Wetenschap & Technologie

Computerhack onthult kwetsbaarheid van financiële watercentrales in de VS

Save article
Computerhack onthult kwetsbaarheid van financiële watercentrales in de VS

ST. PETERSBURG, Florida (AP) – De mislukte poging van een hacker om de watervoorziening van een kleine stad in Florida te vergiftigen, wekt alarm over hoe kwetsbaar de watersystemen van het land kunnen zijn voor aanvallen van meer geavanceerde indringers. Zuiveringsinstallaties hebben doorgaans krap bij kas en missen de cybersecurity-diepte van het elektriciteitsnet en de kerncentrales.

De schokkende aankondiging van een lokale sheriff maandag dat de watervoorziening van Oldsmar, met een bevolking van 15.000, vorige week kort in gevaar was, toonde ongebruikelijke transparantie. Verdachte incidenten worden zelden gemeld en worden meestal toegeschreven aan mechanische of procedurefouten, zeggen experts. Er bestaat geen federale rapportageverplichting, en de staats- en lokale regels verschillen sterk.

"In de industrie verwachtten we allemaal dat dit zou gebeuren. We weten al lange tijd dat gemeentelijke waterbedrijven extreem ondergefinancierd en ondergefinancierd zijn, en dat maakt ze een makkelijk doelwit voor cyberaanvallen," zei Lesley Carhart, hoofd incidentresponser bij Dragos Security, dat gespecialiseerd is in industriële controlesystemen.

"Ik werk met veel gemeentelijke watervoorzieningen voor kleine, middelgrote en grote steden. En in veel gevallen hebben ze allemaal een heel klein IT-personeel. Sommigen van hen hebben helemaal geen toegewijd beveiligingspersoneel," zei ze.

De 151.000 openbare watersystemen van het land missen de financiële steun van de bedrijfseigenaren van kerncentrales en elektriciteitsbedrijven. Ze zijn een heterogeen lappendeken, minder uniform in technologie en veiligheidsmaatregelen dan in andere rijke landen.

Naarmate de computernetwerken van vitale infrastructuur gemakkelijker bereikbaar worden via het internet—en met de afstandstoegang die tijdens de COVID-19-pandemie duizelingwekkend toeneemt—worden beveiligingsmaatregelen vaak opgeofferd. Dat leek het geval te zijn bij Oldsmar.

Cybersecurity-experts zeiden dat de aanval op de fabriek 15 mijl ten noordwesten van Tampa onhandig leek, zo overduidelijk was het. Wie vrijdag ook de fabriek van Oldsmar heeft binnengebracht via een remote access-programma dat door fabrieksmedewerkers werd gedeeld, heeft de hoeveelheid loog—natriumhydroxide—kortstondig verhoogd, volgens Bob Gualtieri, sheriff van Pinellas County. Loog wordt gebruikt om de zuurgraad te verlagen, maar in hoge concentraties is het zeer bijtend en kan het branden. Het komt voor in afvoerreinigingsproducten.

Hoe de hacker binnenkwam blijft onduidelijk, zei de heer Gualtieri. Maar er zijn enkele details naar voren gekomen.

Een advies dat Massachusetts voor zijn openbare waterleveranciers heeft geplaatst, meldde dat de indringer via een remote access-programma genaamd TeamViewer binnenkwam. Het werd geladen op alle computers die door het personeel van de fabriek werden gebruikt, die allemaal verbonden waren met het besturingssysteem van de fabriek, aldus het advies, waarbij werd toegevoegd dat alle gebruikers hetzelfde wachtwoord gebruikten—waarbij de beste cyberbeveiligingspraktijken werden genegeerd. Bovendien leken die computers "direct verbonden met het internet zonder enige vorm van firewallbeveiliging."

Het Massachusetts-advies meldde dat de FBI en andere instanties een situationeel rapport over het incident hadden uitgebracht. Een woordvoerder van de FBI weigerde commentaar te geven op het rapport.

Oldsmar-functionarissen weigerden vragen te stellen over cyberbeveiligingsmaatregelen in de fabriek.

De timing en zichtbaarheid van de indringer leken voor cybersecurity-experts bijna komisch. Een supervisor die rond 13:30 uur een fabrieksconsole in de gaten hield, zag een cursor over het scherm bewegen en instellingen wijzigen, zei de heer Gualtieri, en kon dit onmiddellijk terugdraaien. De indringer was binnen vijf minuten weer binnen.

Het publiek was nooit in gevaar, hoewel de indringer "het natriumhydroxide tot gevaarlijke niveaus bracht," aldus de sheriff. Ook zouden de fabrieksbeveiligingen de chemische verandering hebben gedetecteerd binnen de 24 tot 36 uur die het zou hebben gekost om de watervoorziening te beïnvloeden, zei hij.

De heer Gualtieri zei dinsdag dat water eerst naar opslagtanks gaat voordat het klanten bereikt, en "het zou zijn opgemerkt door een secundaire chemische controle." Hij wist niet of de hacker binnenlands of buitenlands was, en zei dat niemand die verbonden was aan een medewerker van de fabriek werd verdacht. Hij zei dat de FBI en de Secret Service het onderzoek ondersteunden.

Jake Williams, CEO van het cyberbeveiligingsbedrijf Rendition Infosec, zei dat ingenieurs al beveiligingsmaatregelen creëren "sinds voordat afstandsbediening via cyber bestond," waardoor het zeer onwaarschijnlijk is dat de inbreuk heeft geleid tot "een kettingreactie van storingen" die het water van Oldsmar vervuilen.

Er is het afgelopen jaar een toename geweest van hackpogingen op waterzuiveringsinstallaties, aldus het cyberbeveiligingsbedrijf FireEye, maar de meeste waren beginners, velen stuitten op systemen terwijl ze een soort zoekmachine voor industriële besturingssystemen gebruikten genaamd Shodan. Tijdens een hoorzitting in het Congres woensdag zei voormalig directeur van de Cybersecurity and Infrastructure Security Agency Christopher Krebs dat hij het "zeer waarschijnlijk" vond dat de Oldsmar-hacker een ontevreden werknemer was.

Een artikel uit 2020 in het Journal of Environmental Engineering vond dat waterbedrijven zijn gehackt door diverse indringers, waaronder amateurs die gewoon rondneuzen, ontevreden voormalige medewerkers, cybercriminelen die winst willen maken en door de staat gesponsorde hackers. Hoewel zulke incidenten relatief zeldzaam zijn geweest, betekent dat niet dat het risico laag is en dat de meeste watersystemen veilig zijn.

Na het incident van vrijdag schakelden de autoriteiten van Oldsmar het systeem voor externe toegang uit en waarschuwden andere stadsleiders in de regio—waar de Super Bowl werd georganiseerd—om hun systemen te controleren.

Chris Sistrunk, technisch manager bij de Mandiant-divisie van FireEye, zei dat cyberbeveiligingsproblemen relatief nieuw zijn voor Amerikaanse waterbedrijven, waarvan de grootste problemen het bevriezen en knappen van leidingen in de winter zijn of verstopt raken met wegwerpdoekjes. De Oldsmar-hack benadrukt de noodzaak van meer training en basisbeveiligingsprotocollen, maar niet drastische maatregelen zoals het ingrijpen van nieuwe regelgeving.

"We moeten iets doen, we kunnen niet niets doen. Maar we mogen niet overdrijven," zei hij.

Related Stories

FREE SUBSCRIPTION

Learn the why behind the headlines.

Subscribe to The Real Truth for FREE news and analysis.