Expert: hackers penetrerende besturingssystemen

De netwerken voor industriële besturingssystemen zijn geschonden meer dan 125 keer in het afgelopen decennium, met een resulterend in Amerikaanse sterfgevallen, zei een expert op het gebied van besturingssystemen donderdag.

Joseph Weiss, managing partner van Control Systems Security Consultancy Applied Control Solutions, heeft de overtreding die de dood veroorzaakte niet gedetailleerd beschreven zijn getuigenis voor een Amerikaanse Senaatscommissie, maar hij zei dat hij bewijs kon vinden van meer dan 125 schendingen van de controlesystemen met systemen in kerncentrales, waterkrachtcentrales, waterbedrijven, de olie-industrie en de agribusiness.

"De gevolgen varieerde van triviale tot aanzienlijke milieuschade tot aanzienlijke materiële schade aan sterfgevallen, "vertelde hij de Senaatscommissie Handel, Wetenschap en Transport. "We hebben al een cyberincident in de Verenigde Staten gehad dat mensen heeft gedood."

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Op andere momenten sprak Weiss over een benzine uit juni 1 pijpleidingbreuk dichtbij Bellingham, Washington. Die breuk morste meer dan 200.000 gallons benzine in twee kreken, die drie mensen ontstaken en doodden. Onderzoekers ontdekten verschillende problemen die hebben bijgedragen tot de breuk, maar Weiss heeft een computerstoring in de centrale controlekamer van de pijpleiding geïdentificeerd als onderdeel van het probleem.

Het kan de VS lang duren om uit gecoördineerde aanvallen op infrastructuur te graven met behulp van controle systemen, vertelde Weiss aan senatoren. Het kan enkele weken duren om beschadigde apparatuur te vervangen, zei hij. Een gecoördineerde aanval 'zou verwoestend kunnen zijn voor de Amerikaanse economie en veiligheid', zei hij. "We praten over maanden om te herstellen. We hebben het niet over dagen."

De industrie van het industriële regelsysteem zit jaren achter de IT-industrie in de bescherming van cyberbeveiliging, en sommige technieken die worden gebruikt in IT-beveiliging zouden controlesystemen beschadigen, Weiss toegevoegd. "Als je een verouderd industrieel besturingssysteem gebruikt om de penetratie te testen, sluit je het af of dood je het," zei hij. "U wordt uw eigen hacker." Een deel van het probleem is dat er slechts een handvol leveranciers van besturingssystemen zijn en dat hun architectuur en standaardwachtwoorden dezelfde zijn voor elke leverancier, zei Weiss. Bovendien zijn er waarschijnlijk minder dan 100 deskundigen op het gebied van cybersecurity voor besturingssystemen over de hele wereld en Amerikaanse universiteiten hebben geen curricula gericht op cybersecurity voor besturingssystemen, voegde hij eraan toe.

Aanvallen komen van buitenstaanders, maar ook van werknemers of voormalige werknemers, Weiss zei. "Ik geloof dat de dreiging toeneemt, niet alleen vanwege natiestaten … maar omdat de economische neergang veel ontevreden maar goed geïnformeerde tegenstanders heeft gecreëerd", zei hij. Weiss gaf drie voorbeelden van zaken waarbij ontevreden werknemers betrokken waren, waaronder een recente zaak in Californië., waar een medewerker de lekdetectiesystemen in drie olieboortorens voor de kust uitschakelde. Senatoren pleitten voor meer aandacht voor cyberbeveiliging in de Amerikaanse overheid en de particuliere industrie. "Het is heel belangrijk dat mensen weten dat cybersecurity niet alleen gaat over het beschermen van onze overheidsnetwerken tegen landen met terroristen of hackers die onze geheimen willen", zei Senator Jay Rockefeller, een democraat uit West Virginia en commissievoorzitter. "Het gaat erom de kritieke infrastructuur van onze natie te beschermen tegen cyberaanvallen die de handel en de economie ernstig kunnen schaden en die absoluut verwoestend zijn." Te veel inwoners van de VS denken niet of weten niet over de voortdurende cyberaanvallen, voegde Rockefeller eraan toe. James Lewis, directeur van het Technology and Public Policy-programma bij het Centrum voor Strategische en Internationale Studies, riep het Congres ook op zich te concentreren op traditionele IT-beveiliging naast controlesystemen. Op dit moment wordt intellectueel eigendom in de VS in gevaar gebracht en die verliezen zullen de concurrentiepositie op lange termijn van de natie schaden, zei hij.

Hoewel besturingssystemen een potentieel voor aanvallen kunnen zijn, "worden we nu aangevallen", zei Lewis. "Ik maak me meer zorgen over het verlies van informatie. Op dit moment worden we beroofd door buitenlandse entiteiten van onze meest waardevolle technologie, en dat moeten we stoppen."