Informatiebeveiliging gaat niet alleen over digitaal

vliegtuig Boeiing informatiebeveiliging

Traditioneel gaat bij informatiebeveiliging de aandacht uit naar de systemen. Bij een enigszins volwassen organisatie speelt het proces achter de techniek nog een rol. In de komende jaren zal dat in rap tempo veranderen: fysiek en ‘cyber’ zijn nauw verbonden en vroeg of laat gaan we ons dat realiseren. Dat dwingt tot een andere blik, andere risico-inschattingen en maatregelen.

Het was ooit zo simpel: informatiebeveiliging ging over virussen, of over iemand die ten onrechte toegang kreeg tot een machine. Maar die 20ste-eeuwse digitale risico’s worden nu aangevuld met de huidige dreigingen: het niet kunnen benaderen van e-mail, verminderde productiviteit van een organisatie, het vernietigen van gegevens of informatie die in handen van een crimineel of concurrent valt.

Zwakke software met dodelijke afloop

Toen Boeing in 2019 door beveiligingsonderzoeker Chris Kubecka werd gewezen op zwakheden in de software van diverse systemen, wees de vliegtuigbouwer erop dat dergelijke zwakheden niet uniek zijn voor de luchtvaart. Dit komt wel vaker voor in de ICT-industrie. De pijnlijke miskenning is dat software bij dit bedrijf verantwoordelijkheden betreft die veel verder gaan dan van een administratief systeem. Dat de genoemde zwakheden varieerden van mailsystemen tot software voor vliegtuigen – in die software zaten ook aanwijsbare fouten – maakt de dreiging veel fysieker. In een wereld met statelijke actoren, die ‘cyber’ tot oorlogsmiddel verklaren, zijn dit soort zwakheden de natte droom van twijfelachtige regimes.

Natuurlijk had Boeing de fysieke dreiging, naar aanleiding van de Kubecka’s onderzoek, moeten onderkennen. Eerder, in oktober 2018 was namelijk een Boeing 737-Max neergestort. Eenzelfde drama gebeurde een klein half jaar later. In beide gevallen overleefde niemand van de in totaal 346 passagiers en bemanningsleden het ongeluk. De boosdoener bleek een softwarecomponent van het vliegtuig: het Maneuvering Characteristics Augmentation System (MCAS). Dit is software om de invalshoek van de vliegtuig bij te sturen. De ICT-ambities waren zover doorgeslagen dat een lampje dat waarschuwt als het systeem in werking is tegen optionele meerprijs te verkrijgen was. Ook andere bugs bij de 737-Max en de 777-x met de besturing maken pijnlijk duidelijk dat een aanval op de software hele nieuwe scenario’s opent.

Onlosmakelijk aan het fysieke verbonden

Het voorbeeld staat niet op zichzelf. De Onderzoeksraad voor Veiligheid deed twee jaar lang onderzoek naar ziekenhuizen en de risico’s rond de ICT. De conclusie is even schokkend als voorspelbaar: een verstoring brengt de primaire zorg ernstig in gevaar. Het risico voor patiënten is overigens niet daar alleen aanwezig, maar zit ook in de afhankelijkheid van technologie voor een diagnose, medicatie of een behandelplan. Wederom: een fout kan hier dodelijk zijn.

Ook de hacks op de Gemeente Lochem, Hof van Twente of Buren hadden hun fysieke uitwerking. Bijvoorbeeld in primaire processen, onder meer de balie, die gedurende korte of langere tijd kwamen stil te liggen. De Universiteit van Maastricht stond voor de keuze, de hackers betalen of twee maanden dicht. Vergelijkbare situaties deden zich voor bij een winkelketen als MediaMarkt, de productiestraat van VDL, het platleggen van een olieleiding van Colonial Pipeline of logistieke bedrijven als Van der Helm Logistics en Bakker Logistiek. Allemaal voorbeelden van digitale incidenten met een sterke fysieke uitwerking.

Technologie is dus prima in te zetten om een doel in het fysieke domein te realiseren. De Britse politie openbaarde een paar jaar geleden een video om te laten zien hoe autodieven met behulp van tablets een contactloze sleutel in een woning linkten aan een auto, waardoor deze te openen was. Door de sleutel direct te klonen werd de auto zonder enige schade gestolen. Waar in de haven vroeger nog een douanier moest worden omgekocht om een container (met drugs) door te laten, is inmiddels de eerste veroordeling voor een hack die precies hetzelfde op digitale wijze regelt een feit.

Andere risico-inschattingen

Bij het maken van risico-inschattingen worden de risico’s in de fysieke wereld steeds meer in relatie gebracht met de digitale wereld. Recent waren er meerdere incidenten waarbij hackers de besturing van een ‘slimme’ auto konden overnemen. Er is weinig fantasie voor nodig om te bedenken welke enorme schade en menselijk leed een terrorist kan aanrichten als deze één of meerdere auto’s overneemt. Of een statelijke actor die met dit middel dreigt de avondspits om te toveren in een landelijk verkeersinfarct.

Voor een crimineel is de zwakheid in een systeem een middel om aan geld te komen. Daarbij zijn de scenario’s legio, zoals dreigen met het laten crashen of lamleggen van auto’s, of auto’s de toegang tot Schiphol laten blokkeren, of auto’s om 16:42 uur op de A12 een noodstop laten maken. Of de crimineel dit nu daadwerkelijk doet of ermee dreigt, doet er nauwelijks meer toe. Er zijn altijd slachtoffers met een belang die bereid zijn om te betalen: de autofabrikant, overheden, verzekeraars of een luchthaven. Een andere gedachte is om een slachtoffer niet te vragen om geld, maar om short te gaan op aandelen van het bedrijf en vervolgens simpelweg de aanval(len) uit te voeren.

Het is duidelijk. Het spel rond informatiebeveiliging is nu en de komende jaren onlosmakelijk verbonden met de fysieke realiteit. Die combinatie van dreigingen vereist een grotere aandacht voor de keten, omdat het nemen van de maatregel soms niet meer behoort tot de span of control van de organisatie met de ICT-oplossing. De gehackte logistieke partner veroorzaakt dat de kaas verdwijnt uit de supermarktschappen, de stilstaande Boeing-vliegtuigen slaan een gat in de capaciteit van luchtvaartmaatschappijen en een slechte software-update van een auto kan Nederland logistiek lamleggen. De traditionele digitale beveiliger zal zijn fysieke evenknie niet alleen moeten tolereren, maar daar een intensieve samenwerking mee moeten zoeken.

Lees ook:

Brenno de Winter

brenno de winter werkt al heel lang in IT

Gerelateerde berichten...