Cyber Security

Praktijkvoorbeelden: Wat kan mij gebeuren?

Er zijn vele manieren waarop kwaadwillenden en/of gebruikers cyber security incidenten kunnen veroorzaken. In grote lijnen worden incidenten ingeluid door een van onderstaande oorzaken:

  • Digitaal inbreken in computers;

  • Nalatigheid, bedieningsfouten, programmeermissers of falende apparatuur;

  • Installatie van malware op systemen (bewust of onbewust);

  • Aftappen van netwerken en kabelverbindingen.

Het gaat te ver om alle manieren waarop een hack plaatsvindt of malware uiteindelijk geïnstalleerd wordt te benoemen. Daarnaast worden telkens nieuwe manieren van beïnvloeding gevonden, waardoor de lijst altijd incompleet is.

Om toch iets meer inzicht te krijgen in hoe een cyber security incident kan ontstaan en wat daarvan de consequenties kunnen zijn, zijn hieronder vier voorbeeld praktijkvoobeelden opgezet.

Praktijkvoorbeeld 1: Productie stopt ten gevolge van ransomware

Dreigingsontwikkeling

Het bedrijf ontvangt een e-mail met daarin een programma (malware dat gekoppeld is aan een plaatje). De e-mail wordt automatisch (maar zou ook handmatig kunnen) verwerkt waardoor het programma wordt geïnstalleerd. Het programma start vervolgens op de achtergrond met de vergrendeling van bestanden. Na een bepaalde tijd krijgt de gebruiker een bericht dat de vergrendeling pas wordt opgeheven na betaling van losgeld.

Consequenties

Door het ontbreken van strikte netwerkscheiding en segmentering van het netwerk, zijn alle computers, inclusief de productiecomputers, besmet. De vergrendelde bestanden stoppen de orderverwerking van het bedrijf, het mailverkeer en de geautomatiseerde productie via het SCADA systeem. Het bedrijf betaalt losgeld, maar de aanvallers eisen meer geld omdat zij al hebben uitgezocht dat er meer geld in kas moet zijn. Na drie betalingen wordt de blokkering opgeheven. Er is geen enkele zekerheid dat de aanvaller op enig moment de malware weer kan activeren. Het bedrijf heeft geen back-up strategie waardoor het opschonen van alle computers tijdrovend wordt en met productieverlies gepaard gaat.

Praktijkvoorbeeld 2: Sterke stijging van netwerkverkeer waardoor systemen traag worden

Dreigingsontwikkeling

Een bezoeker komt aan de balie met het dringende verzoek een document te printen dat belangrijk is voor het gesprek dat hij zo dadelijk heeft. De baliemedewerker krijgt een USB-stick en steekt deze in de netwerk balie PC. Via deze USB-stick wordt malware overgebracht en geïnstalleerd, die zich verder over het netwerk kan verspreiden. De malware zoekt continue verbinding met externe servers. Dit genereert veel netwerkverkeer. De besmette computers die verbinding maken met externe servers worden een onderdeel van een botnet.

Consequenties

Het sterk toegenomen netwerkverkeer maakt het netwerk traag en veroorzaakt een bijna onwerkbare situatie. De besmette systemen worden gebruikt in een botnet voor criminele doeleinden, en door gebruik van de rekencapaciteit worden de systemen ook nog eens traag. Doordat er geen schone back-up is, moeten alle systemen geformatteerd en opnieuw geïnstalleerd worden en zijn veel bestanden verloren gegaan. Doordat er geen incident management draaiboek is, duurt herstel heel lang omdat er steeds systemen opnieuw geïnfecteerd raken.

Praktijkvoorbeeld 3: Toetsenbord wordt uitgelezen door draadloze keylogger (apparaat dat alle toetsaanslagen van de gebruiker opslaat)

Dreigingsontwikkeling

Een bezoeker plaatst op een onbewaakt moment een draadloze keylogger tussen het toetsenbord en de computer op de financiële administratie. De computer staat tien meter van het raam. Aan de andere kant van het raam zijn openbare parkeerplaatsen. De draadloze keylogger heeft een bereik van circa 50m. De aanvaller detecteert de toetsaanslagen en weet hierdoor de bank inloggegevens van het bedrijf te bemachtigen.

Consequenties

De consequenties van het hebben van bankdetails laten zich raden. Keyloggers zijn ook software matig beschikbaar. Wanneer keyloggers op bedrijfssystemen geïnstalleerd worden kan er veel gevoelige informatie worden gestolen waardoor enorme schade kan ontstaan.

Praktijkvoorbeeld 4: Onachtzaamheid en/of onwetendheid van gebruikers

Dreigingsontwikkeling

  1. Een gebruiker plaatst een willekeurige USB-stick of draagbare harde schijf in de USB-poort van een bedrijf kritisch systeem.

  2. Door ontbrekende toegangsniveaus voor gebruikers is een operator in staat configuratiewijzigingen in een SCADA systeem aan te brengen (de operator heeft ADMINISTRATOR rechten)

  3. Een operator in nachtdienst installeert software op het SCADA systeem om zich ’s nachts te vermaken. Aan het einde van zijn shift verwijdert hij de software weer netjes. Hij verwijdert daarbij te veel bestanden waardoor het SCADA systeem stopt.

  4. De programmeur van een kritische firewall wordt tijdens het configureren gebeld. Hij was net bezig een verbinding te testen door even kort alle netwerkverkeer toe te staan. Na het telefoongesprek vergeet hij de testinstelling en staat de firewall langdurig open voor alle verkeer.

Consequenties

Alle vier scenario’s hebben minimaal de kans voor kortstondig productieverlies in zich met een aanzienlijke kans op langdurig productieverlies.