De Nederlandse infrastructuur moet beter beschermd worden tegen digitale aanvallen van buitenaf. Maar van het digitale gevaar zijn we ons nog lang niet altijd bewust.
Waarom cybersecurity meer aandacht verdient
Dat was de boodschap tijdens het cybersecurity-event van 'smart infra branchevereniging' ASTRIN op 4 april in Bussum.
Want in onze infrawerken krijgt cybersecurity nog lang niet altijd voldoende aandacht. Dat toonde Thomas Stols, ethical hacker bij CompuTest, met een aantal treffende voorbeelden aan tijdens zijn keynote. Zo hackte zijn bedrijf in 2008 het multimediasysteem van een bepaald type Volkswagen-auto, waardoor het kon meeluisteren via de microfoon van alle auto’s van Volkswagen AG die dit systeem gebruikten. En in 2012 werd het gemaal bij Veere gehackt, simpelweg omdat het wachtwoord ‘veere’ was.
Security by design
De Chief Information Security Officer van Rijkswaterstaat, Sandor de Coninck, kwam daar later op terug tijdens zijn keynote. Uit een audit van de Rekenkamer in 2012 bleek dat nul objecten van Rijkswaterstaat ‘cybersecure’ waren. “Sommige systemen bij onze gemalen zijn al 25 jaar oud.”
Sindsdien is er veel veranderd, aldus De Coninck: Rijkswaterstaat heeft inmiddels een cybersecuritystrategie en een team van 21 securityspecialisten werkt vanuit het security centre. “In de systeemeisen van de aanbesteding nemen we ook ‘security by design’ mee. We willen graag naar één beveiligingssysteem voor de infraketen. Nu heeft ieder object vaak nog een eigen systeem: dat is lastiger beheren.”
Zo sterk als je zwakste schakel
“In het netwerk aan objecten ben je zo sterk als je zwakste schakel”, vertelde De Coninck. Hij bedoelt: je kunt je netwerk nog zo goed beveiligen, maar als één waterschap een slecht beveiligd systeem heeft kan een hacker in het hele netwerk terecht. “En de techniek die vandaag nieuw is, is morgen weer oud. Dus je moet continu innoveren.”
Dat vertelde ook Thomas Stols, eerder die dag. De ethical hacker vroeg zich af of het wel slim is om alles maar smart te maken. “Het is leuk dat je verlichting smart geregeld wordt, maar is het ook noodzakelijk? Willen we het wel?” In een filmpje liet hij zien hoe een drone de verlichting van gebouwen hackt.
Natuurlijk, de nieuwste technologieën beïnvloeden onze manier van leven, werken en zakendoen. Daarover vertelde de derde keynote en futurist Richard van Hooijdonk. Tijdens het napraatje gingen de deelnemers met elkaar in gesprek over ‘Welke actie verwacht je van een ander en hoe ga je daar zelf een succes van maken?’
Uit de gesprekken bleek dat er nog veel te doen is. Het begint bij bewustwording creeëren: iedereen die in de keten van infratechniek een rol heeft, moet zich bewust zijn van zijn eigen rol en zorgen dat hij en zijn organisatie niet de zwakste schakel vormen. Een schone taak voor ASTRIN.
Tips
Stols had nog een aantal tips om de systemen van jouw organisatie zo goed mogelijk te beveiligen.
- Werk via een VPN-verbinding en maak gebruik van een gesloten netwerk.
- Zorg ervoor dat je computer ‘automatisch updaten’ toepast.
- Zorg ervoor dat je je wachtwoord vaak bijwerkt en gebruik geen voor de hand liggend wachtwoord.
- Maak binnen je organisatie duidelijke afspraken over hoe je met cybersecurity omgaat.
En, ten slotte: een wachtwoord van 8 tekens, waarvan 1 hoofdletter, 1 getal en 1 symbool, zoals Microsoft voorschrijft heeft Stols je wachtwoord binnen één dag geraden. Bij 9 tekens kan dat een week zijn, bij 10 tekens zelfs een jaar. “Ik zou aanraden om van je wachtwoord een zin te maken, inclusief spaties. Steeds meer IoT-producten kunnen die rekenkracht aan.”
Of, zoals Rijkswaterstaat-specialist De Coninck later tegen de zaal zou zeggen: “Wie gebruikt er Microsoft-producten? Ja, jullie zijn dus allemaal lek”.
Bekijk ook dit sfeerverslag:
Reactie toevoegen