanten dat ze producten op de markt brengen waar geen bekende kwetsbaarheden in zitten. “Dit geldt voor alle producten waar digitale elementen in zitten en dat is tegenwoordig bijna alles.”

“In bijna alle producten zitten nu digitale elementen waarvoor cybersecurity van belang is”

Daarnaast is er de NIS2-richtlijn (Network and Information Security directive), die meer organisatorisch van aard is. NIS2 richt zich op organisaties die deel uitmaken van de kritische infrastructuur; daaronder vallen publieke voorzieningen maar bijvoorbeeld ook de industrie. In Nederland krijgt de richtlijn een vertaling in de wet Cyberbeveiliging, die waarschijnlijk dit najaar van kracht wordt. Belangrijk element van NIS2 is de ketenbenadering. Organisaties moeten zorgen dat ook hun ketenpartners, voor zover ze met producten of diensten bijdragen aan de kritieke infrastructuur, hun cyberbeveiliging op orde hebben.

Kwetsbaarheden in de keten

Die ketenafhankelijkheid is een uitdaging, erkent Poll, zoals in de industrie waar bedrijven veel digitaal communiceren met klanten en toeleveranciers. “Die afhankelijkheden kun je zowel met hardware als software hebben. Als de afzonderlijke devices in een keten veilig zijn, dat wil zeggen aan de richtlijnen voldoen, kan die keten toch nog onveilig in elkaar steken. Je moet die devices bijvoorbeeld configureren en daarmee kun je fouten maken, waardoor een verbinding niet veilig is. Bij software heb je vaak te maken met open source. Ook als je software betrekt van commerciële partijen, kan daar open-source software in zitten. Kwaadwillende partijen kunnen software maken waar ze kwetsbaarheden inbouwen en die, zogenaamd goedwillend, als open source inbrengen. Ze hebben dan een ‘achterdeurtje’ in de software van allerlei bedrijven waarvan ze later gebruik kunnen maken voor een hack. Daar zijn gevallen van bekend. Maar ook als dat niet het geval is, wil je voor software van andere partijen toch een garantie hebben dat die van goede kwaliteit is.”

Slechte software is een kwetsbaarheid, wil Poll maar zeggen. “Vorig jaar heeft het CrowdStrike-incident dat nog laten zien, toen Schiphol na een update van beveiligingssoftware werd platgelegd. Dat was nog niet eens een hack, maar een fout in de software, maar het was wel een illustratie van wat een aanval door hackers zou kunnen uitrichten. De tragiek is vaak dat het een keer serieus moet misgaan voordat mensen beseffen dat ze een probleem hebben.” Daarom is het testen van de kwaliteit van software, waar Poll zijn onderzoek op richt, ook zo belangrijk. “Als er fouten in de software zitten die de functionaliteit betreffen, merken de gebruikers dat snel genoeg. Maar een fout in beveiligingssoftware merk je pas als het al is misgegaan.”

“Een fout in beveiligingssoftware merk je pas als het al is misgegaan”

Criminelen en statelijke actoren

Als het gaat over cyberbedreigingen, kijkt Poll naar mogelijke aanvallers. Hij onderscheidt drie categorieën. “Je hebt wat we noemen statelijke actoren, zoals de Russen en de Chinezen. Die willen onzichtbaar blijven en doen aan spionage. Ze proberen ongetwijfeld ook kritische infrastructuur, zoals energienetwerken, binnen te dringen. Daar kunnen ze dan kwetsbaarheden inbouwen die ze pas inschakelen als ze echt iets van plan zijn. Cybercriminelen zijn juist meteen heel zichtbaar in het effect van hun acties. Die hebben zich nu vooral op ransomware-hacks gestort. Tot slot heb je de hobbyhackers, de spreekwoordelijke slimme jongetjes die op zolder thuis proberen in te breken bij organisaties. Die willen soms alleen maar kattenkwaad uithalen, zonder dat ze beseffen wat de impact van hun acties is. Ethische hackers willen misschien slechts wijzen op digitale kwetsbaarheden, maar ook zij kunnen – per ongeluk – iets misdoen. De grootste bedreiging komt echter toch van de puur criminele organisaties en de statelijke actoren. Voor elk bedrijf zal dat weer anders zijn en daar moet je de beveiliging op inregelen. Bij een ASML zal het eerder om het stelen van kennis van de geavanceerde technologie gaan, bij de fietsenmaker op de hoek waarschijnlijk om losgeld na een hack.”

“Er is geen ‘silver bullet’ die de cyberbeveiliging compleet regelt”

Gevraagd naar mogelijke quick wins om de cyberbeveiliging te verbeteren, tempert Poll de verwachtingen. “Het is een vergissing om te denken dat er één ding is wat je moet doen en dat het dan is opgelost. Er is geen ‘silver bullet’. Maar er zijn natuurlijk wel dingen mogelijk. Je ziet nu heel veel dat gebruikers voor toegang tot een online systeem twee-factorauthenticatie moeten uitvoeren. Bijvoorbeeld inloggen met een password en dan nog een code invoeren die ze op hun smartphone ontvangen. Voor veel industriële systemen is dat echter geen optie. Er is niet iemand die met z’n smartphone bij de machine is op het moment dat die verbinding wil leggen met een ander systeem. Je kunt wel proberen de authenticatie sterker te maken, bijvoorbeeld met wachtwoorden die ergens in de machine zitten. Maar die wachtwoorden kunnen dan misschien ook weer worden gehackt. Je blijft toch zitten met slechts één locatie waar alle beveiliging zit.”

Netwerksegmentatie en -bewaking

De eerste vraag die volgens Poll moet worden gesteld, is of een machine of apparaat überhaupt wel aan het net hoeft te worden gekoppeld. En als dat nodig is, dan continu of alleen op het moment dat data moeten worden uitgewisseld of remote onderhoud moet worden gepleegd? Continue verbinding is wel steeds gangbaarder door de opkomst van het Internet of Things (IoT). Een IoT-netwerk met sensoren op machines wordt bijvoorbeeld gekoppeld aan een applicatie met database in de cloud voor continue monitoring van productieprocessen. De vraag kan dan nog zijn of zo’n lokaal IoT-netwerk in de fabriek bij voorkeur bedraad of draadloos worden uitgevoerd. Dat hoeft niet veel uit te maken, aldus Poll. “Je moet het bekijken vanuit de mogelijke aanvaller. Misschien hoef je niet bang te zijn dat iemand bij jou in de straat met een antenne een wifi-verbinding probeert af te luisteren en moet je je juist druk maken over iemand uit Noord-Korea die via internet installaties wil uitzetten.”

“Steeds meer bedrijven hebben een security operations center nodig”

Wat altijd kan helpen is netwerksegmentatie. “Dan zet je schotjes in je netwerk, bijvoorbeeld tussen IT-afdeling, kantoor en werkvloer. Als dan iemand op de HR-afdeling klikt op een phishing-link, kan de hacker die langs deze weg binnenkomt nog niet de fabriek infecteren.” Uiteindelijk blijft er altijd het risico van een besmetting of hack. Daarom moeten bedrijven het verkeer op hun netwerk monitoren om te kijken of er rare dingen gebeuren. Grote bedrijven kunnen dat zelf, maar de kleinere zullen een specialist moeten inschakelen, zoals een security operations center, voor bewaking van het netwerk, adviseert Poll.

Natuurlijke intelligentie

Tot slot is er natuurlijk nog de vraag welke rol AI (kunstmatige intelligentie), hét tech-topic van het moment, kan spelen bij cyberbeveiliging. Poll bekijkt het van twee kanten. “Je zou het kunnen inzetten voor threat detection, door AI verdachte activiteiten op je netwerk te laten herkennen. Het probleem is alleen dat AI eerst moet worden getraind voor zo’n taak en als het goed is heb je nog weinig of geen hacks gehad. Daardoor valt er weinig te trainen op jouw specifieke netwerksituatie.” Omgekeerd wordt AI al wel gebruikt voor cyberaanvallen. “Ik weet dat de grote taalmodellen van AI worden gebruikt om betere, meer overtuigende phishing mails te schrijven, zodat de ontvangers vaker klikken en de hackers meer kans maken om binnen te komen.” Kortom, betere cyberbeveiliging zal vooral van natuurlijke intelligentie moeten komen.

Naar een veilig Internet of Things

Een groot project waar Poll momenteel aan deelneemt, is INTERSECT (INTERnet of SECure Things), gefinancierd door NWO in het kader van de Nationale Wetenschapsagenda. Het doel is te komen tot een intrinsiek veilig ontwerp en gebruik van IoT-devices. Dat is cruciaal voor de toekomst van onze publieke en industriële infrastructuur, want het Internet of Things (IoT) vormt het fundament onder de digitalisering van allerlei maatschappelijke sectoren. In INTERSECT werken veertig partijen samen, waaronder de Radboud Universiteit, diverse andere kennisinstellingen en ICT-organisaties, maar ook bedrijven als Brainport Industries, High-Tech XL, FME, Philips, Signify, Canon Production Printing en Technolution. De jaarlijkse INTERSECT-conferentie, mede georganiseerd door Erik Poll, vond half juni plaats in Nijmegen. Centraal stond de voortgang op de vier thema’s van het project: Design, Defense, Attack en Governance of Security & Privacy. Daarnaast ging het veel over de invloed van externe factoren bij de beheersing van cybersecurity-kwetsbaarheden.

Misschien vindt u deze succesverhalen ook interessant:

Blijf op de hoogte van het laatste nieuws:

Kijkt u ook eens naar deze trainingen die we aanbieden: