Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet?

Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet? Cybersecurity – Toezicht en risico’s in het Rotterdam Rijnmondgebied

Masterscriptie Criminologie Door: Laura Lormann-Zwartelé [346795] Begeleider Erasmus Universiteit: Mw. Dr. J.G. van Erp Tweede lezer: drs. C.G. van Wingerde Begeleider DCMR Milieudienst: Dhr. Marcel Stigter Datum: 18 december 2014

Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet? Afstudeeronderzoek Master Criminologie | Erasmus School of Law | Laura Lormann-Zwartelé (346795) | 2014

VOORWOORD Ruim vier jaar geleden ben ik teruggekomen van een tropisch eiland om eindelijk een universitaire studie te gaan volgen. Criminologie is het geworden en hier heb ik geen seconde spijt van gehad. Al weer meer dan een jaar geleden ben ik begonnen aan mijn afstudeertraject. Zeer blij was ik te zien dat er een onderwerp op het gebied van cybersecurity werd aangeboden met een stageplaats, waar ik voor werd uitgekozen. In dit voorwoord wil ik vooral een aantal mensen bedanken. Allereerst mijn familie. Ik begon aan de opleiding als alleenstaande moeder van een geweldige zoon. Inmiddels zijn er tijdens de studie twee kinderen bijgekomen en ben ik getrouwd. Lieve Luuk, bedankt dat je een geweldige man en vader bent en mij de mogelijkheid hebt gegeven deze studie te voltooien. En lieve kinderen, Jack, Lyra, Gus, een studerende moeder is niet altijd makkelijk, het stress gehalte was soms hoog. Jullie beseffen het nu misschien niet, maar het was niet altijd eenvoudig om het gezin te combineren met de studie. Bedankt voor jullie altijd stralende gezichtjes die me er steeds weer aan hebben herinnerd waar ik het voor doe. En uiteraard grote dank aan mijn eigen lieve moeder en ook mijn schoonouders die de kinderen bijna wekelijks hebben opgevangen zodat ik kon studeren. Ook is mijn dank groot aan mijn stagebegeleider Marcel Stigter van de DCMR Milieudienst Rijnmond. Hij heeft mij op een dusdanige manier kennis laten maken met de Rotterdamse haven dat ik het gevoel heb een nieuwe wereld heb leren kennen. Bedankt voor het vertrouwen en de zeer fijne samenwerking. Daarnaast wil ik graag mijn begeleider dr. Judith van Erp bedanken. Zonder haar interesse in dit onderwerp had mijn afstudeerscriptie hier nu niet gelegen, in ieder geval niet over dit onderwerp. Veel respect heb ik gedurende de studie gehad over haar colleges, en haar doortastendheid bewonder ik. Nooit had ik verwacht dat ik zo lang over het afronden van deze scriptie zou doen. Het gezegde “de laatste loodjes wegen het zwaarst” kan ik inmiddels volmondig beamen. Hoe dichterbij het afronden naderde, hoe zenuwachtiger ik werd of mijn onderzoek wel aan de verwachtingen zou voldoen. Het gevoel dat ik door de mand zou vallen en de plank volledig had misgeslagen overviel mij regelmatig. Bedankt Marcel en Judith dat jullie mij hier doorheen hebben gesleept en mij het vertrouwen hebben teruggegeven. Speciale dank gaat ook uit naar Allard Dijk, promovendus SpySpot bij Defensie. Als criminoloog had ik nog weinig verstand van ICT, cybersecurity en procesbesturing waren geheel nieuwe onderwerpen voor me. Aan het begin van mijn onderzoek ben ik voorzichtig de juiste richting in geholpen met literatuur en informatie over de beveiliging van procesbesturingssystemen. Allard, bedankt voor het nalezen van deze scriptie en controleren of met name het technische gedeelte van het onderzoek geen onjuistheden vertoont. Verder kan ik nog wel even doorgaan, het afgelopen jaar heb ik geweldige mensen mogen ontmoeten. De gastvrijheid en behulpzaamheid van Peter van Loo en Bas Janssen van Deltalinqs zal ik niet vergeten, de Zeehavenpolitie en daar met name Arie Roos bedankt voor het meevaren en de verdere interesse die je hebt getoond. Het Regenboogteam waarmee ik de Middenkaderdag 2014

2


heb mogen organiseren en waar ik dit onderzoek heb mogen presenteren. Ik kan nog wel door blijven gaan. Kortom, mijn dank is groot voor iedereen die mij bij heeft gestaan het afgelopen jaar!

Laura Lormann-Zwartelé Klundert, december 2014

3


Inhoudsopgave HOOFDSTUK 1 INLEIDING EN ONDERZOEK ........................................................ 7 1.1

Inleiding en aanleiding ............................................................................................................ 7

1.1.1 1.2

Inleiding ........................................................................................................................... 7

Probleemstelling en deelvragen.............................................................................................. 9

1.2.1

Probleemstelling.............................................................................................................. 9

1.2.2

Deelvragen....................................................................................................................... 9

1.2.3

Afbakening en terminologie .......................................................................................... 10

1.3

Onderzoeksmethoden ........................................................................................................... 13

HOOFDSTUK 2 CYBERSECURITY PROCESBESTURINGSSYSTEMEN ..................... 16 2.1

Inleiding in de automatisering en de pocesbesturingssystemen .......................................... 16

2.1.1

Waartegen wordt er beveiligd?..................................................................................... 16

2.1.2

Automatisering .............................................................................................................. 16

2.1.3

Verbinding van procesbesturingssystemen met internet ............................................. 18

2.2

Cybercriminaliteit in de procesindustrie ............................................................................... 19

2.2.1

Doelen en motieven ...................................................................................................... 19

2.2.2

Modus operandi ............................................................................................................ 23

2.3

Cybercriminaliteit op procesbesturingssystemen ................................................................. 25

2.3.1

Honeypots ..................................................................................................................... 25

2.3.2

Potentiële daders van cyberaanvallen op procesbesturingssystemen ......................... 29

2.4

Conclusie hoofdstuk 2 ........................................................................................................... 33

HOOFDSTUK 3 KWETSBAARHEDEN IN DE PROCESBESTURINGSSYSTEMEN ...... 35 3.1

Algemeen............................................................................................................................... 36

3.2

Netwerkarchitectuur ............................................................................................................. 39

3.3

Rollen en rechten .................................................................................................................. 48 4


3.4

Vaardigheden en eindgebruikers .......................................................................................... 49

3.5

Beleidsdocumenten............................................................................................................... 51

3.6

RIPE Framework als meetinstrument .................................................................................... 58

3.7

Conclusie hoofdstuk 3 ........................................................................................................... 58

HOOFDSTUK 4 MAATSCHAPPELIJKE EN JURIDISCHE (MEDE)VERANTWOORDELIJKHEID ................................................................... 59 4.1

Maatschappelijke (mede)verantwoordelijkheid ................................................................... 59

4.1.1

Toezichtsparadox in een risicosamenleving .................................................................. 60

4.1.2

De risicosamenleving: van fysiek naar digitaal .............................................................. 62

4.1.3

Smart regulation ............................................................................................................ 64

4.1.4

Systeemgericht toezicht ................................................................................................ 65

4.1.5

Zelfregulering ................................................................................................................ 66

4.1.6

Publieke belangen als uitgangspunt .............................................................................. 68

4.1.7

Wat de overheid moet doen of wat de overheid kan doen? ........................................ 69

4.1.8

Conclusie maatschappelijke (mede)verantwoordelijkheid ........................................... 70

4.2

Juridische (mede)verantwoordelijkheid................................................................................ 70

4.2.1

Wet milieubeheer.......................................................................................................... 70

4.2.2

Vergunningen ................................................................................................................ 71

4.2.3

Meldplicht ..................................................................................................................... 72

4.2.4

BRZO .............................................................................................................................. 73

4.2.5

Fysieke beveiliging vs cyber security ............................................................................ 76

4.2.6

Jurisprudentie ................................................................................................................ 76

4.2.7

Conclusie juridische (mede)verantwoordelijkheid........................................................ 78

HOOFDSTUK 5 CONCLUSIE EN DISCUSSIE ......................................................... 80 5.1

Samenvatting hoofdbevindingen .......................................................................................... 80

5.1.1 Welke vormen van cybercriminaliteit zijn een risico voor de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag?.................................................................. 80 5


5.1.2 Wie zijn de mogelijke daders van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag?.................................................................. 80 5.1.3 Wat zijn mogelijke gevolgen van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag?.................................................................. 82 5.1.4 In hoeverre zijn de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag in het Rotterdam Rijnmond gebied kwetsbaar voor cybercriminaliteit en vormt de hyperconnectiviteit tussen deze bedrijven een extra risico?........................................................ 82 5.1.5 In hoeverre heeft een RUD maatschappelijke (mede)verantwoordelijk voor toezicht en handhaving op cybersecurity van de procesbesturingssystemen van BRZO-bedrijven in de (petro)chemische industrie en in de open overslag van natte bulk?.......................................... 84 5.1.6 Is er een wettelijke basis voor een RUD om toezicht te houden en te handhaven bij BRZO-bedrijven in de (petro)chemische industrie en in de open overslag op het gebied van cybersecurity van de procesbesturingssystemen? ....................................................................... 85 5.2 Beantwoording centrale probleemstelling en uiteindelijke conclusie ........................................ 86 5.2.1 Implicaties ............................................................................................................................ 86

Literatuurlijst 87

BIJLAGE

SURVEY VRAGEN ......................................................................... I

6


HOOFDSTUK 1 INLEIDING EN ONDERZOEK In de criminologie wordt vaak onderzoek gedaan naar traditionele vormen van criminaliteit. Dit onderzoek richt zich niet op deze traditionele vormen, maar gaat in op de digitale dreigingen in de huidige samenleving. Er lijkt nog een kloof te zijn tussen de wereld van fysieke dreigingen en de wereld van digitale dreigingen. Integratie tussen deze werelden is van belang om met de ontwikkelingen mee te gaan. Een expert op het gebied van (digitale) veiligheid en contraspionage, de Amerikaan Joel F. Brenner, heeft een artikel geschreven over de rol van overheidsbestuur in het nemen van maatregelen om schade door cyberaanvallen te voorkomen. Met dit citaat geeft Brenner (2013) mijns inziens de kloof tussen de wereld van fysieke dreigingen en de wereld van digitale dreigingen goed weer: “Operational and physical security – guns, gates, and guards – are traditionally run by the corporate cops. Information security is traditionally run by the geeks in the wire closet. These two groups do not speak the same language, have different social and educational backgrounds, and do not usually get along. But bifurcating security is no longer intelligent. Doors, alarms, and other physical security measures are largely run out of that wire closet now.” Brenner, 2013, p.19 Met dit onderzoeksrapport wil ik de digitale dreigingen en kwetsbaarheden in de procesindustrie een plaats geven binnen de criminologie.

1.1

Inleiding en aanleiding

1.1.1 Inleiding Cybercriminaliteit is een belangrijk onderwerp van discussie geworden. Cybersecurity is voor velen een ongrijpbaar fenomeen en behalve ICT-ers lijkt men nog niet goed te weten hoe met dit onderwerp om te gaan. In de procesindustrie heeft men te maken met kwetsbare procesbesturingssystemen. Is een doelbewuste inbreuk op de procesbesturingssystemen in de Rotterdamse Haven en industrie mogelijk? Ongewenste beïnvloeding van vitale processen, wordt hiermee een sciencefiction beeld geschetst of is dit een scenario om op voorbereid te zijn? Nederland kent meerdere vitale sectoren die vatbaar zijn voor cyberciminaliteit. Hieronder valt de havenlogistieke sector, en ook de petrochemie en de natte bulk opslag worden hierbij genoemd. Vooral procesbesturingssystemen krijgen steeds meer aandacht van hackers. Op het moment dat een doelbewuste inbreuk op een procesbesturingssysteem succesvol zou zijn, kan dit ernstige schade opleveren voor mens, milieu en voor de economie. Een belangrijke vraag hierbij is of regionale uitvoeringsdiensten een rol hebben om dit te voorkómen en toezicht te gaan houden op de cybersecurity van de procesindustrie. 7


In dit afstudeeronderzoek staat cybersecurity in de procesindustrie centraal. Dit is nog een vrij nieuw gebied van onderzoek. Er is een digitale ontwikkeling gaande waarin allerlei op ICT gebaseerde producten en -diensten aan het internet worden gekoppeld en tegelijkertijd aan andere producten en diensten. Dit biedt vele voordelen, maar hierdoor ontstaan ook nieuwe veiligheidsrisico’s. In het fysieke domein is het gebruikelijk om nieuwe producten en diensten te voorzien van veiligheids- en kwaliteitseisen. In het digitale domein is dit nog niet vanzelfsprekend (NCTV, 2013). Reeds in 2005 schreven Hahn et al over cybersecurity. Zij stellen dat het van belang is dat er actie wordt ondernomen om kwetsbaarheden te verminderen en hiermee de kans op een succesvolle cyberaanval te verkleinen. Vitale infrastructuren, waartoe de chemische industrie behoort, moeten zich proactief opstellen en de eigendommen beschermen tegen cyberaanvallen om de veiligheid van medewerkers, het publiek en het milieu te kunnen garanderen (Hahn et al, 2005). Inmiddels dringt dit ook steeds verder in Nederland door en wordt door het Nationaal Coördinator Terrorismebestrijding en Veiligheid erkend dat vitale infrastructuren vaker het doel zijn van cyberaanvallen (NCTV, 2013). Het NCTV adviseert de overheid dan ook om kader- en normstellend op te treden bij vitale diensten (NCTV, 2013). Het NCTV heeft cybersecurity ook op de politieke agenda gezet, door in 2011 de eerste Nationale Cybersecurity Strategie uit te brengen. Het doel hiervan was bewustwording creëren in Nederland. Inmiddels is de tweede Nationale Cybersecurity Strategie uitgegeven. Hierin heeft het NCTV ook de wens uitgesproken aan (sectorale) toezichthouders om de rol te verbreden om ook cybersecurity te omvatten (NCTV, 2013). De DCMR Milieudienst Rijnmond (DCMR) is als Regionale Uitvoeringsdienst (RUD) toezichthouder en is de opdrachtgever van dit onderzoek. Op allerlei vlakken wordt de veiligheid in deze sector al aangescherpt. Het toezicht lijkt zich nog voornamelijk te richten op dreigende calamiteiten en op het naleven van vergunningeisen. Echter worden in de chemische industrie bijna alle processen al digitaal aangestuurd. Wanneer iemand met kwade bedoelingen van buitenaf inbreekt in de besturingssoftware, dan kan dit een risico opleveren voor het milieu en voor de fysieke veiligheid. In de petrochemie en in de open overslag moet dan ook rekening worden gehouden met de mogelijkheid op cybercrime. Bedrijven in het Rijnmondgebied werken veel samen. Er wordt gebruik gemaakt van elkaars voorzieningen en faciliteiten. Dit wil zeggen dat ICT-netwerken van verschillende bedrijven aan elkaar kunnen zijn gekoppeld. Naast de procesveiligheid moet er dan ook worden gelet op de cyberveiligheid. Gezien de samenwerking, ofwel de hyperconnectiviteit in de regio, kan het zijn dat een slechte cybersecurity van één bedrijf een risico oplevert voor de hele keten van aangesloten bedrijven. Het goed beveiligen van de digitale infrastructuur lijkt dus alleen echt zinvol als alle aangesloten bedrijven cybersecurity serieus nemen. Voor de overheid ligt hier een nieuwe vraag, in hoeverre zal de overheid zich moeten gaan bemoeien met cybersecurity in de procesindustrie? Moet de overheid toezicht houden op de mate waarin bedrijven de cybersecurity van de procesbesturingssystemen regelen? De vraag in hoeverre overheidsdiensten een rol moeten gaan spelen in de digitale beveiliging van de procesindustrie is reeds vaker gesteld. In eerste instantie lijkt deze verantwoordelijkheid vooral bij het bedrijf zelf te liggen. Wanneer blijkt dat er een incident plaats heeft gevonden door een gebrekkige cybersecurity bij een bedrijf in de (petro)chemische industrie of in de open overslag van chemische producten, kan een toezichthouder hier dan (mede)verantwoordelijk voor worden gehouden? Dit zijn 8


belangrijke vragen waar overheidsdiensten over na moeten denken. En wanneer blijkt dat zij hierin een rol hebben, dan is de vraag relevant of er een maatschappelijke en/of een juridische basis is voor het bevoegd gezag om op te kunnen treden en bedrijven te kunnen dwingen om de digitale beveiliging van de procesbesturingssystemen op orde te hebben. Deze vragen komen in dit onderzoek aan bod.

1.2

Probleemstelling en deelvragen

1.2.1 Probleemstelling Voor deze afstudeerscriptie is onderzoek gedaan naar de digitale beveiliging van de procesbesturingssystemen in het Rotterdamse havengebied en de mogelijke rol van een regionale uitvoeringsdienst hierbij. De centrale probleemstelling van dit onderzoek luidt als volgt: Wat zijn de kwetsbaarheden in de cybersecurity op de procesbesturingssystemen in de petrochemische industrie en in de open overslag van natte bulk inzake het voorkomen van fysieke milieu- en veiligheidsschade en in hoeverre heeft een Regionale Uitvoeringsdienst (RUD) maatschappelijke en juridische (mede)verantwoordelijkheid met betrekking tot milieu- en veiligheidsschade ontstaan door een ontoereikende cybersecurity? De probleemstelling bestaat uit twee delen. Allereerst wordt een verkennend onderzoek uitgevoerd om inzicht te verkrijgen in de dreigingen en de kwetsbaarheden van de procesbesturingssystemen en in de fysieke milieu- en veiligheidsrisico’s van onvoldoende cybersecurity in de industrie. Daarna wordt onderzocht waar de maatschappelijke en juridische (mede)verantwoordelijkheid ligt ten aanzien van het toezicht op cybersecurity voor een RUD. Vanuit de DCMR Milieudienst is er de vraag gekomen, mocht er toezicht nodig zijn op de cybersecurity in de procesindustrie, onder welke wettelijke en/of maatschappelijke basis er bevoegdheid is om dergelijk toezicht te houden en te kunnen handhaven op het gebied van cybersecurity. Om inzicht te krijgen in de dreigingen en de kwetsbaarheden van de procesbesturingssystemen wordt een selectie bedrijven uit de (petro)chemische industrie en de open overslag van natte bulk in het Rotterdam Rijnmond gebied onderzocht, alleen BRZO-bedrijven1 zijn hierin meegenomen. 1.2.2 Deelvragen Om antwoord te kunnen geven op de probleemstelling, zijn de volgende deelvragen onderzocht: 1. Welke vormen van cybercriminaliteit zijn een risico voor de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag? 2. Wie zijn de mogelijke daders van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag? 3. Wat zijn mogelijke gevolgen van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag?

1

BRZO-bedrijven zijn bedrijven die vallen onder het Besluit Risico’s Zware Ongevallen uit 1999. In paragraaf 1.2.3, wordt dit begrip uitgebreider besproken.

9


4. In hoeverre zijn de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag in het Rotterdam Rijnmond gebied kwetsbaar voor cybercriminaliteit en vormt de hyperconnectiviteit tussen deze bedrijven een extra risico? 5. In hoeverre heeft een RUD maatschappelijke (mede)verantwoordelijk voor toezicht en handhaving op cybersecurity van de procesbesturingssystemen van BRZO-bedrijven in de (petro)chemische industrie en in de open overslag van natte bulk? 6. Is er een wettelijke basis voor een RUD om toezicht te houden en te handhaven bij BRZObedrijven in de (petro)chemische industrie en in de open overslag op het gebied van cybersecurity van de procesbesturingssystemen?

1.2.3 Afbakening en terminologie Het Rotterdam-Rijmondgebied waar de DCMR Milieudienst werkzaam is, heeft een hoog risicoprofiel (Rampbestrijdingsplan BRZO). Kenmerkend aan dit gebied is de hoge concentratie bedrijven die een hoog risico met zich mee brengen. In dit onderzoek worden alleen de bedrijven meegenomen die onder het Besluit Risico’s Zware Ongevallen (BRZO) vallen en die werkzaam zijn in de (petro)chemische industrie en/of de open overslag van met name vloeibare grondstoffen, dit wordt natte bulk genoemd.

Foto 1: Natte bulk opslag tank (eigen foto)

In dit onderzoek worden dus twee verschillende sectoren meegenomen. De eerste sector is de (petro)chemische industrie. Hieronder vallen onder andere raffinaderijen. Raffinaderijen vormen een belangrijk onderdeel van de Rotterdamse haven en volgens het Havenbedrijf Rotterdam is er sprake van een synergie tussen meer dan 45 (petro)chemische bedrijven2. Bij raffinaderijen en bij andere (petro)chemische bedrijven zijn de processen complex en de risico’s soms lastig te herkennen. Op- en overslag bedrijven daarentegen hebben duidelijkere processen en de risico’s voor de maatschappij zijn kleiner, aangezien er nauwelijks chemische processen plaatsvinden. Uitzondering hierop is de natte bulk open overslag, welke een groter risico met zich mee draagt dan de open overslag van grote hoeveelheden droge grondstoffen (droge bulk en stuks genoemd). De vloeibare grondstoffen, dus de natte bulk, wordt door de Rotterdamse haven verspreid door een

2

http://www.portofrotterdam.com/nl/Business/natte-bulk/Pages/default.aspx. Laatst geraadpleegd op 29-09-2014.

10


pijpleidingennetwerk van 1500 kilometer3. In totaal is ruim 40% van het landoppervlak in de Rotterdamse Haven in gebruik door de olie- en de chemiesector. Elk bedrijf in deze sector maakt gebruik van dit pijpleidingennetwerk om de vloeibare grondstoffen te verplaatsen. In dit onderzoek wordt onderscheid gemaakt tussen de petrochemische sector en de open overslag van natte bulk. De open overslag van droge bulk wordt in dit onderzoek verder niet specifiek meer genoemd. Wanneer in dit onderzoek wordt verwezen naar cybersecurity, dan wordt de volgende definitie gehanteerd: “Het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT”. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie (NCSS, 2011). Bij cybersecurity gaat om de bescherming van het functioneren van ICT en van informatie. Wanneer ICT niet (naar behoren) functioneert of de vertrouwelijkheid en integriteit van informatie in het geding zijn, kunnen belangen in onze samenleving worden geschaad (NCSC, 2013, p.17). In de huidige samenleving worden allerlei middelen verbonden met het internet. Deze hyperconnectiviteit is in de samenleving terug te zien in zowel het gebruik van mobiele hulpmiddelen zoals smartphones en tablets om met het internet verbonden te zijn, als in het koppelen van de fysieke wereld aan het internet om op deze manier een online aansturing van apparaten mogelijk te maken (NCSC, 2013a, p.20). Ook in het Rotterdam Rijnmond gebied is deze hyperconnectiviteit aanwezig. Daarbij is het bij de (petro)chemische industrie en de open overslag van natte bulk gebruikelijk dat er hyperconnectiviteit tussen de bedrijven onderling bestaat. Er wordt gebruik gemaakt van elkaars netwerk, waaronder ook het zojuist beschreven pijpleidingennetwerk. Met betrekking tot cybersecurity wordt vaak gesproken over weerbaarheid. De definitie die hiervan in dit onderzoeksopzet wordt gehanteerd, is die uit het Cybersecurity Beeld 2013: “Met weerbaarheid wordt bedoeld enerzijds (het afwezig zijn van) de kwetsbaarheid van de te verdedigen belangen en anderzijds maatregelen om de kwetsbaarheid te verminderen” (NCSC, 2013a, p.31). De Rotterdamse haven kenmerkt zich door de hoge concentratie aan bedrijven in één gebied. Figuur 1 laat zien dat de BRZO-bedrijven zich grotendeels in één lijn bevinden van Hoek van Holland langs het water tot aan Rotterdam. De bedrijven bevinden zich in een dichtbevolkt gebied, de haven is in de buurt van grote bevolkingsconcentraties. Dit brengt risico’s met zich mee.

3

http://www.portofrotterdam.com/nl/Business/natte-bulk/Pages/pijpleidingen.aspx. Laatst geraadpleegd op 29-09-2014.

11


Figuur 1: Rotterdamse haven met BRZO-bedrijven

Voor dit onderzoek is gedurende ruim een half jaar stage gelopen bij de DCMR Milieudienst Rijnmond (DCMR). De DCMR werkt in opdracht van de provincie Zuid-Holland en 16 gemeenten in het Rijnmondgebied en voert hiervoor zowel gemeentelijke, provinciale als landelijke taken uit met betrekking tot milieuwetgeving. De DCMR Milieudienst Rijnmond heeft diverse taken om aan een leefbare en veilige omgeving te werken. Ten eerste legt de Milieudienst milieu- en veiligheidsregels op en controleert de naleving hiervan bij circa 27.000 bedrijven in het Rijnmondgebied. Onder deze bedrijven vallen alle bedrijven in het gebied, van de bakker in de straat tot de grote raffinaderijen. Verder valt onder de taken van de DCMR het verstrekken van omgevingsof milieuvergunningen. Dit wordt gedaan voor circa 1000 bedrijven in het gebied waarin de DCMR werkzaam is. De overige bedrijven volgen algemene landelijke milieuregels en veiligheidsregels. Een derde taak is het monitoren van de milieukwaliteit. Zo wordt onder andere de luchtkwaliteit in de regio continu gemonitord door het aflezen van 15 luchtmeetpunten en mobiele apparatuur. Waar nodig kan de DCMR direct maatregelen nemen. Een andere belangrijke taak die de DCMR heeft, is het optreden bij overlast en incidenten. De eigen meldkamer is 24 uur per dag bereikbaar, zowel online als telefonisch. Milieuoverlast en milieuincidenten kunnen hier door zowel bewoners als bedrijven worden gemeld. Ook is er altijd een auto met medewerkers van de DCMR buiten om direct te kunnen ondersteunen en te adviseren. Sinds 1 januari 2013 coördineert de DCMR de vergunningen, inspecties en handhaving bij risicovolle bedrijven (BRZO en IPPC4 bedrijven) in Zeeland en Zuid-Holland. De DCMR is daarmee een Regionale Uitvoeringsdienst (RUD). De DCMR voerde dit toezicht al uit bij alle risicovolle bedrijven in het Rijnmondgebied. De bedrijven in Zuid-Holland buiten het Rijnmondgebied en de Zeeuwse bedrijven zijn daaraan toegevoegd. De DCMR is nu verantwoordelijk voor de omgevingsvergunningen en het toezicht bij 160 risicovolle bedrijven. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Het ministerie van BZK) geeft aan dat overheid en bedrijfsleven nauw moeten samenwerken om de nationale veiligheid in vitale sectoren 12


te kunnen bewaken. Met vitale sectoren wordt volgens het ministerie van BZK gedoeld op “producten, diensten en de onderliggende processen die, als zij uitvallen, maatschappelijke ontwrichting kunnen veroorzaken. Dit kan zijn omdat er sprake is van veel slachtoffers en grote economische schade, of als het herstel heel lang gaat duren en er geen reële alternatieven zijn, terwijl we deze producten en diensten niet kunnen missen”. De uitval van (een gedeelte van) de vitale infrastructuur kan zeer ernstige gevolgen opleveren voor de Nederlandse samenleving. Om deze reden is bescherming van deze vitale sectoren hoge prioriteit voor de overheid. Enkele vitale sectoren zijn in handen van de overheid zelf, maar het merendeel (ca. 80%) zit in het bedrijfsleven (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, n.d.; Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008). De haven van Rotterdam is een mainport, welke van vitaal belang is voor de Nederlandse economie. In dit onderzoek staan bedrijven die hier deel van uit maken centraal. De petrochemische industrie en de open overslag van natte bulk in het Rijnmondgebied vallen onder de vitale sectoren als genoemd in de informatie van Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (n.d.). In het informatieblad wordt deze sector omschreven als ‘Chemische en Nucleaire industrie’, de productomschrijving is ‘vervoer, opslag en productie/verwerking van chemische en nucleaire stoffen’. Het verantwoordelijke ministerie dat hierbij hoort is het Ministerie van Infrastructuur en Milieu (IenM).

1.3

Onderzoeksmethoden

Eerste kennismaking De Rotterdamse haven en industrie is een wereld op zich. Om inzicht te verkrijgen in de verhoudingen tussen de bedrijven en de diverse diensten die er een rol spelen, zijn vooral aan het begin van de stage veel momenten gebruikt om mee te lopen en kennis te maken met de verschillende partijen. Zo is er een dag met de DCMR meegelopen tijdens een inspectie bij een BRZObedrijf in de chemische industrie. Aangezien digitale beveiliging geen deel uitmaakt van een inspectie, zijn er gedurende de dag een aantal informele gesprekken gevoerd over cybersecurity en de procesbesturingssystemen van het bedrijf en is de procescontrolekamer bezocht. Ook is er een dag meegelopen met de meldkamer van de DCMR. Tijdens deze dag zijn ook een aantal grotere bedrijven bezocht welke hebben bijgedragen aan een beter inzicht in het procesbesturingssysteem. Ook hier geldt dat wederom informele gesprekken richting hebben gegeven aan het verdere onderzoek. De Zeehavenpolitie is zo vrij geweest om een meeloopdag te organiseren om de haven vanaf het water te kunnen meemaken. Een dag met een andere wetenschappelijke onderzoeker op een locatie van defensie heeft bijgedragen aan inzicht in de procesbesturingssystemen en de omgang met deze systemen. Ook het bijwonen van diverse besprekingen en kennismakingen met andere diensten werkzaam in het gebied, zoals onder andere de belangenverening Deltalinqs, de douane, de politie, rijkswaterstaat, Staatstoezicht op de Mijnen (SodM) en het OM, hebben bijgedragen aan een beter inzicht in de verhoudingen tussen de diverse partijen en de relatie met het onderwerp cybersecurity en toezicht. Een bezoek aan het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie en van de NCTV heeft verduidelijking gegeven omtrent de juridische taak van toezichthouders met betrekking tot cybersecurity. 13


Literatuuronderzoek Literatuuronderzoek heeft een grote rol gespeeld in dit onderzoek. Veel literatuur is vergeleken om digitale veiligheid een plek te kunnen geven binnen de criminologie. Naast criminologische literatuur is er veel gebruikt gemaakt van technische literatuur om inzicht te krijgen in de werking van de procesbesturingssystemen en de risico’s die daarmee gepaard gaan. De gegevens die hieruit zijn gekomen zijn vooral algemeen van aard en niet specifiek gericht op de Rotterdamse haven. Juridisch en maatschappelijk Om de juridische en maatschappelijke vraagstukken te onderzoeken, is juridisch onderzoek uitgevoerd. Het juridisch onderzoek bestaat uit drie onderdelen: het bestuderen en analyseren van juridische literatuur, de wetgeving en de jurisprudentie. Deze literatuurstudie is de basis voor een wetenschappelijke onderbouwing bij het beantwoorden van de deelvragen. Ook dit deel van het onderzoek is beschrijvend van aard (Bijleveld, 2009). De huidige relevante wetgeving geldend voor BRZO-bedrijven wordt beschreven en er wordt literatuuronderzoek gedaan naar de huidige stand van zaken omtrent verantwoordelijkheid en aansprakelijkheid van externe toezichthouders. Er is getracht nieuwe informatie te verkrijgen (Decorte & Zaitch, 2009) en nieuwe inzichten te verkrijgen door middel van interviews. Om inzicht te krijgen in de juridische mogelijkheden van een RUD is gesproken met een interne jurist van de DCMR en met een jurist verbonden aan de Erasmus Universiteit. Deze experts hebben richting gegeven aan het verdere literatuuronderzoek met betrekking tot de juridische en maatschappelijke (mede)verantwoordelijkheid met betrekking tot milieu- en veiligheidsschade ontstaan door een ontoereikende cybersecurity. Workshop Voor dit onderzoek is het van belang om inzicht te krijgen in de specifieke risico’s en kwetsbaarheden waarmee BRZO-bedrijven in de (petro)chemische industrie en in de open overslag te maken hebben. Als eerste poging om inzicht te krijgen in het niveau van cybersecurity in de Rotterdamse haven, is een workshop georganiseerd. Hiervoor zijn circa acht bedrijven uitgenodigd, verdeeld over de twee sectoren, om samen om tafel te gaan zitten en ter eerste verkenning met elkaar in gesprek te gaan. De workshop is georganiseerd met een tweeledig doel. Ten eerste was het voor het onderzoek waardevol om het niveau van cybersecurity van de procesbesturingssystemen bij een aantal belangrijke bedrijven in de petrochemische industrie en de natte bulkopslag in de Rotterdamse haven te toetsen. Voor de deelnemers aan de workshop was het doel van deze bijeenkomst gezamenlijk inzicht te verkrijgen in de mogelijke dreigingen en kwetsbaarheden van de procesbesturingssystemen die worden gebruikt en te verkennen welke vervolgactiviteiten zinvol zouden zijn in het kader van bewustwording en preventie. De workshop is georganiseerd in samenwerking met de Erasmus Universiteit en de belangenorganisatie van bedrijven in de Rotterdamse haven en industrie, Deltalinqs. Naast lokale bedrijven waren er medewerkers aanwezig van TNO, het Nationaal Cyber Security Centre (NCSC) en Fox-it. Survey Als vervolg op de workshop is een survey opgesteld. Twee bronnen hebben gediend als richtlijn voor het opstellen van de survey. De eerste belangrijke bron is de checklist van het NCSC (2012a, FS-2012-

14


02) omtrent beveiligingsrisico’s van on-line SCADA4 systemen. De tweede belangrijke bron is het RIPE-model opgesteld door Ralph Langner. Ralph Langner is een onafhankelijke onderzoeker en staat aan het hoofd van de Langner Group. Dit is een organisatie gespecialiseerd in cybersecurity van kritische, vitale infrastructuur. Als onderzoeker heeft Langner onder andere onderzoek gedaan naar het Stuxnet-virus. Het RIPE model, wat staat voor ‘Robust ICS Planning and Evaluation’, biedt géén nieuwe inzichten, het is slechts een verzameling van reeds bekende inzichten samengebracht in één model (Langner, 2013). Aan de hand van deze inzichten is de survey opgesteld, om zo de verschillende kwetsbaarheden en risico’s mee te nemen in het onderzoek. Het doel van de survey is inzicht te verkrijgen in de zwakke plekken in de digitale beveiliging van de procesbesturingssystemen. In de survey is de bedrijven gevraagd naar diverse zaken rondom de cybersecuity van de eigen procescontrolesystemen, en gezien de hyperconnectiviteit in de regio zijn ook vragen gesteld met betrekking tot de ketenverantwoordelijkheid. Hierbij gaat het niet zozeer om het technische aspect, maar voornamelijk of er lering wordt getrokken uit incidenten en of in beeld is waar de eventuele kwetsbaarheden zich bevinden. De survey vragen zijn opgenomen in Bijlage I. Voor het onderzoek is het van belang zo veel mogelijk van de BRZO-bedrijven in de petrochemische industrie en in de open overslag te laten deelnemen aan de survey, om op deze manier een beschrijving van het risico te kunnen geven. In samenwerking met de DCMR en Deltalinqs is een lijst opgesteld met de bedrijven die in de doelgroep vallen. Op deze lijst staan 56 bedrijven. Persoonlijk contact is in dit onderzoek van belang, met name naar de bedrijven toe. De (petro)chemische industrie in de Rotterdamse haven kent een vrij gesloten cultuur. Er is een zekere mate van vertrouwen nodig om door te dringen tot de juiste personen en experts die informatie kunnen, mogen en willen delen. Management van deze bedrijven is benaderd, om zo de persoon binnen het bedrijf te achterhalen die verantwoordelijk is voor de procesbesturingssystemen en zich bezig houdt met de digitale veiligheid die hierbij hoort. Uiteindelijk hebben van 43 bedrijven managers of experts aangegeven deel te nemen aan het onderzoek. Hiervan zijn er 25 surveys dusdanig ingevuld dat zij bruikbaar zijn om in het onderzoek te worden meegenomen. In hoofdstuk 4 worden de resultaten hiervan besproken. Aangezien het om twee sectoren gaat, wordt hier bij de beschrijving van de resultaten rekening mee gehouden, en wordt er, waar mogelijk en relevant, onderscheid gemaakt tussen de sector (petro)chemie en open overslag.

4 SCADA staat voor ‘Supervisory Control and Data Acquisition’, een informatiesysteem om processen en bewerkingen inzichtelijk te maken en uit te voeren. Dit begrip wordt verder uitgelegd in paragraaf 2.1.2.

15


HOOFDSTUK 2 CYBERSECURITY PROCESBESTURINGSSYSTEMEN 2.1

Inleiding in de automatisering en de pocesbesturingssystemen

De industrie werkt tegenwoordig voornamelijk met vrijwel geheel geautomatiseerde machines. Medewerkers van bedrijven (operators) voeren steeds meer handelingen uit door op knoppen te drukken in plaats van de machines fysiek aan te sturen. In deze processystemen staan een paar begrippen centraal. Om de beveiliging van deze systemen beter te kunnen begrijpen, worden in deze paragraaf deze begrippen kort toegelicht. 2.1.1 Waartegen wordt er beveiligd? Is een grote cyberaanval, zoals met het Stuxnet-virus zoals in Iran, mogelijk in de Rotterdamse haven? Om procesbesturingssystemen te hacken is gedetailleerde kennis over hoe de procesindustrie te werk gaat nodig. Toch is het niet ondenkbaar dat het in Nederland ook kan plaatsvinden. Volgens Croonenberg (2013) moet er rekening worden gehouden met de mogelijkheid dat bijvoorbeeld een Nederlandse raffinaderij kan worden opgeblazen. Croonenberg (2013) schetst naast het opblazen van een raffinaderij nog een aantal fictieve scenarios over wat er zou kunnen gebeuren in Nederland als hackers industriële installaties zouden ontregelen. Hij concludeert dat dergelijke scenario’s wel degelijk plaats zouden kunnen vinden. Om een cyberaanval te voorkomen is het op orde hebben van de eigen systemen een belangrijke stap (Croonenberg, 2013). Croonenberg haalt in zijn artikel Bart Jacobs aan, hoogleraar digitale veiligheid aan de Radboud Universiteit in Nijmegen. Volgens Jacobs wordt hier nu, vooral in de vitale infrastructuur, aan gewerkt. Niet alleen de eigen systemen moeten op orde zijn, de noodzaak van samenwerking is ook groot, vooral als het gaat om het beschermen van de vitale infrastructuur. Deze noodzaak wordt nog door zowel veiligheidsregio’s als vitale sectoren onderkend (Ministerie van BZK, 2008). Tegenstrijdige belangen maken deze samenwerking vaak lastig, de vitale sector heeft primair een commercieel belang, terwijl veiligheidsregio’s een maatschappelijk belang dienen. Ook te weinig inzicht in elkaars organisaties bemoeilijkt de samenwerking (Ministerie van BZK, 2008). Znidarsic (2012) wijst er juist op er in de chemische industrie nog te weinig aandacht wordt geschonken aan cybersecurity. Bij chemiebedrijven heerst gevaar van terrorisme, spionage, cybercrime en misbruik van chemicaliën. Toch gaat de aandacht voornamelijk uit naar procesveiligheid, terwijl security op andere vlakken achterblijft. Om cybersecurity voldoende aandacht te kunnen geven zou er een securitymanagementsysteem moeten worden geïmplementeerd (Znidarsic, 2012). 2.1.2 Automatisering Tegenwoordig zijn veel handelingen in de industrie geautomatiseerd. Dit heeft meerdere redenen, zoals dat de operator niet continu op dezelfde positie kan zijn, bepaalde locaties te gevaarlijk zijn

16


voor operators om te werken, het proces sneller verandert dan de operator kan reageren en deze manier gevoelig is voor menselijke fouten5. Tegenwoordig is geautomatiseerde besturing dan ook normaal in de industrie. Voor deze geautomatiseerde besturing wordt gebruikt gemaakt van een computer met daarin een microprocessor. Deze computer wordt ‘Programmable Logic Controller’ genoemd, ofwel een PLC. De ingebouwde microprocessor ontvangt informatie en het systeem leest deze informatie6. Bijvoorbeeld voor het op temperatuur houden van de watertemperatuur in een fabriek is het niet meer nodig dat een medewerker constant op de temperatuur moet letten en de schakelaar moet bedienen om de watertemperatuur constant en op de juiste temperatuur te houden. Tegenwoordig wordt de temperatuur niet door de operator afgelezen, maar gemeten door een zender. Het signaal van deze zender komt via de ingang van de controller binnen in het systeem. De operator heeft een bepaalde temperatuur ingesteld7. Aan de hand van deze informatie worden via de uitgangen van de microprocessor de machines aangestuurd. Dit gebeurt door het aansturen van elektromagnetische schakelaars. Deze schakelaars zorgen er simpelweg voor dat een deel van de machine wel of niet van stroom wordt voorzien. In het kort gezegd kijkt het PLC-systeem of aan de voorwaarden is voldaan om een bepaalde bewerking uit te voeren. Als dit het geval is, dan zal het systeem de ‘logische schakelingen’ tot stand brengen en de machine aansturen8. In het geval van het voorbeeld van de temperatuurregeling zorgt de PLC ervoor dat het water op de ingestelde temperatuur blijft, door een signaal via de uitgang van de controller door te sturen naar de automatische regelklep en het systeem kan hierdoor automatisch de gastoevoer open of dicht zetten om de temperatuur te regelen9. Naast het aansturen van de machines, kan een PLC ook een storing in het systeem lokaliseren10 en een alarm laten afgaan om de operator te waarschuwen wanneer het systeem faalt11. Een fout in het PLC-systeem kan een machine ontregelen, met mogelijk grote gevolgen. Om deze reden is het inregelen, programmeren en het aanpassen van de PLC’s een specialistische aangelegenheid. De meeste bedrijven hebben hier geen eigen software engineers voor in huis, maar maken gebruik van elders ontwikkelde PLC-systemen en vaak wordt het werk aan de PLC’s uitbesteed aan derden12. In deze paragraaf is slechts een simpel voorbeeld van een toepassing voor een PLC gegeven, deze instrumenten kunnen echter zeer complex zijn. In het kader van dit onderzoek is een basis begrip voldoende.

5

http://ot-group.help-out.net/t229-examples-of-process-control. Laatst geraadpleegd 11 december 2014. De ot-group website is een forum waarop wordt gesproken over procesbesturingstechnologie. Dit is géén wetenschappelijke site, maar heeft bijgedragen aan een beter inzicht in de werking van procesbesturingssystemen en de kwetsbaarheden van deze systemen. 6 http://www.technischwerken.nl/kennisbank/techniek-kennis/wat-is-plc-en-waarvoor-wordt-plc-techniek-gebruikt/. Laatst geraadpleegd 11 december 2014. De website van technisch werken is een informatie pagina omtrent techniek, innovatie en arbeidsmarkt. Dit is géén wetenschappelijke site, maar geeft informatie over de werking van de procesbesturingssystemen. 7 Zie noot 5 8 Zie noot 6 9 Zie noot 5 10 Zie noot 6 11 Zie noot 5 12 Zie noot 6

17


Procesbesturingssystemen in algemene zin worden aangeduid met de term ‘Industrial Control Systems’, ofwel ICS. Hierbij kan onder andere worden gedacht aan computersystemen welke voorzien in bijvoorbeeld toegangscontrole, klimaatcontrole en camera’s (NCSC, 2012). Om in de industrie dit proces te kunnen controleren en beheersen is een informatiesysteem nodig. In de industrie wordt veel gebruik gemaakt van software die op een computer wordt geïnstalleerd waarmee gegevens van en naar de PLC-systemen van de machines in de fabriek kunnen worden gestuurd. Zo kunnen de juiste bewerkingen worden uitgevoerd en kunnen de processen en bewerkingen inzichtelijk worden gemaakt. De term die voor deze software wordt gebruikt is ‘Supervisory Control and Data Acquisition’, afgekort en algemeen bekend als SCADA13. Het Nationaal Cyber Security Centrum benadrukt dat de term SCADA alleen doelt op overkoepelende procesbesturing ten behoeve van het verzamelen en analyseren van real-time procesinformatie (NCSC, 2012). In een SCADA-systeem kunnen meerdere PLC worden opgenomen. Iedere individuele PLC is opgenomen in het overzicht waardoor een operator het hele process in de fabriek in één oogopslag kan zien, zelfs vanaf honderden kilometers afstand van de fabriek14. Hier kunnen foutmeldingen worden afgelezen en bij sommige SCADA-systemen kan er ook direct actie worden ondernomen en kunnen beheertaken worden uitgevoerd via het systeem15. Er zijn diverse bedrijven die SCADA-toepassingen hebben ontwikkeld, een aantal hiervan zijn Siemens, Schneider Electric en General Electric16. In dit onderzoek zal vooral de algemene term procesbesturingssysteem worden gebruikt. Hier kan ook SCADA of ICS worden gelezen. 2.1.3 Verbinding van procesbesturingssystemen met internet De meeste procesbesturingssystemen die in gebruik zijn gaan al geruime tijd mee. Voor een dergelijk systeem is een levensduur van minimaal tien tot twintig jaar gebruikelijk, en het ontwerp van het systeem is vaak nog tien jaar eerder. Een simpele rekensom toont aan dat veel van deze systemen ontworpen zijn in het tijdperk voordat internet wereldwijd werd gebruikt. Tot 1992 was het gebruik van internet voor commerciële doeleinden in de Verenigde Staten nog niet toegestaan en buiten de Verenigde Staten werd er van internet nog weinig gebruik gemaakt. Deze procesbesturingssystemen waren niet ontworpen voor een koppeling aan het internet, ze zijn ontworpen om geïsoleerd te draaien (Brenner, 2013). Samengevat kan worden gezegd dat de automatisering veel heeft veranderd in de industrie, nieuwe manieren om processen aan te sturen zijn ontwikkeld en worden nu toegepast in de praktijk. Veel bedrijven werken inmiddels al jaren met procesbesturingssystemen, zoals SCADA, om de processen aan te sturen. Een aantal van deze besturingen wordt tegenwoordig, vaak uit gemak, op internet

13

http://www.technischwerken.nl/kennisbank/techniek-kennis/wat-is-scada-en-waar-wordt-een-scada-systeem-voor-gebruikt/. Laatst geraadpleegd op 4 april 2014. 14 http://wiki.edu-lab.nl/E-Walk-EduLabProcess.ashx. Laatst geraadpleegd op 18 april 2014. Wiki.edu-lab.nl is géén wetenschappelijke website, deze website is opgezet voor informatie- en kennisoverdracht op het gebied van industriële automatisering en draagt bij aan een basiskennis over procesautomatisering. 15 http://tweakers.net/reviews/2465/2/scada-beveiliging-een-structureel-probleem-wat-is-een-scada-systeem.html. Laatst geraadpleegd op 4 april 2014. Tweakers is een elektronica- en technologiewebsite voor Nederland en België. 16 Bron: http://tweakers.net/reviews/2465/1/scada-beveiliging-een-structureel-probleem-inleiding.html. Laatst geraadpleegd op 4 april 2014.

18


aangesloten. Gebruiksgemak en efficiëntie lijken het te winnen van veiligheid. Het verbinden van het procesbesturingssysteem met het internet leverde grote voordelen op, zoals het monitoren en beheersen van het proces op afstand. Ook konden systemen nu worden gekoppeld. Door de voordelen hiervan voor de industrie werd het steeds gebruikelijker om de internetkoppeling te maken (Brenner, 2013).

2.2

Cybercriminaliteit in de procesindustrie

Deze paragraaf richt zich op de diverse vormen van cybercriminaliteit waar de procescontrolesystemen in de petrochemische industrie en in de open overslag van natte bulk mee te maken kunnen krijgen. Wat kan er gebeuren en wie zijn de daders? 2.2.1 Doelen en motieven Er zijn diverse redenen te noemen waarom een cyberaanval kan worden uitgevoerd. De motivatie van de verschillende groepen kan sterk uiteenlopen. Financieel gewin is net als bij andere vormen van criminaliteit een veelvoorkomend motief (Bernaards et al, 2012). Diverse redenen worden genoemd17, zoals dat een concurrent waardevolle informatie bij een ander bedrijf zoekt door middel van cyberspionage. Het saboteren of gijzelen van systemen is ook een mogelijkheid. Er kan worden gedreigd om bijvoorbeeld productie stil te leggen met alle gevolgen van dien. Overlast wordt daarnaast veroorzaakt uit verveling, uit baldadigheid of om te zien of in een systeem is in te breken. De verschillende vormen van cybercriminaliteit in de procesindustrie, zijn afhankelijk van het doel van de cyberaanval. Een aantal jaren geleden leek het doel van een cyberaanval voornamelijk gericht op het stelen van geld van bankrekeningen. Inmiddels lijkt het stelen van data en bedrijfsgeheimen hiernaast ook een belangrijk doel te zijn. Ook de overname van de procesbesturingssystemen om zo schade aan te richten aan de gezondheid van de bevolking, lijkt nu een doel op zich te zijn geworden (Willems, 2011). “Blackmail, extortion, total control over industrial processes, destruction and – especially in the case of the process industry – damage to the health of the population seem to be the next goals.” Willems, 2011, p.18 Een zeer bekend voorbeeld van een cyberaanval die heeft plaatsgevonden op de vitale infrastructuur, is Stuxnet. Stuxnet is een computerworm, speciaal ontworpen om een gerichte aanval uit te kunnen voeren op de ultracentrifuges in Natanz, Iran. Om deze aanval uit te kunnen voeren is de computerworm zo ontwikkeld dat hiermee de procesbesturingssystemen van Siemens konden worden overgenomen18. De aanval was niet gericht op Siemens, maar op Natanz. Deze worm neemt

17

http://www.mechatronicamachinebouw.nl/artikel/kritieke-infrastructuur-wacht-harde-security-les.html. Laatst geraadpleegd december 2014. Mechatronica & Machinebouw is een vakblad met betrekking tot systeemonwtikkeling. In het (online) blad wordt informatie verstrekt over trends en ontwikkelingen, onder andere over industriële automatisering. 18 De malware ‘Stuxnet’ bleek geprogrammeerd te zijn om op besmette computers op zoek te gaan naar WinC C/Step 7 procescontrolesystemen van Siemens (Bernaards et al, 2012).

19


de computer over en zal het procesbesturingssysteem herprogrammeren. Hierdoor is het mogelijk om bedrijfsgegevens te stelen, het productieproces over te nemen, het systeem uit te schakelen of zelf te vernietigen (Byres, 2012). Het doel van Stuxnet was duidelijk. Stuxnet is ingezet om Iraanse ultracentrifuges waarin nucleaire brandstof wordt gemaakt, plat te leggen (Croonenberg, 2013). Volgens de Amerikaanse onderzoeker David E. Sanger (2012) is de ontwikkeling van Stuxnet onderdeel van operatie “Olympic Games”, een geheime Amerikaans programma om de nucleaire fabriek in Natanz te Iran, stil te leggen zonder over te moeten gaan op bombardementen (Sanger, 2012, p.190). De procesbesturing van deze ultracentrifuges werd gedaan met besturingssystemen van Siemens. Het virus was specifiek ontwikkeld om deze centrifuges in Iran aan te vallen en te herconfigureren (Byres, 2012). Zo was het mogelijk besturingscommando’s op de systemen uit te voeren op de specifieke Siemens centrifuges. Als gevolg van snel wisselende frequenties bliezen deze centrifuges uiteindelijk zichzelf op. De grootste schade is geleden in Natanz, naar schatting hebben circa 1000 centrifuges in de nucleaire faciliteit het begeven (Bernaards et al, 2012). Zoals vaak bij aanvallen, is het probleem dat niet alleen de centrifuges in Iran hier last van ondervinden, er is sprake van veel nevenschade. Ook in de Verenigde Staten hebben bedrijven veel herstelwerkzaamheden moeten uitvoeren nadat het procesbesturingssysteem geherconfigureerd bleek door Stuxnet. Het ziet er naar uit dat veel van deze systemen niet bewust zijn aangevallen (Byres, 2012). “Several weeks before public reports appeared about a mysterious new computer worm, carried on USB keys and exploiting a hole in the Windows operating system, the creators of the bugs realized that random copies were floating around the globe” Sanger, 2012, p.203-204 Amerikaanse onderzoekers hebben een reconstructie gedaan om na te gaan hoe de nevenschade heeft kunnen ontstaan. In dit onderzoek van Sanger (2012) wordt verondersteld dat een Iraanse wetenschapper een laptop aan het besturingssysteem heeft gekoppeld. Het virus is hierdoor op de laptop terecht gekomen en geactiveerd. Op een later moment is deze laptop weer losgekoppeld en later aan het internet verbonden. Het virus herkende het internet als een klein netwerk en begon zichzelf te verspreiden. Ineens was het virus wereldwijd bekend (Sanger, 2012, p.204). Stuxnet heeft bij velen de ogen geopend en wordt door Symantec wel een ‘game changer’ voor veel bedrijven genoemd (Wueest, 2014). Het is het bewijs dat een zeer ingewikkelde en complexe cyberaanval op de procesindustrie geen fictie is, maar een serieus risico. Daarbij heeft Stuxnet meer kwetsbaarheden in de systemen aangetoond, en deze inzichtelijk gemaakt voor kwaadwillenden. Hierdoor is het aantal aanvallen sindsdien toegenomen (Bernaards et al, 2012). Het mag duidelijk zijn dat de ontwerpers van Stuxnet een goede voorbereiding hebben gehad. Zij hadden gedetailleerde kennis van de processen en de systemen alvorens deze worm te hebben ontwikkeld (Byres, 2012). Meer recentere grote voorbeelden lijken vooralsnog vooral gericht op het stelen van informatie, en niet gericht op het verstoren van de procesindustrie. Een manier om digitaal informatie te verkrijgen, is het installeren van malware op het systeem (Bernaards et al, 2012). Een voorbeeld van dergelijke malware is duQu. DuQu is in oktober 2011 aan het licht gekomen. Het doel van het infecteren van 20


systemen met dit virus is het verkrijgen van informatie (Byres, 2012). DuQu is niet gelijk aan Stuxnet, maar opvallend is dat de structuur en de gedachtegang achter het ontwikkelen van het virus veel gelijkenis vertoont19 (Bencsáth et al, 2011, p.5). Ook het virus Nitro wordt door hackers gebruikt om informatie te verkrijgen en is ingezet bij een aanval op ten minste 25 industriële bedrijven (Byres, 2012). Het doel van dit laatste voorbeeld lijkt vooral bedrijfsspionage te zijn, om zo concurrentievoordeel te kunnen behalen (Byres, 2012). Concurrentievoordeel behalen lijkt momenteel een belangrijk motief bij het uitvoeren van een cyberaanval in de industrie (Byres, 2012). Ook het verbeteren van de concurrentiepositie is een motief dat in Nederland voorkomt, vooral multinationals ondervinden hinder van cyberspionage (Bernaards et al, 2012). Over de totale omvang van bedrijfsspionage is weinig bekend, de aangiftebereidheid is laag. Wel is bekend dat het aantal slachtoffers aan het toenemen is (Bernaards et al, 2012). Ook in Rotterdam schijnt dit een belangrijk motief te zijn20. Nederlandse bedrijven beschikken over veel technische kennis waar bedrijven uit andere landen, maar ook statelijke actoren, naar op zoek te zijn. De AIVD heeft geconstateerd dat digitale spionage in Nederland veel voorkomt en dat het aantal aanvallen stijgt. De aanvallen worden complexer en de impact ervan wordt groter. De AIVD vermeldt dat deze aanvallen steeds vaker zijn gericht op bedrijven in de topsectoren. Cyberspionage is dan ook een dreiging waar bedrijven in de chemiesector, maar ook de energie-, hightech- en biotechnologiesector, mee te maken hebben21. De AIVD geeft hierbij aan dat het voornamelijk gaat om het vergaren van intellectueel eigendom en bedrijfsgeheimen. Aangezien Nederland een koploper is op het gebied van innovatie en export, is er hier veel waardevolle informatie te verkrijgen. Echter commerciële bedrijfsspionage is geen nieuw motief is en bestond al lang voordat cybersecurity een issue werd. De schade ondervonden door spionage kan hoog oplopen en kan grote gevolgen hebben voor de Nederlandse economie, doordat het de marktpositie en de inkomsten van Nederlandse bedrijven kan schaden wanneer technologische, financiële of strategische kennis wordt overgenomen22. Het gaat om economische belangen, wat in Nederland niet wordt gezien als een vitaal belang om te beschermen23. Toch wijst Byres (2012) op een ander risico dat hieruit voort kan vloeien. Deze virussen die nu worden ingezet voor commerciële bedrijfsspionage, kunnen ook informatie verzamelen waarmee een aanval op de processystemen kan worden voorbereid. Zoals dit bij Stuxnet ook is gebeurd (Byres, 2012). Een cyberaanval kan ook worden uitgevoerd voor financieel gewin. Er kan worden overgegaan tot het kapen van een systeem. Deze vorm van cybercriminaliteit zorgt ervoor dat een systeem wordt besmet en gekaapt, slechts tegen betaling worden de geblokkeerde bestanden weer vrijgegeven (NCSC, 2013). Een extra risico dat het digitale tijdperk met zich meebrengt, is dat kennis en inzichten zeer snel wereldwijd worden gedeeld. Cyberaanvallen kunnen zeer makkelijk worden gekopieerd en elders

19

Diverse onderzoekers, waaronder Bencsáth et al (2011) van de Budapest University of Technology and Economics hebben onderzoek gedaan naar DuQu en beschrijven de technische gelijkenis in een onderzoeksrapport. In dit onderzoek wordt het technische aspect verder achterwege gelaten. 20 Gesprek met expert bij de politie, 20 mei 2014 21 https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/economische/. Laatst geraadpleegd juli 2014. 22 https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/. Laatst geraadpleegd juli 2014. 23 Bron: uit eigen gesprekken, waaronder gesprek met expert bij de politie, 20 mei 2014

21


worden ingezet. Dit staat tegenover een fysieke aanval door bijvoorbeeld gebruik van explosieven, welke slechts eenmalig kunnen worden gebruikt (Langner, 2013). Zo is bijvoorbeeld het zojuist besproken voorbeeld Stuxnet een zeer gecompliceerde aanval geweest, het kopiëren van het virus is daarentegen veel eenvoudiger (Brenner, 2013). Het kopie van het virus is echter net zo schadelijk. Naast informatie over het kopiëren van een virus, wordt online ook informatie gedeeld over (kwetsbare) SCADA-systemen. Er bestaan speciale online zoekmachines waarin wordt aangegeven welke systemen aan het internet zijn gekoppeld (Wueest, 2014). Dit kan gaan om webcams, routers, maar ook processystemen zoals SCADA. Een voorbeeld van een dergelijke zoekmachine is Shodan. Shodan staat voor ‘Sentient Hyper-Optimized Data Access Network’ en wordt wel de “Google voor Hackers” genoemd24. Hackers publiceren aan de hand van de zoekresultaten lijsten waarop instellingen en organisaties staan genoemd welke aan het internet zijn gekoppeld25. Ook in Nederland heeft een hacker recent een lijst gepubliceerd met SCADA-systemen die open-en-bloot met internet zijn verbonden26. Het doel van deze Nederlandse hacker was het waarschuwen van de eigenaren van de systemen. Het NCSC stimuleert deze gedachtegang van hackers en zoekt hierin samenwerking. Woordvoerster Doesberg van het NCSC geeft volgens Security.nl aan dat het NCSC ‘juist het verbindingsstuk wil zijn voor hackers die beveiligingslekken vinden en de bedrijven waar deze problemen spelen’27. Het NCSC erkent het risico van deze zoekmachines en noemt hierbij nog een aantal voorbeelden van online netwerkscanners, zoals NMAP, Nessus en Metasploit. Al deze zoekmachines en hulpmiddelen bieden mogelijkheden om snel te zoeken op ICS en SCADA gerelateerde kwetsbaarheden in systemen (NCSC, 2012, Factsheet FS-2012-01: Beveiligingsrisico’s van on-line SCADA systemen). Het voordeel van deze zoekmachines is dat systeemeigenaren er zelf ook gebruik van kunnen maken en kunnen zoeken naar kwetsbaarheden in de eigen systemen (NCSC, 2012, Factsheet FS-2012-01: Beveiligingsrisico’s van on-line SCADA systemen). Een recent gevonden en bekend gemaakte kwetsbaarheid is Heartbleed. Heartbleed is een kwetsbaarheid in de programmeerbibliotheek OpenSSL. Deze library of OpenSSL wordt veel gebruikt om beveiligde verbindingen op te zetten. De kwetsbaarheid maakt het mogelijk om van buitenaf vertrouwelijke informatie te verkrijgen, zoals wachtwoorden en klantgegevens. Ruim twee jaar hebben aanvallers deze kwetsbaarheid kunnen gebruiken28 (NCSC, 2014, Factsheet FS-2014-02). Ook deze informatie wordt online door hackers gedeeld. Na de publicatie van Heartbleed is de code om deze kwetsbaarheid te misbruiken gedeeld en sindsdien zijn veel apparaten hiermee aangevallen of getest (NCSC, 2014, Factsheet FS-2014-02). Dit is ook een risico voor de procescontrolesystemen die met internet zijn verbonden. Bijvoorbeeld een VPN-verbinding kan hierdoor onveilig zijn, een hacker kan beschikken over informatie die over de VPN-verbinding wordt verstuurd of toegang krijgen tot inloggegevens. Ook is het mogelijk om de informatie aan te passen. Slechts een update van het

24

http://www.zdnet.com/blog/security/shodan-search-exposes-insecure-scada-systems/7611. Laatst geraadpleegd juli 2014. ZDNet is een nieuwswebsite voor IT professionals. 25 https://www.security.nl/posting/34974/Nederlandse+hacker+onthult+open+SCADA-systemen+*update*, publicatie 20-01-2012. Laatst geraadpleegd op 18-04-2014. Security.nl is een website waarop nieuws en achtergronden omtrent informatiebeviliging, privacy en gegevensbescherming dagelijks wordt gepubliceerd. 26 Zie noot 25 27 https://www.security.nl/posting/34974/Nederlandse+hacker+onthult+open+SCADA-systemen+*update*, publicatie 20-01-2012. Laatst geraadpleegd op 18-04-2014. 28 De kwetsbare code was al sinds maart 2012 onderdeel van OpenSSL, pas op 7 april 2014 is deze gepubliceerd en gerepareerd.

22


systeem of het apparaat kan de kwetsbaarheid wegnemen. Ook moeten certificaten welke zijn gebruikt op een kwetsbaar apparaat worden vervangen (NCSC, 2014, Factsheet FS-2014-02). 2.2.2 Modus operandi Er zijn diverse vormen van aanvalsmethoden, deze hebben vaak een relatie met elkaar. Aanvallers zullen vooral zoeken naar zwakke plekken in de beveiliging van een systeem, om deze kwetsbaarheid te kunnen gebruiken voor hun malafide doeleinden (Rijksoverheid, 2010). Als containerbegrip om veel cybercriminaliteit te omschrijven, wordt hacken genoemd. Hacken omvat het ‘binnendringen in geautomatiseerde werken’ (Bernaards et al, 2012). Dit binnendringen kan zowel ongericht als gericht gebeuren. Ongericht wil zeggen dat elke computer met een bepaalde zwakheid wordt gehackt, dit zijn vaak geautomatiseerde hacks. Gerichte hacks vereisen vaak meer kennis, de kwetsbaarheden van een systeem worden geanalyseerd en er wordt een specifieke aanvalstechniek ontwikkeld om een specifiek systeem gekoppeld aan een bepaalde computer te kunnen binnendringen (Bernaards et al, 2012). Om een systeem te kunnen hacken, wordt gebruik gemaakt van hulpmiddelen. Cybercriminelen installeren bijvoorbeeld software. Hiervoor wordt de term malware gebruikt, opgebouwd uit de Engelse termen ‘malicious’ en ‘software’, letterlijk vertaald kwaadwillende software. Een manier om deze software op een computer te kunnen krijgen, is door het versturen van fake e-mails waarin de malware is verborgen29. Computers, routers en andere apparatuur kunnen besmet raken met malware, zoals de beschreven voorbeelden uit paragraaf 3.1 (Stuxnet, duQu, Nitro). Deze kwaadaardige software koppelt de computer mogelijk aan een computernetwerk van de hacker, een botnet genaamd. Op deze manier wordt de ‘achterdeur’ in het systeem geplaatst. Zo is het voor de hacker mogelijk dit ‘deurtje’ op een later tijdstip te openen en op deze manier van afstand het systeem te infecteren en eventueel ook aan te sturen. Ook voor ICS- en SCADA-systemen vormt malware een serieuze bedreiging (Bernaards et al, 2012). Ook is malware er vaak op gericht om inloggegevens te achterhalen en digitale overschrijvingen te manipuleren (NCSC, 2013). Voor het kapen van een systeem wordt ransomware ingezet als hulpmiddel (NCSC, 2013). Om malware op een computer te krijgen, is vaak meer nodig dan alleen het versturen van een e-mail. Naast digitale spionage zullen er klassieke methoden worden ingezet. Spionage is niet nieuw, het wordt ook wel het ‘oudste beroep ter wereld’ genoemd30. Om te kunnen spioneren wordt er vaak gericht op zoek gegaan naar kwetsbaarheden van bijvoorbeeld directeuren of medewerkers van het bedrijf31. Om deze bedrijven of personen gericht te benaderen, maken cybercriminelen hierbij ook gebruik van social media. Via social media is het makkelijk geworden potentiële doelwitten te identificeren en te benaderen. Op deze manier kan vertrouwen worden gewonnen bij het (potentiële) slachtoffer, of de hacker kan zich voordoen als iemand die wordt vertrouwd. Dit vertrouwen vergroot de kans op een succesvolle aanval32. Wanneer een cybercrimineel gebruik wil maken van bestaande manieren van cyberaanvallen, dan biedt het internet uitkomst. Op internet zijn de benodigde commando’s te vinden om een specifieke

29

https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/. Laatst geraadpleegd juli 2014. https://www.aivd.nl/onderwerpen/spionage-0/. Laatst geraadpleegd juli 2014. 31 Zie noot 29. 32 https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/economische/. Laatst geraadpleegd juli 2014. 30

23


kwetsbaarheid te misbruiken (Bernaards et al, 2012). Een dergelijk stuk programmacode wordt een exploit genoemd. Het is mogelijk om een exploit toe te passen op een bekend veiligheidslek in bepaalde software, dit is dan een ongerichte aanval. Bij een gerichte aanval wordt gezocht naar een exploit bij een bepaald systeem (Bernaards et al, 2012). Doordat deze exploits op internet staan, zoals op speciale websites als exploit-db.com, zijn deze voor iedereen te gebruiken. Opvallend is dat er sinds 2010 een afname is in de stijging van op internet vrij beschikbare exploits. Het is niet duidelijk wat hier de oorzaak voor is. Mogelijke verklaringen kunnen zijn dat veranderingen in software ervoor hebben gezorgd dat kwetsbaarheden in de systemen moeilijker uit te buiten zijn. Het is ook mogelijk dat exploits nu commercieel verhandeld worden in plaats van vrij gedeeld (NCSC, 2013). Bedrijven kunnen de systemen beschermen tegen kwetsbaarheden door de software up-to-date te houden en updates tijdig te installeren. Een systeem dat niet up-to-date is, bevat kwetsbaarheden die vaak bekend zijn bij hackers. Hackers halen veel informatie uit beveiligingsupdates van leveranciers van software, dit wordt ‘reverse engineering’ genoemd. Hierbij gaan hackers specifiek op zoek naar het lek in de software waarvoor de beveiligingsupdate is uitgegeven en schrijven hier een exploit voor. Gebruikers die de update niet hebben geïnstalleerd zijn kwetsbaar (Bernaards et al, 2012). Dit is relevant voor gebruikers van procesbesturingssystemen, vaak wordt er voor gekozen om het systeem stand-alone te laten draaien, dat wil zeggen zonder enige verbinding met een ander netwerk. Wanneer hiervoor wordt gekozen dan worden updates vaak ook niet geïnstalleerd. Externe media, zoals een usb-stick of een laptop, zijn dan een groot risico voor infectie van het systeem. Veel exploits richten zich dan ook op kwetsbaarheden in systemen waarvoor reeds een update beschikbaar is. Echter worden er ook exploits geschreven voor kwetsbaarheden die nog onbekend zijn bij de makers van de software, of waarvoor nog geen update voor beschikbaar is. Dit worden 0day exploits genoemd (Bernaards et al, 2012). Veel systemen zijn beschermd door middel van een gebruikersnaam in combinatie met een wachtwoord. Cybercriminelen kunnen een poging doen deze inloggegevens te raden, er zijn nog altijd veel bedrijven die gebruik maken van default instellingen en ook komt nog voor dat bedrijven dezelfde gegevens voor meerdere toepassingen hanteren (Bernaards et al, 2012). Wanneer de informatie niet zomaar te raden is, zijn er nog andere methoden die kunnen worden ingezet om gebruikersnamen en wachtwoorden te achterhalen. Het netwerkverkeer kan bijvoorbeeld worden afgevangen. Het is dan mogelijk om mee te lezen in alle data die vanuit of naar een systeem wordt verzonden. Deze methode wordt sniffing genoemd (Bernaards, 2012). Dit meelezen kan op diverse manieren worden gedaan. De ‘evil maid’ aanval wordt hier nog voor ingezet, waar een usb-stick door bijvoorbeeld een schoonmaakster in een computer wordt achtergelaten. Wanneer de gebruiker van de betreffende computer het wachtwoord een volgende keer invoert, dan wordt dit wachtwoord opgeslagen op de usb-stick. De usb-stick wordt weer opgehaald door bijvoorbeeld de schoonmaakster en bevat nu kwetsbare informatie. Door het toenemende gebruik van draadloze communicatie, zoals WiFi- of bluetoothverbindingen is het van afstand meelezen makkelijker geworden (Bernaards et al, 2012). Veel vormen van cybercriminaliteit worden snel opgemerkt, zeker wanneer het systeem vastloopt, er dingen misgaan of er geld verdwijnt. Digitale spionage daarentegen is vaak lastiger op te sporen. De dader komt het systeem binnen en kijkt overal in mee. Doordat deze processen vaak draaien zonder 24


dat het voor problemen zorgt bij de gebruiker, wordt deze vorm van cybercriminaliteit vaak niet opgemerkt. E-mails en documenten kunnen worden meegelezen. Vaak wordt er pas naar de besmette computer gekeken wanneer een computer of een systeem vastloopt. Dan blijken er processen op de achtergrond te draaien die door een hacker zijn geïnstalleerd (Vermaas, 2012). De AIVD geeft aan dat deze aanvallen soms zelfs maanden tot jaren kunnen duren33. Hetzelfde geldt voor software die wordt geïnstalleerd en de hacker laat meekijken naar alle toetsaanslagen van de gebruiker van het systeem, dit wordt keylogging genoemd. Er is dan spyware op het systeem geïnstalleerd. Ook is het met spyware vaak mogelijk schermafdrukken te maken. Spyware kan redelijk simpel verborgen worden geïnstalleerd, waardoor het lang duurt voor men door heeft dat er hackers meekijken op het systeem (Bernaards et al, 2012). De impact van cyberspionage kan dan ook zeer groot zijn34. Een andere vorm van cybercriminaliteit is het manipuleren van digitale gegevens. Het kan zijn dat bedrijven frauderen en gegevens digitaal manipuleren om op deze manier binnen de milieu-eisen te blijven. Deze vorm van cybercriminaliteit zal niet worden meegenomen in het onderzoek, aangezien dit een andere aanpak van onderzoek vereist en betrekking heeft op interne fraude en niet op een dreiging van buitenaf.

2.3

Cybercriminaliteit op procesbesturingssystemen

Tot nu toe zijn er weinig grote incidenten bekend en een daadwerkelijke ramp door een aanval op de kritieke infrastructuur heeft nog niet plaatsgevonden. Voor mensen die kwaad willen lijkt er toch genoeg mogelijk. Wie zijn nu deze potentiële daders en wat zijn de motieven? Deze paragraaf tracht hier inzicht in te geven. 2.3.1 Honeypots Zijn procesbesturingssystemen daadwerkelijk interessant voor hackers? Een manier gebruikt door beveiligingsonderzoekers om deze vraag te beantwoorden, is door zogenaamde ‘honeypots’ te ontwerpen. Een honeypot is een procescontrolesysteem speciaal ontworpen om hackers aan te trekken. Voor Trend Micro heeft onderzoeker Kyle Wilhoit (2013) een PLC ontworpen om een lokale waterpompinstallatie te beheren. Het SCADA systeem dat hieraan was gekoppeld werd ingezet als honeypot door het bedieningssysteem aan een internet pagina te koppelen. Binnen 18 uur na het online gaan was de eerste aanval al een feit. In een maand tijd zijn er 39 aanvallen op deze honeypot gerapporteerd, afkomstig uit 14 verschillende landen. Zonder duidelijke reden werden bijvoorbeeld druk en temperatuur in het systeem veranderd door derden. Ruim één derde van de aanvallen kwam vanuit China (35%), gevolgd door de Verenigde Staten (19%) en Laos (12%). Deze cijfers zijn af te lezen in figuur 2 (Wilhoit, 2013).

33 34

https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/economische/ Zie noot 33

25


Figuur 2: Percentage pogingen tot een aanval per land (Wilhoit, 2013)

Ook is door Wilhoit (2013) gekeken naar het aantal gerichte aanvallen per aanvaller. Volgens Wilhoit baart dit cijfer meer zorgen, aangezien er aanvallers tussen zaten die herhaaldelijk aanvallen bleven uitvoeren. Deze aanvallers stuurden iedere 24 uur een nieuwe aanval aan, en wanneer een aanval niet succesvol bleek werd deze aangepast. Hieruit trekt Wilhoit (2013) de conclusie dat deze aanvallers waarschijnlijk probeerden om toegang tot het systeem te krijgen of gericht schade aan te richten. Figuur 3 laat zien dat de meeste van deze gerichte, herhaaldelijke, aanvallen vanuit Laos kwamen (Wilhoit, 2013).

Figuur 3: “Heat map”, laat zien waar de meeste gerichte aanvallen vandaan kwamen (figuur overgenomen Wilhoit, 2013)

26


Aan de hand van dergelijke onderzoeken speculeren onderzoekers dat het waarschijnlijk is dat er veel meer schade wordt aangericht aan processystemen dan dat nu bekend wordt gemaakt35. Dit blijven vooralsnog vooral speculaties en cijfers hiervoor ontbreken nog. Een reden hiervoor kan zijn de lage aangiftebereidheid bij een cyberaanval. Ook mogelijk is dat veel systemen een cyberaanval reeds succesvol weten te voorkomen, waardoor er geen schade is ontstaan. Na dit onderzoek heeft Wilhoit in 2013 verder onderzoek gedaan door middel van een nieuwe honeypot. Om een breder en wereldwijd beeld te krijgen van aanvallen op SCADA-systemen, is het originele onderzoek herhaald, ditmaal groter opgezet. In plaats van gebruik te maken van één honeypot, is er een netwerk van meerdere honeypots ingericht. Dit wordt een honeynet genoemd. In tegenstelling tot andere honeynets, is deze honeynet zo opgezet dat alle honeypots seperaat werken. Om vervuilde data te voorkomen is er géén verbinding tussen de verschillende honeypots mogelijk. Zo wordt voorkomen dat een indringer via het ene systeem in het andere terecht kan komen (Wilhoit, 2013a, p.8).

Figuur 4: Landen waar de honeypots zijn opgezet (figuur overgenomen uit Wilhoit, 2013, p.8)

Locatie van de honeypot China Japan Rusland Autralië Verenigde Staten Ierland Brazilië Singapore Totaal

Aantal ingezet 2 1 3 1 2 1 1 1 12

Tabel 1: Aantal honeypots per land (Wilhoit, 2013, p.9)

35

http://www.mechatronicamachinebouw.nl/artikel/kritieke-infrastructuur-wacht-harde-security-les.html

27


In figuur 5 is af te lezen in welke landen de honeypots zijn opgezet. In totaal zijn er 12 honeypots ingericht. Bij het analyseren van de aanvallen op deze honeypots kan onderscheid worden gemaakt tussen geautomatiseerde aanvallen en doelgerichte aanvallen. In de periode van maart tot juni 2013 zijn er 33.466 geautomatiseerde aanvallen geregistreerd, afkomstig van 1.212 unieke IP-adressen. In de drie maanden van het onderzoek van Wilhoit (2013a), maart tot juni 2013, zijn de systemen vanuit 16 verschillende landen doelgericht aangevallen. Dit was goed voor 74 doelgerichte aanvallen. Het grootste gedeelte, 64 aanvallen, zorgden niet voor een schadelijke verstoring van het proces. Een totaal van 10 incidenten waren wel kritiek en zouden via het ICS-systeem het proces kunnen verstoren. Wilhoit (2013a) heeft alleen een uitgebreide analyse gemaakt van de doelgerichte aanvallen. Attributie van aanvallen is een lastige klus, vaak onmogelijk. Vaststellen wat de motivatie van de dader is, is vaak nog lastiger. Daders zullen bijna nooit de intenties van de aanval vrijgeven (Wilhoit, 2013). Een startpunt in de attributie is het achterhalen van het land van herkomst van de aanval. Een tweede punt waar naar wordt gekeken bij de analyse voor attributie van het motief is het type aanval. Als te zien is dat het om een doelgerichte aanval gaat, waarbij wel inbreuk is gemaakt in het ICS-systeem, maar géén aanpassingen in het proces zijn gedaan, dan zou de motivatie spionage of informatieverzameling kunnen zijn (Wilhoit, 2013, p.20). Wanneer blijkt dat er wel destructieve wijzigingen in het proces worden gedaan, dan kan worden aangenomen dat het motief waarschijnlijk verstoring van het bedrijfsproces is.

DOELWIT

Figuur 5 is een tabel waarin is af te lezen vanuit welk land een honeypot werd aangevallen (‘oorsprong’) en welk land het doelwit van de aanslag was (‘doelwit’). OORSPRONG Ierland Singapore

Brazilië

Rusland

Verenigde Staten

China

Japan

Oostenrijk

Nederland

x

2 niet-kritiek

x

x

x

x

x

x

China

x

x

1 kritiek

x

1 niet-kritiek & 1 kritisch

x

x

Duitsland

x

x

x

x

x

x

x

Kazachstan Canada Verenigde Staten Australië Moldavië Oekraïne Verenigd Koninkrijk Frankrijk Palestina Polen Slovenië Japan Rusland

x x x x x x x x x x x x x




x x 1 kritiek x x x 1 kritiek 1 kritiek 1 kritiek x x x x

x x x x x x x x 1 kritiek x x x x


1 niet-kritiek & 3 kritiek 4 niet-kritiek & 1 kritiek 1 niet-kritiek 1 niet-kritiek 2 niet-kritiek 1 niet-kritiek 1 niet-kritiek 2 niet-kritiek x x 1 niet-kritiek 1 niet-kritiek 1 niet-kritiek 1 kritiek 43 niet-kritiek

Tabel 2: tabel doelwit en oorsprong

Tussen december 2012 en 15 mei 2013 is geconstateerd dat er minstens 15 doelgerichte aanvallen hebben plaatsgevonden met als doel het verzamelen van informatie. In dezelfde periode hebben minstens 33 aanvallen plaatsgevonden met een destructief doel, er werd gepoogd het ICS-systeem te verstoren of plat te leggen (Wilhoit, 2013, p.20). 28


Wilhoit (2013) heeft met deze twee onderzoeken aangetoond dat doelgerichte aanvallen op procesbesturingssystemen plaatsvinden. Het is niet aan te geven hoe vaak dergelijke aanvallen plaatsvinden, en ook de motivatie blijft lastig te bepalen. Een opvallende conclusie van Wilhoit (2013) is dat USB-drives vaak het startpunt zijn van een aanval. 2.3.2 Potentiële daders van cyberaanvallen op procesbesturingssystemen Het Nationaal Cyber Security Centrum (NCSC) heeft in het ‘Cybersecuritybeeld Nederland’ (NCSC, 2013a) diverse actoren in kaart gebracht. Het is mogelijk dat een partij meerdere rollen heeft en dus als meerdere actoren tegelijkertijd kan optreden. Hierbij is het van belang te realiseren dat het bij cyberincidenten vaak lastig is een dader te achterhalen (NCSC, 2013), aangezien op het internet veelal anoniem kan worden geopereerd en een aanval er aan de oppervlakte identiek kan uitzien waardoor het in beginsel onduidelijk is of de aanval wordt uitgevoerd door een staat, een private organisatie of een individuele hacker (Bernaards et al, 2012). In deze paragraaf wordt verder ingegaan op de diverse potentiële daders. Tabel 1 is overgenomen uit het Cybersecuritybeeld Nederland (NCSC, 2013a) en laat de actoren zien waar het NCSC onderscheid tussen maakt. Hiernaast geeft ook de Criminaliteitsbeeldanalyse 2012 van High Tech Crime inzicht in diverse daders van cybercrime. Daarin wordt gesteld dat in verband met de snelle ontwikkelingen verder wetenschappelijk onderzoek op basis van empirische gegevens nodig blijft om verder inzicht te verkrijgen in de daders en de motieven (Bernaards et al, 2012). Actor Staten

Intenties Geopolitieke of (interne) machtspositie verbeteren

Vaardigheden Veel

Terroristen

Maatschappelijke veranderingen bewerkstelligen, bevolking ernstig vrees toe aanjagen of politieke besluitvorming beïnvloeden Geldelijk gewin (direct of indirect)

Weinig tot gemiddeld

Beroepscriminelen

Gemiddeld tot veel

Aantonen van Weinig tot veel kwetsbaarheden. Hacken omdat het kan. Baldadigheid, zoeken van uitdaging Hacktivisten Ideologie Gemiddeld Interne actoren Wraak, geldelijk gewin of Weinig tot veel ideologisch (mogelijk ‘aangestuurd’) Cyberonderzoekers Aantonen zwakheden, eigen Gemiddeld tot profilering veel Private organisaties Verkrijging waardevolle Weinig tot veel informatie Burgers n.v.t. n.v.t. Tabel 3 Onderscheid actoren zoals bepaald door het NCSC Cybervandalen en scriptkiddies

Doelwitten Overheidsinstanties, nongouvermentele organisaties, bedrijfsleven, wetenschappers, personen met relevante kennis, dissidenten en oppositionele groeperingen. Doelwitten met hoge impact, ideologische symboolfunctie.

Financiële producten en – dienstverlening, ICT en identiteit van burgers Uiteenlopend

Uiteenlopend Huidige en/of voormalige werkomgeving Uiteenlopend Concurrenten, burgers, klanten n.v.t.

29


In deze paragraaf wordt in het kort besproken in hoeverre de verschillende daders zoals in tabel 1 te onderscheiden zijn een potentieel risico opleveren voor de petrochemische industrie en de open overslag van natte bulk. Staten Cybercriminaliteit uitgevoerd door staten is veelal gericht op spionage. Cyberspionage wordt door buitenlandse inlichtingendiensten ingezet om te achterhalen waar andere landen mee bezig zijn. Ook Nederland is hier slachtoffer van36. Ondanks dat harde bewijzen ontbreken, bestaat het vermoeden dat het eerder besproken Stuxnet een staatsgesteunde aanval is geweest (Bernaards et al, 2012; Sanger, 2012). Zoals reeds in paragraaf 2.2.1 is besproken zijn geen directe bewijzen, maar algemeen wordt aangenomen dat de Verenigde Staten en Israel achter deze aanval zitten (Sanger, 2012; Brenner, 2013; Croonenberg, 2013). Er wordt gedacht dat de cyberaanval moest voorkomen dat er bommenwerpers door Iran tegen Israel zouden worden ingezet. Deze aanval staat bekend als ‘Operation Olympic Games’ (Croonenberg, 2013). Als dit vermoeden juist is, dan is daarmee aangetoond dat ook naties dader kunnen zijn bij gerichte sabotage-aanvallen. Het blijft zeer lastig om vast te stellen wie achter een cyberaanval zit. Voor een hacker is het relatief eenvoudig om het te doen lijken alsof een ander achter de aanval zit. Aantonen dat de dader een staat is, blijft zeer lastig vast te stellen. Vaak blijft het slechts bij vermoedens. Ook kunnen staten hackers inhuren, waardoor de overheid zelf buiten beeld blijft en betrokkenheid bij een cyberaanval kan ontkennen37. Terroristen Een terroristische aanslag door middel van cyberterrorisme is nog zeer onwaarschijnlijk. De AIVD geeft aan dat (jihadistische) terroristen nog niet in staat zijn om vitale onderdelen van de Nederlandse samenleving aan te vallen38. Een serieuze terroristische dreiging op de procesindustrie is dan ook nog niet ter sprake. Echter moet er rekening mee worden gehouden dat terroristen deze kennis wel aan het ontwikkelen zijn39. Bijvoorbeeld door middel van cyberspionage. Ook zijn er extremisten die politieke besluitvorming pogen te beïnvloeden. Cyberextremisten voeren digitale aanvallen uit op systemen en voeren hiermee druk uit40 (NCSC, 2013). De AIVD beschouwt dit een dreiging tegen de nationale veiligheid. Vandalisme In de digitale wereld zijn er jonge vandalen, zij geven aan ‘voor de lol’ een cyberaanval uit te voeren (Bernaards et al, 2012). Dit zijn de zogenaamde scriptkiddies en cybervandalen (NCSC, 2013). Bij deze groep daders is het kennisniveau vaak laag. Ze kunnen bestaande hacking-scripts gebruiken en gebruiken programmatuur die online beschikbaar is. Deze middelen kunnen vrij gekopieerd en gebruikt worden, zonder dat de dader exact hoeft te begrijpen hoe de codes geschreven hoeven te

36

https://www.aivd.nl/onderwerpen/cyberdreiging/cyberspionage/. Laatst geraadpleegd juli 2014. Zie noot 36 38 Zie noot 36 39 Zie noot 36 40 Zie noot 36 37

30


worden. Hierbij gaat het vaak om ‘wanna-be hackers’, meestal tieners (Bernaards et al, 2012). Bernaards et al (2012) waarschuwen dat deze scriptkiddies een serieuze dreiging vormen. Er is een gebrek aan inzicht in de gevolgen en er kan grote schade worden aangericht. Het is een misvatting te denken dat geavanceerde kennis nodig is om misbruik te maken van een systeem. Door de moderne techniek waarvan gebruik wordt gemaakt, zijn de gevolgen vaak veel schadelijker dan bij vandalisme in de fysieke wereld (Bernaards et al, 2012). Inzichtelijk maken van kwetsbaarheden Naast kwaadwillenden is er een groep mensen online actief die er uitdaging en roem in zien om de eigen expertise te gebruiken om kwetsbaarheden in systemen en software op te sporen. Door het aantonen waar de kwetsbaarheden zitten, willen zij bijdragen aan een verbetering en een betere beveiliging van deze systemen en software41 (Bernaards et al, 2012). Vandaar dat er voor deze groep wel wordt gesproken over beveiligingsonderzoekers, ook wordt de term white hat hacker hiervoor gebruikt. Voor deze white hat hackers heeft het NCSC een leidraad opgesteld (NCSC, 2013, bron leidraad) waarin richtlijnen staan om beveiligingsonderzoekers en organisaties bij elkaar te brengen. De insteek van het NCSC is om melders met kennis van kwetsbaarheden in de systemen van organisaties samen te brengen met de organisaties die hiermee te maken hebben en die afhankelijk zijn van deze systemen. In deze richtlijn moet ook specifiek zijn opgenomen dat een melder, mits deze zich aan de voorwaarden uit de richtlijn houdt, niet strafrechtelijk vervolgd zal worden. Wanneer dit niet specifiek is opgenomen, is gebleken dat een rechter niet snel zal oordelen dat de betreffende white-hat hacker niet strafbaar is42. White hat hackers hanteren verschillende methoden om de bevindingen kenbaar te maken. Er kan onderscheid worden gemaakt tussen full disclosure en responsible disclosure. Full disclosure houdt in dat een kwetsbaarheid volledig publiekelijk bekend wordt gemaakt (NCSC, 2013). Het grote nadeel hiervan is dat er een direct veiligheidsrisico kan ontstaan, doordat de kwetsbaarheid voor het grote publiek bekend is gemaakt voordat de organisatie de kans heeft gekregen het lek te dichten. Responsible disclosure heeft de voorkeur en wordt door het NCSC bemoedigt. Ook op de eigen website kunnen white hat hackers de richtlijnen vinden hoe gevonden kwetsbaarheden te melden. Hier staat ook een beloning tegenover: “Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem.”43 Deze beloning wordt alleen geboden voor ontdekkingen van nieuwe kwetsbaarheden in het eigen systeem. Voor kwetsbaarheden bij andere organisaties luidt het advies contact op te nemen met de

41

http://antimalwaresoftware.nl/veel-gestelde-vragen-faq/wie-creeren-er-malware-waarom-en-wat-zijn-de-gevolgen/. Antimalsoftware.nl is een site waarop veel informatie is te vinden omtrent beveiligingssoftware. 42 http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/. De website iusmentis.com is in beheer van een ICT-jurist die tracht de wet uit te leggen aan ICT-ers, en ICT aan juristen. 43 https://www.ncsc.nl/security

31


betreffende organisatie, waarbij het NCSC eventueel als intermediair kan worden ingezet (NCSC, 2013). Hier tegenover staan hackers die kennis en kunde misbruiken voor malafide praktijken, zoals het verspreiden van malware en het hacken van websites. Om het verschil in motief aan te geven, worden zij black hat hackers genoemd 44. Georganiseerde cybercriminaliteit Vergelijkbaar met de ‘reguliere’ georganiseerde misdaad, is ook bij cybercrime te zien dat er veel samenwerkingsverbanden zijn en dat cybercrime zich zo heeft ontwikkeld tot een vorm van georganiseerde misdaad (Koops, 2012). Waar reguliere georganiseerde en vaak grensoverschrijdende misdaad, zoals drugscriminaliteit, wapen- en mensensmokkel nog fysiek van aard zijn, is cybercriminaliteit lastig grijpbaar. Het speelt zich af in ‘cyberspace’ (Koops, 2012). Er zijn een aantal opvallende verschillen te benoemen tussen georganiseerde reguliere en cybercriminaliteit. Ten eerste is er vaak uitsluitend online contact tussen de daders. Daarnaast valt op dat de structuur online minder hiërarchisch is. Vaak ontbreekt een centrale leider en is sprake van flexibele netwerken. Een aanval is meestal zeer complex en vergt wisselende kennis en middelen. De modus operandi ontstaat door diverse bronnen te koppelen, waarbij een overzicht over de gehele keten vaak ontbreekt (Bernaards et al, 2012; Koops, 2012). In de online samenwerking staat vertrouwen centraal. Het is een zwarte markt waarin men gebruik maakt van elkaars expertise en middelen. De politie infiltreert steeds meer op fora en in andere communicatiekanalen, waardoor het voor nieuwelingen lastig is geworden om opgenomen te worden in bestaande netwerken (Bernaards et al, 2012; Koops, 2012). Naast de vrije beweging van individuen op de hierboven beschreven ‘markt’ bestaan er ook gesloten professionele criminele samenwerkingsverbanden. Deze groepen bestaan uit specialisten die gezamenlijk een aanval voorbereiden. Ondanks dat deze groepen vooralsnog weinig gepakt worden, zijn er aanwijzingen dat zij bestaan (Bernaards et al, 2012). Insiders Medewerkers zijn zich vaak niet bewust van het eigen kennisniveau van bedrijfsvertrouwelijke informatie (Dos Santos Gomes & Beuker, 2012). Terroristische en criminele organisaties kunnen misbruik maken van dit onbewustzijn. Zij kunnen proberen het vertrouwen van een medewerker te winnen, bijvoorbeeld door op te bellen met een verzonnen verhaal en hierbij een poging doet om het wachtwoord te laten noemen. Deze manier van toegang verkrijgen tot gebouwen, systemen of data wordt ‘social engineering’ genoemd. Als bedrijf is het van belang dat hier rekening mee wordt gehouden, de medewerker kan een zwakke schakel zijn in de beveiliging en de continuïteit van de gehele bedrijfsvoering loopt risico als de poging slaagt. Om de kans hierop te verkleinen, kunnen bewustwordingsprogramma’s worden ingezet.

44

http://antimalwaresoftware.nl/veel-gestelde-vragen-faq/wie-creeren-er-malware-waarom-en-wat-zijn-de-gevolgen/

32


Een punt van belang dat hierbij inzichtelijk gemaakt dient te worden, is het feit dat een terroristische aanval niet slechts de daad omvat. Een terroristische aanslag vergt veel voorbereiding en vaak wordt gebruik gemaakt van vele hulpmiddelen. De voorbereiding neemt veel tijd in beslag, er wordt bijvoorbeeld gezocht naar zeer specifieke informatie, kennis en locaties. Hulp van binnenuit is dan zeer waardevol voor de terroristische of criminele organisatie om het bedrijf snel in kaart te brengen. Deze zogenaamde ‘insiders’ kunnen dus een zeer belangrijke rol spelen bij een aanval op de procesbesturingssystemen, zoals deze quote goed aangeeft: “Cyber attacks capabilities are a matter of expertise rather than capital – and expertise, like water, finds its own level of time. When an attacker gets help from an insider, the time can be quite short.” Brenner, 2013, p.18

2.4

Conclusie hoofdstuk 2

In de huidige samenleving wordt bijna alles geautomatiseerd. Ook in de industrie zijn veel handelingen inmiddels geautomatiseerd. Om de industriële processen aan te sturen worden procesbesturingssystemen geïnstalleerd. In dit hoofdstuk is gekeken naar deze procesbesturingssystemen: Wat zijn het en waar liggen de kwetsbaarheden. In de industrie gaat de aandacht nog voornamelijk uit naar procesveiligheid. Beveiliging op digitale systemen blijft nog achter. Toch is het denkbaar dat de digitale systemen dusdanig worden misbruikt dat zelfs het opblazen van een raffinaderij een mogelijk scenario zou kunnen zijn. Sinds de opkomst van internet zijn de mogelijkheden om in een procesbesturingssysteem in te breken vele malen groter geworden. Toch lijken gebruiksgemak en efficiënt werken het vaak te winnen van veiligheidsmaatregelen en wordt een verbinding tot stand gebracht om zo bijvoorbeeld van afstand het proces te kunnen monitoren en beheersen. De systemen die worden gebruikt voor deze koppelingen dateren vaak nog van vóór het internet tijdperk en zijn niet ontworpen voor deze koppeling. Er kunnen diverse redenen zijn waarom hackers een cyberaanval op de procesindustrie willen uitvoeren. Concurrentievoordeel behalen is een belangrijk motief. Digitaal wordt hiervoor vooral cyberspionage ingezet. De virussen die worden gebruikt voor deze cyberspionage kunnen daarentegen ook worden gebruikt om gedurende een langere periode gegevens te verzamelen om zo een cyberaanval op de procesbesturingssystemen te kunnen voorbereiden. Zoals duidelijk is geworden bij Stuxnet gaat gedetailleerde kennis van de processen en de systemen vooraf aan het ontwikkelen van een virus om een procesbesturingssysteem mee te kunnen hacken. Er moet rekening mee worden gehouden dat voorbereiding op een cyberaanval een reden is voor (langdurige) cyberspionage. Ondanks dat er nog géén indicatie is van een terroristische aanslag via een procesbesturingssysteem, moet er wel rekening mee worden gehouden dat ook terroristen middels spionage de kennis hiervoor aan het ontwikkelen zijn. Echter is het een misvatting dat er altijd geavanceerde kennis benodigd is voor een aanval op een systeem. Door de moderne technieken kunnen de gevolgen van een cyberaanval al snel groot zijn, ook wanneer er slechts sprake is van vandalisme.

33


Het internettijdperk brengt nog andere risico’s met zich mee. Online wordt veelvuldig informatie gedeeld over (kwetsbare) procesbesturingssystemen. Er zijn speciale zoekmachines om systemen te vinden die aan het internet zijn gekoppeld. Voor bedrijven is het van groot belang om de procesbesturingssystemen te beschermen tegen kwetsbaarheden. Een belangrijke stap is het up-todate houden van het systeem. Updates dienen tijdig te worden geïnstalleerd. Wanneer dit wordt nagelaten zitten er kwetsbaarheden in het systeem. Hackers halen veel informatie uit beveiligingsupdates van software leveranciers en zijn daardoor vaak op de hoogte van deze kwetsbaarheden. Aangezien er in de procesindustrie veel wordt gekozen om een systeem zonder enige verbinding met een ander netwerk te laten opereren, worden updates vaak niet geïnstalleerd. Het systeem loopt een groot risico wanneer er dan toch (per ongeluk) een verbinding tot stand komt, bijvoorbeeld door het gebruik van externe media zoals een usb-stick of een laptop. Uit een aantal onderzoeken is gebleken dat doelgerichte aanvallen op procesbesturingssystemen wel degelijk al plaatsvinden. Aantallen en motivatie blijft lastig te bepalen, net als daders moeilijk aan te wijzen zijn. Voor een hacker is het relatief eenvoudig zich voor te doen als een ander. Dikwijls blijft het bij vermoedens. Insiders kunnen een zeer belangrijke rol spelen bij een cyberaanval op de procesbesturingssystemen en kunnen (onbewust) worden ingeschakeld als hulpmiddel om kennis en informatie te verzamelen met betrekking tot de locatie en de software. Naast de reeds genoemde staten, terroristen en cybervandalen, bestaan er naar verluidt ook groepen professionele criminele specialisten die gezamenlijk cyberaanvallen voorbereiden. Naast kwaadwillenden zijn er ook groepen mensen online die de eigen expertise gebruiken om kwetsbaarheden in de procesbesturingssystemen op te sporen en bekend te maken. Zij willen hiermee bijdragen de digitale veiligheid juist vergroten. Vooralsnog blijft het lastig te achterhalen wie achter een bepaalde cyberaanval zit en wat de motieven zijn. Verder onderzoek naar daders blijft dus van groot belang.

34


HOOFDSTUK 3 KWETSBAARHEDEN IN DE PROCESBESTURINGSSYSTEMEN Misbruik maken van ICT-systemen is slechts mogelijk als er kwetsbaarheden in zitten die door anderen kunnen worden misbruikt. Deze kwetsbaarheden kunnen zwakke plekken in de systemen zijn, maar kunnen ook in de procedures zitten of worden veroorzaakt door menselijke gedragingen. Zoals eerder in dit onderzoek aangegeven, genieten procesbesturingssystemen een groeiende aandacht van hackers (NCSC, 2012). Hackers zoeken gericht naar kwetsbaarheden in deze systemen (NCSC, 2012). Zowel hardware als software is niet immuun voor misbruik. Nieuwe technologische ontwikkelingen worden onmiddellijk gevolgd door ontwikkelingen in de criminaliteit die hierop inspelen (Bernaards et al, 2012). Bij gebrek aan bescherming in een systeem ontstaan er kwetsbaarheden. Via deze kwetsbaarheden in de procesbesturingssystemen hebben kwaadwillende partijen de mogelijkheid om schade toe te brengen aan het systeem (NCSC, 2013). De eerder genoemde Gosh & Torrini zijn van mening dat, zeker na de terroristische aanval van 11 september 2001, het voor beleidsmakers onverantwoordelijk is om géén rekening te houden met een cyberaanval op de vitale infrastructuur (Gosh & Torrini, 2010, p.180). “The terrorist attack was not the product of a failure of intelligence-gathering; it was the product of a failure of imagination” (Ghosh & Turrini, 2010, p.180). Ralph Langner45 is een onafhankelijke onderzoeker die onder andere onderzoek heeft gedaan naar het Stuxnet-virus. Langner is van mening dat het nodig is om op een andere manier naar de beveiliging van procesbesturingssystemen te kijken dan bij andere computertoepassingen, aangezien de kwetsbaarheden anders zijn (Langner, 2013). Om bedrijven te helpen de kritieke infrastructuren veilig te houden heeft Langner het RIPE-model opgesteld. In dit model worden géén nieuwe inzichten geboden, het is slechts een verzameling van reeds bekende inzichten samengebracht in één model. RIPE staat voor ‘Robust ICS Planning and Evaluation’ (Langner, 2013). De kern van dit model is dat het uitgangspunt van een goede cybersecurity is om te zorgen voor duidelijke kaders en documentatie. Bedrijven en SCADA-gebruikers blijken deze zaken vaak niet duidelijk in beeld te hebben en zijn hierdoor kwetsbaar (Langner, 2013). Een reden dat dit bij bedrijven vaak niet goed op het netvlies staat, is dat bij de intrede van procesbesturingssystemen ongeveer 20 jaar geleden de beveiliging geen prioriteit was, het was vaak niet eens een aandachtspunt. Langner gaat in zijn RIPE-model uit van acht domeinen waar rekening mee moet worden gehouden bij het organiseren van de cybersecurity voor procesbesturingssystemen (Langner, 2013). Ook het

45 Ralph Langner staat aan het hoofd van de Langner Group, een organisatie gespecialiseerd in cybersecurity van kritische, vitale infrastructuur.

35


Nationaal Cyber Security Centrum geeft advies over het beveiligen van procesbesturingssytemen. Dit doen zij onder andere door middel van een Factsheet (NCSC, 2012a, FS-2012-02). In dit hoofdstuk worden beide adviezen besproken en gekoppeld met de resultaten van de survey. De resultaten geven inzicht in de mate waarin bedrijven uit de doelgroep in het Rotterdam Rijnmond gebied aandacht besteden aan cybersecurity.

3.1

Algemeen

De survey is naar 43 bedrijven verstuurd. Hiervan hebben 25 respondenten de survey ingevuld (60%). Ruim twee derde van deze respondenten komt uit de (petro)chemische industrie (68%), bijna één derde zijn bedrijven in de open overslag (32%). De respondenten hebben allen een management functie binnen het bedrijf of zijn specialist op het gebied van procesautomatisering. Alle respondenten hebben aangegeven te werken met procesbesturingssystemen binnen de organisatie (zowel SCADA als andere procesbesturingssystemen). De toepassingen van de systemen zijn zeer divers, sommige respondenten geven aan dat zij de systemen gebruiken voor specifieke processen binnen de organisatie zoals verpomping en raffinage van olieproducten, het kraken en distilleren van olie, of het smelten, gieten en walsen van metaal. Anderen geven aan dat het gehele fabrieksproces wordt bestuurd door middel van procesbesturingssystemen. Voor zover bekend bij de respondenten hebben er nog geen grote cyberincidenten plaatsgevonden. Er is wel één respondent die te kennen geeft dat er aanwijzingen zijn geweest dat er sprake van zou zijn geweest: “Ik weet niet de details, maar ik heb gehoord dat FBI contact heeft opgenomen met het bedrijf, omdat er aanwijzingen waren van gevaarlijke handelingen gericht tegen het bedrijf.” De voor dit onderzoek gebruikte checklist van het NCSC (2012a, FS-2012-02) blijkt niet erg bekend te zijn bij de ondervraagden. In figuur 5 is af te lezen dat slechts twee respondenten (8%) uit de (petro)chemische sector hebben aangegeven met deze checklisten te werken. De overige respondenten geven aan dat de organisatie waarin zij werkzaam hier géén gebruik van maakt.

Figuur 5: Checklist NCSC

36


Aangezien het procesbesturingssysteem zorg draagt voor een zeer belangrijk deel van de organisaties, namelijk de bedrijfsprocessen, is te verwachten dat het veilig houden van deze systemen een belangrijk aandachtspunt zou zijn voor bedrijven. Zoals in figuur 6 is af te lezen, blijkt uit de survey dat twee derde van de respondenten, allen uit de (petro)chemische sector, hier dagelijks tot wekelijks mee bezig is. Ruim de helft van de respondenten geven aan hier slechts maandelijks of een enkele keer per jaar aandacht aan te geven. Er is één respondent uit de (petro)chemische sector die zegt hier nooit mee bezig te zijn.

Figuur 6: Cybersecurity aandachtspunt?

Het is lastig voor te stellen dat van een beveiligingsexpert wordt gevraagd om zorg te dragen voor veiligheid, wanneer er een onvolledig overzicht van het bedrijf is. Zonder mogelijkheden om te controleren of camera’s naar behoren werken, of hekken en poorten op slot kunnen of wellicht niet aanwezig zijn is het voor een beveiligingsexpert onmogelijk zijn taak naar behoren uit te voeren. Een beveilingsexpert dienst door een bedrijf te zijn voorzien van alle benodigde informatie. Langner (2013) maakt de vergelijking tussen fysieke en digitale beveiliging, om aan te geven dat er van digitale beveiliging wel wordt verwacht dat er optimaal wordt beveiligd, zonder dat er een volledig overzicht is van het digitale systeem. Onjuiste of onvolledige documentatie van het digitale systeem kan zorgen voor een onbetrouwbare risico-evaluatie, aangezien er geen correcte inzage is in het systeem. Als de beveiliging slechts op een gedeelte van het systeem is ingevoerd, is de beveiliging niet effectief en slechter dan verwacht. Om te kunnen bepalen of er sprake is van potentieel ongewenste toegang tot het netwerk, is het nodig is om een duidelijk en compleet overzicht van de

37


netwerkarchitectuur te hebben (Langner, 2013). Ook Brenner (2013) geeft het belang van een overzicht aan in dit citaat: “To control risk, managers must know who is on their system, what hardware and software are running on the system, and what traffic is going through the system. It’s startling to see how many companies can’t do any of these things, and how few can do all of them.” Brenner, 2013, p.18 Daarnaast geeft het hebben van een database die inzicht geeft in de opbouw van het IT-systeem, informatie over de hardware en over de software inzicht in de identificatie van systemen die beveiligingsupdates nodig hebben (Langner, 2013). In de survey is aan de respondenten gevraagd of er een overzicht aanwezig is van de netwerkarchitectuur. In figuur 7 is deze vraag gekoppeld aan de vraag of er wijzigingen in het procesbesturingssysteem worden aangebracht en of deze wijzigingen worden gedocumenteerd.

Figuur 7: Netwerkarchitectuur en documentatie

38


Uit de resultaten blijkt dat het bij deze bedrijven gebruikelijk is om een duidelijk en compleet overzicht van de netwerkarchitectuur te hebben (88%). Het grootste gedeelte hiervan (72% van alle respondenten) geeft aan dat wijzigingen die in het systeem worden aangebracht ook worden gedocumenteerd. De twee bedrijven (8%) die hebben aangegeven wel een overzicht te hebben, maar nooit wijzigingen aanbrengen in het systeem, komen beide uit de open overslag sector. Ook de respondent (4%) die heeft aangegeven géén overzicht te hebben en daarbij zegt dat wijzigingen aan het systeem niet worden gedocumenteerd, is werkzaam in de open overslag. Twee respondenten (8%) hebben aangegeven dat zij wel een overzicht van de netwerkarchitectuur hebben en dat er ook wijzigingen in plaats vinden, maar zij weten niet of wijzigingen in het ITsysteem worden gedocumenteerd. Aan de hand van deze uitkomsten kan worden gezegd dat het grootste gedeelte van de organisaties die hebben deelgenomen aan het onderzoek er belang aan hechten om zorg te dragen voor een duidelijk en compleet overzicht van de netwerkarchitectuur en dit ook bijwerken bij wijzigingen in het systeem. Opvallend is dat de bedrijven die nooit wijzigingen aanbrengen in het procesbesturingssysteem en het bedrijf dat géén overzicht heeft, allen werkzaam zijn in de open overslag. Een andere kwetsbaarheid in de infrastructuur van de procesbesturingssystemen kwam naar voren in een gedurende het onderzoek gehouden gesprek46. Er bestaat de indruk dat er in hardware die in het buitenland is geproduceerd reeds mogelijkheden tot digitale spionage of sabotage zijn ingebouwd. Deze indruk wordt bevestigd door de AIVD (2010). In een rapport stellen zij dat bij het gebruiken van buitenlandse hard- en software rekening moet worden gehouden met beveiligingsrisico’s (AIVD, 2010). Het is mogelijk dat de bedrijven die de hard- en software ontwikkelen, of die het onderhoud op afstand uitvoeren, op verzoek van hun overheid en inlichtingendiensten ‘achterdeurtjes’ hebben ingebouwd of afspraken hebben gemaakt over het leveren van informatie (AIVD, 2010).

3.2

Netwerkarchitectuur

Procesbesturingssystemen zijn kwetsbaar wanneer zij gebruik maken van dezelfde infrastructuur als andere netwerken, bijvoorbeeld het kantoornetwerk. Verstoringen in het andere netwerk zouden dan direct problemen kunnen opleveren in de procesbesturingssystemen (NCSC, 2012a, FS-2012-02). Deze grote kwetsbaarheid komt onder andere doordat aan procesbesturingssystemen vaak geen updates worden gedaan en de installatie van antivirus software achterwege wordt gelaten. Dit wordt vaak zelfs verboden door de bouwers van deze systemen of door bestuurders, aangezien updates en antivirus-installaties het primaire proces zouden kunnen verstoren of zelfs plat kunnen leggen. Continuïteit in het primaire proces heeft vaak de hoogste prioriteit (Bernaards et al, 2012). Aangezien het een jaar of 20 geleden, bij de intrede van procesbesturingssystemen zoals SCADA, niet mogelijk was deze systemen aan te sluiten op het internet of aan een netwerk te koppelen, zorgde de fysieke isolatie van het systeem voor voldoende beveiliging (Wilhoit, 2013). De levensduur van een procesbesturingssysteem kan oplopen tot ongeveer 20 jaar47. Ondanks dat deze

46 47

Gesprek met cyber-expert defensie, 8 april 2014 Gesprek met medewerkers van een Nederlands bedrijf op het gebied van cyberbeveiliging en cyberdefensie, april 2014

39


procesbesturingssystemen niet zijn ontworpen om aan het internet te worden gekoppeld48 is inmiddels gebleken dat veel van deze systemen inmiddels wel aan het internet zijn gekoppeld, met daarbij weinig belemmeringen die toegang voor onbevoegden voorkomen49 (Wilhoit, 2013; Bernaards et al, 2012). Ook komt het voor dat bedrijven denken dat het procesbesturingssysteem op een apart netwerk staat zonder internetverbinding, terwijl een dergelijke verbinding wel aanwezig is50, zoals in het genoemde voorbeeld van het bezochte bedrijf. Netwerksegmentatie kan deze koppeling voorkomen. Het NCSC (2012a, FS-2012-02) stelt dat elke (netwerk)koppeling een potentieel risico oplevert voor het procesbesturingssysteem. Het algemene advies luidt om procesbesturingssystemen waar mogelijk niet aan het internet te koppelen (Brenner, 2013). Bijna de helft van de respondenten geeft aan dat het procesbesturingssysteem op een afzonderlijk netwerk opereert (44%), zowel in de (petro)chemische sector als in de open overslag. Dit wil ook zeggen dat ruim de helft (52%) wél een verbinding heeft met de kantooromgeving. Eén respondent uit de open overslag sector geeft aan dat er ook af en toe verbinding wordt gemaakt tussen het procesbesturingssysteem en het internet om iets te downloaden of te versturen. De overige respondenten hebben géén directe verbinding met het internet. Hier kan wel de verbinding met de kantooromgeving voor worden gebruikt. Alle respondenten met een interne netwerkverbinding hebben aangegeven dat deze verbinding is beveiligd, bijvoorbeeld door een technologie in te zetten zoals W-LAN51, door middel van een firewall of een andere beveiligingsmaatregel zoals bijvoorbeeld ACL52. Ondanks het advies om géén netwerkverbinding te hebben met een ander netwerk, kunnen er toch redenen zijn om wel voor een dergelijke koppeling te kiezen (NCSC, 2012). In figuur 8 is te zien dat, zoals reeds aangegeven, ruim de helft (56%) van de respondenten heeft aangegeven dat de procesbesturingssystemen van de organisatie ten minste af en toe een verbinding hebben met een ander netwerk. Een reden hiervoor kan zijn het van afstand kunnen verhelpen van storingen, het mogelijk maken van beheer op afstand of simpelweg voor het monitoren van het proces. Voorbeelden van dergelijke beveiligde verbindingen zijn remote access, VLAN’s (Virtual Local Area Networks) en VPN’s (Virtual Private Networks) (NCSC, 2012a, FS-2012-02; Langner, 2013). Criminelen kunnen misbruik maken van deze koppeling tussen het procesbesturingssysteem en de kantoorautomatisering. Via het kantoornetwerk kunnen zij zichzelf toegang verschaffen tot het procesbesturingssysteem (Bernaards et al, 2012).

48

Zie noot 47 Zie noot 47 50 Gezegd door een IT-expert tijdens de workshop van 23 april 2014 51 W-LAN staat voor ‘Wireless-Local Area Network’, een draadloos netwerk. 52 ACL staat voor ‘Access Control List’, met dergelijke toegangslijsten is het mogelijk controle te hebben over inkomend en uitgaand verkeer. Dit kan door middel van ‘whitelisting’ en ‘blacklisting’ . Bij ‘whitelisting’ wordt in een lijst opgenomen welke acties legitiem zijn en mogen worden uitgevoerd, overige acties worden geblokkeerd. Bij ‘blacklisting’ is juist het doel om een cyberaanval op te sporen en te herkennen. 49

40


Figuur 8: Netwerkkoppeling procesbesturingssysteem

Zoals veel te zien is in de industrie, is ook uit deze survey gebleken dat procesbesturingssystemen vaak op een apart netwerk zijn geïnstalleerd welke niet op het internet is aangesloten. Dit geeft het bedrijf het idee dat hiermee het systeem veilig is en dat er geen risico op een cyberaanval is (Wueest, 2014). Dit is slechts schijnveiligheid, helaas biedt de segregatie van het internet op zich nog geen volledige bescherming tegen cyberaanvallen op het procesbesturingssysteem (Wueest, 2014). Zelfs wanneer het systeem niet via internet is verbonden met een ander netwerk, is er nog altijd de menselijke factor aanwezig. De operator die het systeem kan bedienen blijft een connectie van het systeem naar de buitenwereld (Willems, 2011). Bij één van de instanties53 bezocht tijdens dit onderzoek werd dit beeld bevestigd en waande het bedrijf zich volkomen veilig tegen cyberaanvallen door het draaien van het procesbesturingssysteem op een afzonderlijk netwerk. Tijdens het gesprek kwam naar voren dat er een keer een menselijke fout is gemaakt en dat er handmatig een laptop met internetverbinding aan het systeem is gekoppeld. De tijdsduur hiervan is onbekend. Gedurende

53

Bezoek aan een locatie die deel uitmaakt van de Nederlandse vitale infrastructuur op 8 april 2014

41


deze periode was het procesbesturingssysteem dan ook verbonden aan andere netwerken. Zodra dit werd ontdekt is de laptop van het netwerk verwijderd. Dit voorbeeld geeft aan dat de menselijke factor een belangrijke rol speelt bij cybersecurity. Beheer op afstand Het beheer van deze procesbesturingssystemen ligt vaak bij een derde partij. Om kosten te besparen wordt vaak gekozen om het systeem met internet te verbinden om het beheer op afstand mogelijk te maken. Het risico dat hierbij speelt is dat wanneer het systeem aan het internet is verbonden, er mogelijk ook onbevoegde personen het systeem binnenkomen. Deze binnendringers kunnen mogelijk besturingen manipuleren. Bij vitale processen kan dit grote schade veroorzaken. Een ander risico is dat onbevoegden op deze manier aan (proces)informatie kunnen komen en deze verbinding dus gebruiken voor digitale spionage (NCSC, 2012). Uit de survey is naar voren gekomen dat slechts één derde van de respondenten ervoor heeft gekozen om het monitoren van het procesbesturingssysteem en het onderhoud en beheer hiervan enkel op locatie uit te (laten) voeren (32%). Bijna twee derde (64%) van de respondenten heeft het mogelijk gemaakt om het procesbesturingssysteem van afstand te monitoren of onderhoud en beheer uit te voeren. Een aantal bedrijven hiervan uit de (petro)chemische sector (20%) heeft gekozen voor alleen van afstand monitoren, bij de overige respondenten is ook onderhoud en beheer van afstand mogelijk (figuur 9). Verder is er één bedrijf uit de open overslag sector (4%) die hiervoor gebruik maakt van een onbeveiligde verbinding. De overige bedrijven maken gebruik van diverse beveiligingsmaatregelen, zoals remote access via VPN, VLAN of een persoonlijk inlog systeem met een decoder. Eén respondent heeft aangegeven niet te weten of het mogelijk is om van afstand te monitoren, de overige 32% zeggen dat zowel het monitoren van het systeem als onderhoud en beheer aan het systeem niet van afstand mogelijk is. Daarnaast is er één organisatie die heeft aangegeven dat het wel mogelijk is van afstand storingen te verhelpen, maar dat monitoren van afstand niet mogelijk is. Dit antwoord lijkt onwaarschijnlijk, wellicht dat er alleen bij storingen of updates van afstand wordt ingelogd, dit is niet vermeld.

42


Figuur 9: Toegang tot het procesbesturingssysteem van afstand

Van de bedrijven waar het mogelijk is om het proces te monitoren en/of te beheren van afstand, heeft de helft (50%) aangegeven dat dit ook door externe partijen kan worden gedaan. De andere helft laat het monitoren en/of beheer ook op afstand alleen aan interne medewerkers over. Updates van het systeem ‘Lekke’ software blijkt een grote kwetsbaarheid voor procesbesturingssystemen. Kwetsbaarheden die ‘lekke software’ kunnen veroorzaken zijn het werken met oude hardware, oude besturingssystemen en het werken zonder virusscanner (Bernaards et al, 2012). Ook kan een systeem kwetsbaar zijn doordat er updates niet worden gedaan en/of de installatie van antivirussoftware vanaf het begin al achterwege wordt gelaten. De respondenten is gevraagd of er een virusscanner is geïnstalleerd op het procesbesturingssysteem. Van de respondenten heeft ruim een derde aangegeven dat er géén virusscanner op het procesbesturingssysteem zit (36%). Bijna de helft (48%) geeft aan dat er wel een virusscanner op het systeem zit, 16% van de respondenten geeft aan dat zij het niet weten. 43


Figuur 10: Virusscanner

Van de respondenten die hebben aangegeven dat het procesbesturingssysteem is voorzien van een virusscanner, installeert twee derde de updates van de virusscanner lokaal, bijvoorbeeld via een cd of usb-stick. Eén derde van deze respondenten geeft aan dat de virusscanner de update online binnenkrijgt. Wanneer sprake zou zijn van een volledig gesegregeerd netwerk, dan zouden er ook geen software updates worden geïnstalleerd (Wueest, 2014). Maar het niet up-to-date houden van de software laat andere kwetsbaarheden open (Wueest, 2014). Dit was ook te zien bij het Stuxnet incident. Naast vier zero-day exploits is door de makers van Stuxnet ook een oud zero-day-exploit uit 2008 gebruikt. Deze exploit was door Microsoft reeds in 2008 hersteld, maar doordat niet alle procesbesturingssystemen in 2010 de benodigde update hadden uitgevoerd sinds 2008, waren deze systemen kwetsbaar voor de aanval (Willems, 2011). Stuxnet is zo geprogrammeerd dat zodra een computer is geïnfecteerd met Stuxnet, deze computer wordt gescand op een SCADA koppeling. Wanneer hierin de specifieke configuratie wordt herkend zoals bij de uraniumverrijking in Natanz te Iran, dan kan Stuxnet de computer overnemen en zal herprogrammering van de PLC plaatsvinden. Vanaf dit moment kan het gehele productieproces worden overgenomen (Willems, 2011). Het virus is zo geprogrammeerd dat het dit alleen zal doen zolang het ‘denkt’ nog binnen het geïnfecteerde netwerk te zitten. Het is van belang dat updates tijdig worden uitgevoerd om kwetsbaarheden zoals hierboven beschreven uit het systeem te krijgen. Een reden dat dit nog wel uitgesteld wordt, is dat updates veranderingen in het systeem kunnen brengen, waardoor er een mogelijkerwijs verstoringen in het proces kunnen plaatsvinden, waarna de werking niet kan worden gegarandeerd (Bernaards et al, 2012). Dit is ook waar bestuurders in de industrie vaak huiverig voor blijken te zijn, zij willen

44


voorkomen dat het proces waarvoor het systeem wordt gebruikt in gevaar wordt gebracht54. Dit levert een paradoxale situatie op: “Hierdoor kan de paradoxale situatie ontstaan dat om een organisatie op (korte) termijn te beschermen tegen verstoringen, veranderingen doorgevoerd moeten worden die op zichzelf tot verstoringen kunnen leiden.” Govcert.nl, 2008. p.4 Het stilleggen van de productie in de industrie is een kostbare aangelegenheid. Men is dan ook vaak niet bereid om de productie stil te leggen om een update uit te voeren (Bernaards et al, 2012). Toch is het van belang dat de procesbesturingssystemen up-to-date worden gehouden. Wanneer dit wordt nagelaten dan is de software op deze systemen met standaard hack-tools redelijk makkelijk toegankelijk voor hackers (NCSC, 2012a, FS-2012-02). Het gecontroleerd up-to-date houden van de systemen wordt patchmanagement genoemd. Patchmanagement heeft relaties met meerdere processen binnen een organisatie. Voor een goede uitvoering van patchmanagement is een organisatie afhankelijk van externe partijen (Govcert, 2008, p.8). Aan het begin van dit hoofdstuk (figuur 7) is reeds te zien dat 88% van de respondenten wijzigingen in het procesbesturingssysteem aanbrengt, bijvoorbeeld voor patching. In figuur 11 is te zien dat deze updates zowel door interne als externe medewerkers worden geïnstalleerd. Van de respondenten die aangeven dat zij patches uitvoeren, geeft het grootste gedeelte aan dat zij dit lokaal doen, vanaf een cd of een ander lokaal medium, er is géén respondent die deze patches online uitvoert. Wat opvalt is dat 8% van de respondenten heeft aangegeven dat ze wel wijzigingen in het procesbesturingssystemen aanbrengen, maar de systeemupdate niet installeren. Het is niet duidelijk geworden welke wijzigingen zij dan wel aanbrengen. Het idee dat er heerst dat men in de industrie huiverig is voor patches en deze daarom vaak niet uitvoert, wordt hiermee niet bevestigd. Naast het enkel uitvoeren van updates is de timing hiervan ook essentieel. Van groot belang is dat de updates tijdig worden uitgevoerd en dat de update niet wordt uitgesteld. Dit is van belang omdat het systeem kwetsbaar is zolang het niet is bijgewerkt. De kwetsbaarheden zijn op dat moment bekend en zouden kunnen worden misbruikt door derden.

54

Gesprek met IT-expert, april 2014

45


Figuur 11: Patching

Om te voorkomen dat systemen niet of niet tijdig worden gepatcht, is het belangrijk op de hoogte te blijven van kwetsbaarheden in het systeem en van de benodigde patches (NCSC, 2012a, FS-2012-02). Hier lijken de bedrijven die aan het onderzoek hebben deelgenomen kwetsbaar te zijn. Slechts één respondent heeft aangegeven updates uit te voeren op het moment dat deze beschikbaar komt. In figuur 12 is af te lezen dat bijna twee derde (60%) van de respondenten heeft aangegeven dat zij wél updates uitvoeren, maar pas op het moment dat het werk stil ligt vanwege een stop of ander onderhoud aan het systeem. Dit betekent dat gedurende de periode vanaf het beschikbaar komen van de update, tot aan de stop van het bedrijfsproces wanneer ook de update wordt geïnstalleerd, het systeem kwetsbaar is. Uit gesprekken met medewerkers van bedrijven uit de doelgroep is gebleken dat een dergelijke stop slechts enkele keren per jaar plaatsvindt; gebruikelijk lijkt te zijn dat er om de drie maanden een kleine stop is voor onderhoud en slechts één keer per jaar worden de werkzaamheden stil gelegd voor groot onderhoud. Dit wil zeggen dat het kan voorkomen dat een systeem gedurende deze drie maanden tussen de stops niet in aanmerking komt voor een update. Men moet zich realiseren dat gedurende deze periode de systemen kwetsbaar zijn, aangezien de kwetsbaarheden in het systeem bekend zijn bij derden zodra een update beschikbaar is gekomen. Verder hebben twee respondenten (8%) aangegeven pas een update door te voeren als het echt niet meer anders kan, alleen als het nodig is voor het productieproces. Dit laat een systeem gedurende onbepaalde tijd kwetsbaar.

46


Figuur 12: Moment van update

Operators kiezen er tegenwoordig vaker voor om de processystemen met het internet te koppelen. Deze verbinding met het internet maakt het mogelijk dat ook oude procesbesturingssystemen nu online te monitoren of zelfs aan te sturen zijn (Wueest, 2014). Bij één van de bezochte bedrijven55 in de Rotterdamse Haven bleken vijf operators vanaf huis via een VPN-verbinding56 dezelfde handelingen te kunnen verrichten als vanuit de fabriek. Via deze verbinding zijn zij in staat om vanaf huis processen op de fabriek aan te sturen, zoals het openen of sluiten van kleppen, of wijzigingen in het processysteem door te voeren. Een VPN-verbinding wordt vaak aangenomen als veilig, maar dit kan niet altijd worden gezegd. Een ICT-expert57 stelt hierover dat wanneer de VPN-verbinding wordt opgezet vanaf een besmette computer, deze besmetting zou kunnen worden verspreid: “Als de operators deze verbinding via hun eigen privé systeem open zetten dan wordt hiermee een kwetsbaarheid geïntroduceerd; een vpn is net zo veilig als de computers waarmee deze wordt opgezet. Mocht de privé computer al ergens mee besmet zijn, dan kan de besmetting tijdens de vpn verbinding propageren” Citaat ICT-expert58, december 2014

55

Bezoek aan bedrijf in de petrochemische industrie te Rotterdam op 27 maart 2014 VPN is een afkorting voor Virtual Private Network. Een VPN-verbinding is een veilige manier om verbinding te maken met een netwerk of om verschillende netwerken aan elkaar te kunnen koppelen, waarbij de gegevens die worden verstuurd zijn versleuteld. Het versleutelen zorgt dat informatie die via de VPN-verbinding wordt verstuurd wel kan worden onderschept, maar niet gelezen (Bernaards et al, 2012). 57 Mailcontact met ICT-expert Dijk, A.D., promovendus SpySpot bij Defensie, december 2014 58 Zie noot 57 56

47


Dit bedrijf heeft aangegeven een constante verbinding tussen de procesautomatisering en de kantoorautomatisering te hebben. Wanneer het een hacker lukt om in de kantoorautomatisering te komen, dan is het wellicht mogelijk ook het procesbesturingssysteem over te nemen. Niet bij alle systemen is het mogelijk om meteen allerlei handelingen in het systeem door te voeren vanaf een computer. Bij veel systemen zijn fysieke handelingen noodzakelijk, zoals het fysiek opendraaien van een klep. Samenwerking tussen een operator achter een computer en een operator in het veld is vaak noodzakelijk. Wanneer het wel mogelijk is om slechts vanaf de computer handelingen te verrichten, kan een mechanische beveiliging in het systeem zijn ingebouwd, zoals een fysieke beperking of een alarmsysteem dat aangeeft dat er bijvoorbeeld teveel druk in het systeem is opgebouwd59. Eén van de respondenten heeft hierover in de survey aangegeven dat het procesbesturingssysteem alleen te benaderen is wanneer betreffende poorten manueel worden opengezet. Dit wordt slechts gedaan op aanwijzingen van de dienstdoende wachtchef of installatieverantwoordelijke. Deze respondent geeft zelf aan dat dit een moment is waarop het systeem kwetsbaar is: “Op dat moment zou er theoretisch een poging kunnen worden gedaan om inbreuk te krijgen”. De respondent geeft hierbij aan dat de inbreker in het systeem nog wel tegen andere beveiligingsmaatregelen zou aanlopen en dus niet zomaar de besturing van het systeem kan overnemen. Deze fysieke en mechanische beperkingen bouwen een bepaalde mate van veiligheid in het systeem in. Hierdoor is het niet zomaar mogelijk om bijvoorbeeld een tankopslag over te laten lopen, te laten ontploffen of andere wilde scenario’s ten uitvoer te brengen (Wueest, 2014). In het rapport van Symantec wordt benadrukt dat sabotage aanvallen op de systemen wel degelijk zeer goed mogelijk zijn, waarbij de systemen beschadigd kunnen raken (Wueest, 2014). Dit zelfde beeld wordt geschetst door een IT-expert, werkzaam in IT-security: “Het is heel makkelijk om dingen stuk te maken, stukmaken is niet moeilijk.” Gesprek met IT-expert, 2014

3.3

Rollen en rechten

In de beleidsdocumentatie zou moeten zijn aangegeven welk beveiligingsniveau een gebruiker heeft, waarom dit niveau en wat de kwalificaties voor de gebruiker zijn. Daarbij moet onderscheid worden gemaakt tussen netwerktoegang, het fysieke bereik van de gebruiker en wat de interactie met de procesbesturingssystemen exact inhoudt. Duidelijke regels hieromtrent zorgen dat rechtenbeheer eenduidig kan worden toegepast en dat ook externen aan het beveiligingsbeleid kunnen worden gehouden (Langner, 2013). In de industrie lijkt beleid met betrekking tot rollen en rechten goed doorgedrongen, 88% van de respondenten geeft te kennen dat er binnen de organisatie veiligheidsbeleid hieromtrent aanwezig is (figuur 13). Ruim twee derde (68%) van de respondenten heeft aangegeven dat dit beleid er is voor zowel eigen medewerkers als externen. De meeste bedrijven waarbij het veiligheidsbeleid omtrent rollen en rechten aanwezig is, zeggen hierin

59

Bezoek aan bedrijf op 8 april 2014

48


onderscheid te maken tussen verschillende beveiligingsniveaus. Slechts twee bedrijven (8%) zeggen dat alle medewerkers en/of externe partijen op een zelfde beveiligingsniveau worden ingedeeld.

Figuur13: Beleid omtrent rollen en rechten

In de procesbesturingssystemen is het vooralsnog niet altijd een mogelijkheid om te werken met individuele gebruikersaccounts en wachtwoorden. Dit kan een risico opleveren. Om dit risico te verkleinen kan worden gekozen om andere maatregelen te nemen, zoals bijvoorbeeld het zorgen voor een fysieke toegangsbeperking. Dit onderwerp komt in een volgende paragraaf aan bod.

3.4

Vaardigheden en eindgebruikers

De mens blijft een belangrijke factor in de beveiliging. Onvoldoende security awareness onder het eigen personeel is een risico, aangezien het kan zorgen dat de voorgenomen (technische) maatregelen falen. Professionals die door onzorgvuldigheid bedrijfscomputers openstellen voor mogelijke besmetting vormen een risico voor de cybersecurity van de organisatie. Wanneer men zich niet van bewust is van het eigen besmettingsgevaar, dan zit hier waarschijnlijk de zwakste schakel in het systeem (Croonenberg, 2013). Een manier om dit te ondervangen, is door het awareness niveau van het personeel periodiek te toetsen (NCSC, 2012a, FS-2012-02). Een andere mogelijkheid is het opzetten van een trainingsprogramma waarmee personeel inzicht krijgt in het beleid en in de standaardprocedures voor interactie met procesbesturingssystemen (Langner, 2013). Wanneer het personeel het beleid en de procedures internaliseert is de kans groter dat zij zich hier ook aan zullen

49


houden (Willems, 2013) en hiermee een positieve bijdrage leveren aan de beveiliging van de procesbesturingssystemen. Onder de respondenten is gebleken dat trainingen en toetsmomenten met betrekking tot cybersecurity awareness niet hoog op de agenda staan bij de ondervraagde bedrijven. In figuur 14 is te zien dat nog niet de helft van de bedrijven trainingen blijkt aan te bieden om personeel inzicht te geven in beleid en standaardprocedures voor het werken met het procesbesturingssysteem (44%). Het grootste gedeelte van de bedrijven die deze trainingen geven, toetst naast de training ook (periodiek) de cybersecurity awareness onder medewerkers (28% van alle respondenten). Toch geeft een net zo groot gedeelte van de respondenten (44%) aan dat zij géén trainingen verzorgen voor medewerkers op het gebied van beleid en procedures met betrekking tot de procesbesturingssystemen. Hiervan heeft 1 respondent (4%) aangegeven wél de cybersecurity awareness bij de medewerkers te toetsen. Het grootste gedeelte doet echter beide niet (40%).

Figuur 14: Trainingen omtrent beleid en procedures en toetsen van cybersecurity awareness

Zoals reeds aangegeven is het zeer belangrijk voor een bedrijf dat medewerkers zich bewust zijn van het eigen besmettingsgevaar. Periodieke toetsing en trainingen zijn van groot belang om deze kwetsbaarheid te kunnen ondervangen. Uit de reacties van de respondenten blijkt dat hier nog veel ruimte is voor verbetering.

50


3.5

Beleidsdocumenten

Bij de aanschaf van nieuwe apparatuur zou robuustheid en beveiliging een standaardkwaliteitseis moeten zijn. Hierin moet zijn opgenomen aan welke eigenschappen procesbesturingssystemen, maar ook andere industriële netwerkapparatuur, zou moeten voldoen om de kwaliteitscriteria van de organisatie te halen (Langner, 2013). Wanneer procesbesturingssystemen in gebruik worden genomen, is het van belang dat de organisatie aandacht schenkt aan het opstellen van beleid omtrent het gebruik van deze systemen. Wachtwoordbeleid Het beleid omtrent wachtwoorden blijkt vaak een kwetsbaarheid in het gebruik van de procesbesturingssystemen (NCSC, 2012a, FS-2012-02). Figuur 15 laat zien dat de respondenten in de survey hebben aangegeven dat bij bijna alle organisaties de procesbesturingssystemen zijn beveiligd met een wachtwoord (84%). Eén organisatie geeft aan dat er géén wachtwoord op het systeem zit, de respondent van dit bedrijf heeft eerder wel aangegeven dat het systeem geen verbinding heeft met een ander netwerk of internet en dus afgeschermd opereert. Drie respondenten geven aan dat zij niet weten of het systeem is beveiligd door middel van een wachtwoord.

Figuur15: Wachtwoord beveiliging

Een belangrijk punt om rekening mee te houden, is dat een systeem dat is beveiligd met een wachtwoord alsnog kwetsbaar kan zijn. Systemen worden vaak geleverd met een standaard gebruikersnaam (default account) en standaard wachtwoord (default wachtwoord). Wanneer deze niet worden gewijzigd door het bedrijf, dan is dit een kwetsbare factor in het systeem. Maar ook

51


wanneer gebruik wordt gemaakt van simpele wachtwoorden of wanneer het wachtwoord niet regelmatig wordt gewijzigd is het systeem kwetsbaar (NCSC, 2012a, FS-2012-02). Hier blijken nog een aantal kwetsbaarheden te zitten bij de respondenten. Deze zijn in figuur 16 af te lezen. Van alle respondenten heeft 60% aangegeven dat het wachtwoord van het procesbesturingssysteem persoonsgebonden is, toch nog 20% van de respondenten geeft aan dat dit niet zo is. Dit wil zeggen dat er meerdere mensen met dezelfde gebruikersnaam en wachtwoord in het systeem kunnen inloggen. Wat verder opvalt is dat bijna drie kwart van de respondenten (72%) heeft aangegeven dat het is toegestaan om de gebruikersaccounts en/of wachtwoorden die met het systeem zijn meegeleverd, ongewijzigd te laten. Deze default combinaties zijn vaak zeer makkelijk te raden en bieden dan ook geen optimale beveiliging van het systeem. Het NCSC adviseert hierin om deze gegevens altijd te wijzigen (NCSC, 2012a, FS-2012-02). Slechts 2 respondenten (8%) hebben aangegeven dat het door het bedrijf wordt verboden om dit niet te wijzigen. Ook zijn er testen beschikbaar om te achterhalen of er met default wachtwoorden wordt gewerkt. Eén respondent heeft aangegeven dat zij naar aanleiding van een pentest apparatuur hebben gevonden met default wachtwoorden. Na deze ontdekking is dit gewijzigd en heeft het bedrijf ook het beleid en de procedures hierop aangepast. In figuur 16 is te zien dat complexe wachtwoorden daarentegen volgens slechts 60% van de respondenten is verplicht, 16% heeft aangegeven dat hier geen beleid voor is. Het wordt door diverse instanties, zoals het NCSC (NCSC, 2012a, FS-2012-02) aangeraden om regelmatig het wachtwoord te wijzigen, sommige systemen zijn zo ingesteld dat het wachtwoord daadwerkelijk moet worden gewijzigd om verder te gaan. Toch geeft bijna één derde (30%) van de respondenten aan dat er geen beleid is binnen het bedrijf met betrekking tot de wijzigingsfrequentie van het wachtwoord van het procesbesturingssysteem. Het beeld dat hier wordt geschetst dat er binnen de meeste bedrijven die hebben deelgenomen aan dit onderzoek géén beleid is met betrekking tot het omgaan met wachtwoorden op procesbesturingssystemen, wordt bevestigd met de laatste grafiek in figuur 17. Ruim één derde (36%) van de respondenten geeft aan dat dit beleid er wel is en ruim één derde (36%) laat weten dat dit beleid er niet is. De overige respondenten (28%) weten het niet, of hebben helemaal geen wachtwoord op het procesbesturingssysteem. Hier lijkt dus nog veel ruimte voor verbetering.

52


Figuur 16: Wachtwoordbeleid (1)

Figuur 17: Wachtwoordbeleid (2)

53


Fysieke toegangsbeperking Het is bedrijven dus ten zeerste aan te raden om beleid te hanteren rondom wachtwoorden en om beleidsdocumenten voor handen te hebben waarin een structuur wordt vastgelegd hoe mensen in het bedrijf omgaan met kritieke systemen (NCSC, 2012a, FS-2012-02). Niet bij alle systemen is het mogelijk om gebruikersaccounts en/of wachtwoorden te gebruiken. Wanneer dit niet mogelijk blijkt, is het aan te raden ten minste voor voldoende fysieke toegangsbeperkingen te zorgen (NCSC, 2012a, FS-2012-02). Uit de survey blijkt dat fysieke toegangsbeperking tot ruimtes waar procesbesturingssystemen worden bediend gebruikelijk zijn. Van de respondenten geeft 84% aan dat er binnen de eigen organisatie toegangsbeperking is tot deze ruimtes (figuur 18).

Figuur 18: Fysieke toegangsbeperking

Sommige respondenten hebben aangegeven dat er meerdere manieren van toegangsbeperking worden toegepast in de organisatie (figuur 19). Het meest gebruikelijk zijn volgens de respondenten persoonlijke toegangspassen (60%) en daarna sleutels (48%) om in de ruimte te komen waar de kritische besturing van de procesbesturingssystemen plaatsvindt. Eén derde van de respondenten (32%) geeft aan dat een portier de toegang tot deze ruimte regelt, met de toevoeging van een aantal respondenten dat dit toezicht in 24-uurs diensten gebeurt.

54


Figuur 19: Toegangsbeperking procesbesturing

Daarnaast geeft 16% van de respondenten geven aan dat zij géén fysieke toegangsbeperking hebben tot de ruimte waar procesbesturingssystemen worden bediend. Wanneer je daar in het bedrijf binnen bent, is er vrije doorgang naar de procesbesturingssystemen. Deze vier bedrijven hebben wel aangegeven dat een wachtwoord op het systeem is vereist, maar in twee van deze gevallen is dit niet persoonsgebonden, en één van deze respondenten geeft aan dat default gebruikersnamen/ wachtwoorden zijn toegestaan. Hier is ruimte voor verbetering. Wijzigingsbeheer Naast het gebruik omtrent wachtwoorden, is het voor bedrijven verstandig om in de beleidsdocumenten op te nemen wie software bijwerkt en wanneer (Langner, 2013). Alleen wanneer wijzigingen in de IT-infrastructuur duidelijk en inzichtelijk zijn, kan de impact goed worden ingeschat. Door goede documentatie kan een uniforme aanpak ontstaan qua informatiebeveiliging (Langner, 2013). Daarnaast is het bijhouden van de documentie omtrent het updaten van de software van groot belang om goed te kunnen reageren op een incident of kwetsbaarheid (Govcert.nl, 2008, p.25). Ook is het van belang dat een organisatie vooraf een plan heeft opgesteld hoe om wordt gegaan met de eerder uitgelegde paradoxale situatie die kan ontstaan tussen beveiliging van de systemen en continuïteit in de bedrijfsprocessen (Govcert.nl, 2008, p.25). Dit advies wordt goed opgevolgd door de organisaties die hebben deelgenomen aan de survey. Op de vraag of er binnen de organisatie beleid is omtrent het aanbrengen van veranderingen in het systeem in verband met een update of een andere wijziging in het procesbesturingssysteem, geeft het merendeel (80%) aan hier beleid voor te hebben. Twee derde (68%) van de respondenten heeft zowel beleid betreffende het aanbrengen

55


van veranderingen, als een verantwoordelijke persoon voor het bijhouden van de software updates. Van de drie respondenten (12%) die aan hebben gegeven dat er binnen het bedrijf géén beleid is omtrent wijzingen en updates aan het procesbesturingssysteem, hebben er twee aangegeven wel een verantwoordelijke binnen het bedrijf te hebben die verantwoordelijk is voor de wijzigingen en de updates (figuur 20). In totaal heeft daarmee drie kwart (76%) van de respondenten laten weten dat er binnen het bedrijf iemand verantwoordelijk voor is.

Figuur 20: Wijzigingsbeheer

Mobiele apparatuur Veel virus- en malware infecties in de procesbesturingssystemen worden het bedrijf binnengebracht door eigen personeel. Dit gebeurt dan meestal onbedoeld en onbewust. Deze infecties kunnen bijvoorbeeld worden binnengebracht in het procesbesturingssysteem, doordat er besmette removable media, zoals USB-sticks, hard-disks en bijvoorbeeld CD-roms, maar ook mobiele apparatuur zoals laptops, tablets en smartphones, worden aangesloten op het computersysteem (NCSC, 2012a, FS-2012-02). Besmette opslagmedia vormen dan ook een groot riscio voor de kritieke infrastructuur in een bedrijf. Regels omtrent het gebruik van eigen mobiele apparatuur binnen de organisatie kan risico’s verminderen (Langner, 2013). Toch blijkt het in de praktijk nog veel voor te komen dat mobiele apparatuur aangesloten kan worden op de procesbesturingssystemen (figuur 21). Van de respondenten zegt bijna twee derde (64%) dat het mogelijk is om mobiele apparatuur aan te sluiten op het systeem. Bij 24% is het ook toegestaan, de overige 40% geven aan dat het wel kan, maar dat het door de organisatie niet is toegestaan. Minder dan één derde (28%) van de respondenten, geeft aan dat het niet mogelijk is om zelf mobiele apparatuur aan te sluiten op het procesbesturingssysteem.

56


Figuur 21: Aansluiten mobiele appartuur

Een aantal bedrijven zijn zich er van bewust dat mobiele appatuur een kwetsbaarheid kan zijn. Op de open vraag naar de drie belangrijkste beveiligingsmaatregelen binnen de organisatie hebben een drietal respondenten specifiek de blokkering van USB, CD en andere aansluitingen op de procesbesturingssystemen genoemd als één van de belangrijkste maatregelen is om het systeem veilig te houden. Bij een aantal hiervan was dit helaas noodzaak en is dit beleid ingevoerd ná een incident met besmetting van het systeem via mobiele apparatuur. Specifiek genoemd werd een incident waarbij het systeem besmet is geraakt tijdens het uploaden van informatie vanaf een USB stick op een procesbesturingssysteem. Een andere respondent heeft aangegeven dat na gebruik van een USB stick het bedrijf de maatregel heeft genomen om alle computers te verplaatsen naar een beveiligde ruimte. In bepaalde sectoren is het al gebruikelijk om onderhoud door externe leveranciers alleen toe te staan met laptops die onder eigen beheer blijven en slechts voor dat doeleinde mogen worden gebruikt. Een persoon, werkzaam in de zorgsector, zegt hierover: “Ik heb van iedere instelling een laptop in bruikleen en alleen vanaf die laptop kan ik in het systeem. Het grootste deel van het jaar fungeren deze laptops als onderzetter voor mijn koffie kopjes op mijn bureau” (gesprek met ontwikkelaar in zorgsector, februari 2014).

57


3.6

RIPE Framework als meetinstrument

Het RIPE-model van Langner is verdeeld in acht domeinen, en is zo opgesteld dat aan alle acht domeinen scores worden toegewezen welke aangeven in hoeverre is voldaan aan de eisen per gebied, ofwel hoe compliant een organisatie is aan deze beveiligingsfactoren. Door deze scores geeft het RIPE-model organisaties een meetinstrument in handen waarmee kan worden bepaald waar verbeterpunten liggen. Ook kunnen organisaties de modellen vergelijken voor verschillende fabrieken die zij bezitten en zo leren wat er kan worden verbeterd en hoe. Figuur 21 laat een voorbeeld zien van een dergelijke vergelijking van een fictief bedrijf met twee fabrieken, in Atlanta en in Birmingham. Aan de hand van het uitgevoerde onderzoek is het niet mogelijk een dergelijk figuur te schetsen. Voor vervolgonderzoek is een dergelijke schaalindeling aan te raden, aangezien dit een duidelijk beeld laat zien waar de beveiliging van het systeem goed is en waar de kwetsbaarheden en verbeterpunten liggen.

Figuur 22: Voorbeeld van het model van RIPE

3.7

Conclusie hoofdstuk 3

Uit de resultaten van de survey is gebleken dat er meerdere kwetsbaarheden in de cybersecurity van de procesbesturingssystemen zitten. De meeste bedrijven lijken op een aantal punten de zaken goed op orde te hebben, helaas werkt het ook in de digitale beveiliging zo dat alleen wanneer aan alle punten wordt voldaan de risico’s daadwerkelijk kleiner worden. Het risico zit in de kwetsbaarheid van de zwakste schakel.

58


HOOFDSTUK 4 MAATSCHAPPELIJKE EN JURIDISCHE (MEDE)VERANTWOORDELIJKHEID Moet en kan de overheid toezicht houden op de mate waarin bedrijven de cybersecurity van de procesbesturingssystemen regelen? Toezichthouders hebben rekening te houden met wettelijke bepalingen, is het juridisch mogelijk om toezicht te houden op de mate van beveiliging van de procesbesturingssystemen? En wanneer er een incident plaats zou vinden, doordat er onvoldoende cybersecurity op het procesbesturingssysteem zit en hackers hebben ingebroken, in hoeverre kan de overheid, of een RUD in dit geval, (mede)verantwoordelijk worden gehouden voor de geleden schade? Deze vragen komen in dit hoofdstuk aan bod.

4.1

Maatschappelijke (mede)verantwoordelijkheid

Naast een juridische (mede)verantwoordelijk om zorg te dragen voor het milieu, is er de maatschappelijke verantwoordelijkheid. Dit is breder dan slechts toezichthouden op grond van wetgeving en regels. Sinds de jaren negentig is er een verandering zichtbaar geworden in de rol van de overheid met betrekking tot veiligheid. Media spelen hierin een belangrijke rol. Tegenwoordig ontstaat er bij grote incidenten al snel maatschappelijke onrust. De media-aandacht bij een incident is razendsnel en de nadruk wordt nu veel gelegd op emoties en slachtofferschap. Inmiddels speelt ook social media een grote rol in het verspreiden van nieuws (De Graaf, 2012). Bij de vliegtuigramp MH17 was goed te zien hoe snel de radio- en televisiezenders, (online)kranten en social media op gang kwamen60. Dat slachtofferschap en risico’s nu zo breed uitgemeten worden in de media, heeft zowel wetenschappelijk, cultureel als politiek draagvlak doen ontstaan om incidenten tot algehele veiligheidsdreigingen te gaan zien waarbij schuldvragen en verantwoordelijkheidsvragen een centrale plaats hebben gekregen (De Graaf, 2012). Mede door deze ontwikkelingen wordt de druk op de overheid, en tevens ook de wens van de overheid, verhoogd om ‘iets te doen’ met nieuwe risico’s (De Graaf, 2012). Toezichthouders van de rijksoverheid hebben te maken met complexe en snel veranderende omstandigheden. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft de uitdagingen waar de toezichthouders mee te maken krijgen geanalyseerd en daarbij gekeken hoe toezichthouders behoren te reageren op deze uitdagingen en hoe de maatschappelijke meerwaarde van het toezicht kan worden vergroot (201302/AK/pvdb).

60

http://bureaudebruijn.nl/2014/07/sociale-media-zoeken-naar-de-waarheid-over-mh17/feed/; http://www.metronieuws.nl/nieuws/ongeremde-berichtgeving-social-media-is-dilemma-voor-nabestaandenmh17/SrZngv!VCoqzfhsuUDc/, laatst geraadpleegd 12 augustus 2014

59


4.1.1 Toezichtsparadox in een risicosamenleving Het paradox in toezicht blijft dat er enerzijds wordt gevraagd om minder toezicht (201302/AK/pvdb). De nadruk wordt dan gelegd op meer eigen verantwoordelijkheid, minder bureaucratie en bezuiniging (WRR, 2013, p.23). Anderzijds is er de roep om uitgebreider, intensiever en strenger toezicht, dit vooral na incidenten of problematische ontwikkelingen. Toezicht is mikpunt geworden van de media61 en de politiek. Terecht of niet, toezicht is vaak het mikpunt van kritiek, soms nog meer dan de oorspronkelijke verantwoordelijkheden (WRR, 2013). De eerste vragen na een incident zijn vaak niet gericht op het incident zelf, maar zijn gericht op de toezichthouder. ‘Waar was het toezicht? Waarom heeft het toezicht niet of niet eerder ingegrepen?’ (WRR, 2013, p.21). Dit was ook het geval bij incidenten in de chemische industrie, zoals bij Odfjell en bij Chemie-Pack. Een incident brengt imagoschade toe aan de sectoren, maar ook het maatschappelijk vertrouwen in de overheid wordt schade toegebracht. Het vertrouwen in de overheid hangt namelijk nauw samen met het vertrouwen in het toezicht (WRR, 2013, p.22). Hoe veiliger we zijn, hoe groter de behoefte om risico’s te minimaliseren (De Vries, 2006). Dit fenomeen is niet nieuw. In 1986 formuleerde socioloog Ulrich Beck het begrip ‘risicosamenleving’. Met dit begrip wilde Beck aangeven dat de moderne samenleving met nieuwe, industriële risico’s te maken heeft gekregen. Milieuproblemen stonden voor Beck centraal, waarbij hij niet doelde op externe gevaren, maar juist op risico’s voortkomend uit menselijk handelen (Beck, 1986). Ook wanneer er veiligheidsvoorzieningen worden genomen, kunnen enorme ongevallen plaatsvinden. Uit de tijd waarin Beck de risicosamenleving heeft beschreven, zijn een aantal voorbeelden te noemen. In 1986 ontplofte een kernreactor in de Kerncentrale Tsjernobyl in de voormalige Sovjet-Unie.

62

Foto 2: Ontplofte kernreactor Tsjernobyl

Foto 3: Fabriek in Bhopal in 2008, nog altijd niet opgeruimd

63

Twee jaar eerder in 1984, vond in Bhopal, India, een giframp plaats. Er was water in de opslagtanks met de giftige stof methylisocyanaat (MIC) terechtgekomen. Doordat de veiligheidsprocedures niet op orde bleken, konden de veiligheidskleppen openen en zo ontstond er een explosie en een enorme 61

Een voorbeeld: http://www.ad.nl/ad/nl/1038/Rotterdam/article/detail/3288213/2012/07/18/Toezicht-op-chemiesector-is-eenschijnvertoning.dhtml 62 Bron foto: http://www.boston.com/bigpicture/2011/04/chernobyl_disaster_25th_annive.html 63 Bron foto: http://www.thehindu.com/news/national/other-states/german-firm-also-backs-out-of-carbide-wastedisposal/article3910806.ece

60


gifwolk waarin MIC vrijkwam. Duizenden slachtoffers vielen als gevolg, en nog altijd veroorzaakt de vervuiling schade. Uit onderzoek van de BBC is gebleken dat de omgeving van Bhopal, en ook het drinkwater, nog altijd is vervuild en een gevaar voor de gezondheid oplevert64. Dit is géén cyberaanval, maar geeft wel aan dat het een belangrijke ontwikkeling is dat de maatschappelijke acceptatie voor dergelijke risico’s steeds meer afhankelijk is van de beheersbaarheid van de risico’s en van de mate waarin men keuzevrijheid heeft met betrekking tot het nemen van een dergelijk risico (Jung & Molenaar, 2013). Als dergelijke ongevallen voorkomen hadden kunnen worden, waarom is dat niet gedaan? Wanneer dergelijke incidenten in Nederland plaatsvinden, zeker wanneer dit invloed heeft op de vitale infrastructuur, dan wordt er onderzoek gedaan naar de oorzaak van het incident door de Onderzoeksraad voor Veiligheid65. Ongevallen in de sector industrie waar met gevaarlijke stoffen wordt gewerkt, hebben een grote kans op het veroorzaken van maatschappelijke verontrusting. Bepaalde bedrijven in deze sectoren hebben dan ook een meldplicht aan de Onderzoeksraad, en de Onderzoeksraad heeft een onderzoeksplicht voor zware ongevallen in de industrie66. In haar onderzoek kijkt de Onderzoeksraad naar de rol van het bedrijf zelf, maar ook naar de rol van overige betrokken partijen. Er wordt dus ook uitspraak gedaan over de rol van de vergunningverleners, inspecteurs, toezichthouders en handhavers. Ook de rol van de DCMR is in dit kader regelmatig onderwerp van onderzoek geweest. Ondanks dat de Onderzoeksraad zich in principe niet focust op de schuldvraag, leggen burgers de verantwoordelijk voor het minimaliseren van risico’s bij de overheid en verwachten ze dat de overheid door middel van toezicht zorgt voor maximale veiligheid (WRR, 2013, p.23). De WRR zegt hierover: “In de ogen van de burger zorgt goed toezicht ervoor dat de samenleving is beschermd tegen risico’s” (WRR, 2013, p.38). Ook Jung en Molenaar beschrijven deze veranderende overheidsrol (2013). Er blijft ook een vraag om een terugtredende overheid, maar gelijktijdig klinkt er vanuit de samenleving de roep aan de overheid om adequaat optreden. En vooral wanneer er problemen zijn, dan overheerst de roep om overheidsregulering (Jung & Molenaar, 2013). Recent is in de zaak Odfjell naar voren gekomen wat de samenleving verwacht van toezicht. De toezichthouder is in deze zaak aangesproken op de manier van toezichthouden en het laten voortbestaan van risico’s. De Onderzoeksraad heeft de veiligheid bij Odfjell Rotterdam in de periode 2000 tot 2012 onderzocht. Het bleek dat de veiligheidssituatie bij Odfjell Rotterdam langdurig onbeheerst is geweest. Primair is het bedrijf, in dit geval Odfjell Rotterdam, verantwoordelijk voor de eigen veiligheid. Het management had moeten zorgen voor een structurele beheersing van de veiligheid en is hierin tekortgeschoten. Maar naast de eigen verantwoordelijkheid van het bedrijf, heeft de Onderzoeksraad geconcludeerd dat toezichthouders al jaren op de hoogte waren van de slechte veiligheidssituatie bij Odfjell Rotterdam. Toch volgden er nauwelijks bestuurlijke sancties bij regelovertredingen. Vooral de DCMR heeft volgens de Onderzoeksraad niet op juiste wijze toezicht gehouden. De Onderzoeksraad heeft geconcludeerd dat de goede relatie van de DCMR met Odfjell

64

http://news.bbc.co.uk/2/hi/south_asia/4010511.stm Onderzoeksraad.nl. Laatst geraadpleegd april 2014. 66 Onderzoeksraad.nl. Laatst geraadpleegd april 2014. 65

61


Rotterdam heeft gezorgd dat er niet handhavend werd opgetreden. In plaats daarvan werd het overleg met het bedrijf aangegaan. De Onderzoeksraad verwijt de DCMR dat zij te lang te meedenkend en te meegaand waren. Hierdoor hebben zowel werknemers van Odfjell Rotterdam als de omgeving jarenlang een verhoogd risico gelopen. Dit rapport van de Onderzoeksraad heeft geleid tot negatieve media aandacht voor de DCMR. Krantenkoppen zoals “Toezicht faalde bij Odfjell Rotterdam”67 waarin vooral de DCMR negatief aan bod kwam waren het resultaat. En ook “Odfjell kon dankzij DCMR 12 jaar doormodderen”68. De Volkskrant kwam met een vergelijkbare kop: “Toezichthouders lieten Odfjell 12 jaar 'doormodderen'”69. De Volkskrant spreekt in een ander bericht van dezelfde dag zelfs over “een cultuur van pappen en nathouden” bij de DCMR70. Ook reeds vóór het verschijnen van het rapport van de Onderzoeksraad kwam de DCMR negatief aan bod in de media met betrekking tot het toezicht bij Odfjell. Zomer 2012 werd er in de media al veelvuldig geschreven over het functioneren van de DCMR. De DCMR heeft destijds zelf in een rapport geconcludeerd dat Odfjell 30 jaar lang geen tanks heeft gecontroleerd, wat wil zeggen dat ook de DCMR gedurende die jaren niet heeft ingegrepen71. Op 22 augustus 2011 heeft Dhr. Privé van de Partij voor de Vrijheid zich als volgt uitgelaten over de DCMR: “Is de manier waarop DCMR het toezicht en de handhaving ten aanzien van Odfjell heeft aangepakt exemplarisch voor het gehele beleid van de milieudienst? Mocht dit het geval zijn, dan moeten we ons ernstig zorgen maken”72. Ook Leefbaar Rotterdam neemt het falende toezicht de overheid ernstig kwalijk. Dhr. de Jong heeft in een artikel het volgende geschreven over de rol van de DCMR: “Rotterdam, met in haar achtertuin het op één na grootste petrochemische complex ter wereld, is jarenlang door de overheid aan grote gevaren blootgesteld. Onze hoeders waren niet aan het hoeden, maar naar Amsterdams model thee aan het drinken met de grootste overtreder”73. Het rapport van de Onderzoeksraad heeft er voor gezorgd dat de DCMR heeft gezegd dat ze voor een strengere sanctiestrategie hadden moeten kiezen en dat zij erkennen mede verantwoordelijk te zijn voor de ontstane situatie74. Dit zijn slechts een paar voorbeelden van de negatieve publiciteit rondom het toezicht van de DCMR op Odfjell Rotterdam. Hieruit blijkt dat er vanuit de maatschappij werd verwacht dat de overheid ervoor zorgt dat de veiligheid bij een bedrijf als Odfjell Rotterdam op orde is. 4.1.2 De risicosamenleving: van fysiek naar digitaal Politiek en bestuur moeten in dit web van toezicht risico’s minimaliseren, de WRR wijst erop dat er continu nieuwe problemen ontstaan en incidenten plaatsvinden waarmee rekening moet worden gehouden (WRR, 2013, p.38). Inmiddels heeft er een verschuiving plaatsgevonden van veiligheidsrisico’s in het fysieke domein naar veiligheidsrisico’s in het digitale domein. In de huidige digitale ontwikkeling worden allerlei op ICT-gebaseerde producten en diensten aan het internet gekoppeld en tegelijkertijd aan andere producten en diensten. Dit biedt vele voordelen, maar hierdoor ontstaan ook nieuwe veiligheidsrisico’s. In het fysieke domein is het reeds gebruikelijk om

67

nu.nl, laatst geraadpleegd op 18-06-2013 rd.nl, laatst geraadpleegd op 18-06-2013 69 volkskrant.nl, laatst geraadpleegd op 18-06-2013 70 volkskrant.nl, laatst geraadpleegd op 18-06-2013 71 gevaarlijkestoffen.net, 22-07-2012 72 pvvzuidholland.nl, 22-08-2011 73 leefbaarrotterdam.nl, 25-06-2013 74 rijnmond.nl, 18-06-2013 68

62


nieuwe producten en diensten te voorzien van veiligheids- en kwaliteitseisen, in het digitale domein is dit nog niet vanzelfsprekend (NCTV, 2013). Het kunnen waarborgen van digitale vrijheid en veiligheid is een randvoorwaarde voor het functioneren van onze maatschappij. Om hier een start mee te maken is in 2011 de eerste Nationale Cybersecurity Strategie (NCSS1) uitgebracht (NCTV, 2013). Met het uitbrengen van de eerste NCSS wil Nederland een stap zetten van onbewust naar bewust. Sindsdien is er al meer inzicht in dreigingen en kwetsbaarheden die in het cyberdomein spelen. Door de steeds groeiende complexiteit, afhankelijkheid en kwetsbaarheid van ICT-diensten en producten is onze digitale weerbaarheid tegen cyberrisico’s nog altijd onvoldoende. Inmiddels brengt het Nationaal Cyber Security Centrum (NCSC) ook een Cybersecuritybeeld Nederland uit. Het doel van het rapport dat zij uitbrengen is de cybersecurity in Nederland inzichtelijk te maken en te versterken of te verbeteren (NCSC, 2013a). Nederland moet stappen nemen om zich verder te ontwikkelen op het gebied van cybersecurity. In opvolging van de NCSS1 is in 2013 de Nationale Cybersecurity Strategie 2 (NCSS2) uitgebracht. Het doel hierin is om van bewust naar bekwaam te gaan. Dit gaat ook verder in op de verantwoordelijkheid die Ministeries hebben om samen te werken met het bedrijfsleven om de nationale veiligheid in de vitale sectoren te kunnen bewaken. Het kabinet zet hierbij in op het verder versterken en bundelen van de krachten van (inter)nationaal betrokken publieke en private partijen. In het NCSS2 worden verantwoordelijkheden en concrete acties uitgezet (NCTV, 2013). Centraal in het NCSS2 staat de volgende visie: “Nederland zet samen met zijn internationale partners in op een veilig en open cyberdomein, waarin de kansen die digitalisering onze samenleving biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd.” Met het NCSS2 wil het kabinet een samenhang tussen veiligheid, vrijheid en maatschappelijke groei tot stand brengen. Hiervoor moeten alle stakeholders samen verantwoordelijkheid nemen. Het uitgangspunt in het governancemodel dat hierbij hoort, is dat verantwoordelijkheden uit het fysieke domein ook moeten worden genomen in het digitale domein (NCTV, 2013). De overheid neemt zelf een belangrijke rol in deze ontwikkeling, door te investeren in het eigen cybernetwerk en door beschermend op te treden met betrekking tot de veiligheid van bedrijven en burgers, en wat betreft de privacy van burgers (NCTV, 2013). Cyberaanvallen op de chemische industrie is wellicht één van deze nieuwe risico’s om rekening mee te houden. Ook in de chemische industrie en de transportsector worden tegenwoordig bijna alle installaties digitaal aangestuurd.

Figuur 22. Shell vreest cyberaanvallen (CBA, Bernaards et al, 2012)

63


Om het risico’s op een succesvolle cyberaanval te verminderen, is het van belang dat er actie wordt ondernomen. Hahn et al beschreven in 2005 dat cybersecurity in de chemische industrie nog een ondergeschoven kindje was. Zij stelden toen al dat het vrijhouden van computers en netwerken van virussen en hackers, en deze zo beschikbaar te houden voor gebruik, net zo’n belang heeft als het weghouden van criminelen en terroristen van het fysieke terrein (Hahn et al, 2005). Waar voorheen nog weinig bekend was over de digitale processen in de chemische industrie, is dit inmiddels veel beter inzichtelijk. Hahn et al (2005) stellen dat met de zichtbaarheid, ook de interesse en nieuwsgierigheid van hackers wordt gewekt. Een hack op het systeem kan het hele proces vertragen en verstoren, wat de efficiëntie van het proces nadelig zal beïnvloeden (Hahn et al, 2005). Een inbreuk van buitenaf met kwade bedoeling in de besturingssoftware, kan een risico opleveren voor de nationale veiligheid. In de petrochemische industrie en in de transportsector moet dan ook rekening worden gehouden met de mogelijkheid op cybercriminaliteit (Croonenberg, 2013). In de praktijk is gebleken dat het lang kan duren alvorens een dergelijke hack wordt ontdekt. Cyberaanvallen waren volgens Hahn et al reeds in 2005 een serieuze dreiging, dit is alleen maar gegroeid. Vitale infrastructuren zijn hierin vaker het doel (NCTV, 2013). Bij vitale diensten, waartoe het Rotterdam-Rijnmond gebied behoort, zal de overheid waar nodig kader- en normstellend optreden (NCTV, 2013). Nu blijft de vraag welke publieke middelen de politiek kan en wil inzetten om de nieuwe risico’s te bestrijden, zonder dat de betreffende bedrijven te veel hinder ondervinden van extra regeldruk en administratieve lasten? 4.1.3 Smart regulation Professionals in het veld verwachten deskundig advies, maar tegelijkertijd ruimte voor eigen verantwoordelijkheid en ze willen zo weinig mogelijk te maken hebben met bureaucratische regels of procedures omdat dit de bedrijven vaak veel geld kost. Daarentegen verwachten bedrijven wel van de overheid dat zij de ‘rotte appels’ eruit halen en een gelijk speelveld creëert. Vanuit de politiek en bestuur ligt de focus voornamelijk op de naleving van weten regelgeving en het handhaven van kwaliteitsnormen, zonder dat het hoge kosten met zich meebrengt (WRR, 2013). Dit levert twee structurele veiligheidsproblemen op; er ontstaat een enorme spanning tussen veiligheid en economie en er is onduidelijkheid over de eigen verantwoordelijkheid (Van Vollenhoven, 2012, p.143). De overheid moet voorzichtig omgaan met de beperkte middelen die zij heeft voor toezicht, middelen zijn schaars en bezuinigingen zijn aan de orde van de dag (WRR, 2013, p.28). Daarnaast is het voor de overheid niet mogelijk om risico’s uit te bannen, er is slechts een beperkte handhavingscapaciteit voorhanden en totaal toezicht is financieel onacceptabel (bron: boekje toezicht, p.86). Er wordt door overheden dan ook continu gezocht naar slimmere en efficiëntere handhavingstrategieën. Mede hierdoor zijn private en maatschappelijke partijen dan ook een grotere rol zijn gaan spelen in toezicht en regulering. Onder toezicht staande bedrijven worden door deze veranderingen meer aangesproken op het nemen van eigen verantwoordelijkheid voor het eigen handelen (WRR, 2013, p.28). Vitale infrastructuren, zoals de chemische industrie, moeten zich dus ook zelf proactief opstellen en zijn eigendommen beschermen tegen cyberaanvallen en zo de veiligheid van medewerkers, het publiek en de milieu te garanderen (Hahn et al, 2005).

64


Is er in tijden waarin toezicht goedkoper en efficiënter moet (WRR, 2013, p.37) ruimte om toezicht juist uit te breiden en cybersecurity een plaats te geven binnen het overheidstoezicht en kunnen verschillende toezichthouders hierin iets voor elkaar beteken? Opvallend is dat er door verschillende toezichthouders uiteenlopend wordt gereageerd op maatschappelijke, politieke en juridische ontwikkelingen (WRR, 2013, p.40-41). Enerzijds wordt de focus gelegd op de risico’s van nietnaleving van de wet, anderzijds zijn er toezichthouders die zicht juist richten op maatschappelijke risico’s. Samenwerking tussen diverse toezichthoudende instanties lijkt juist in de chemische sector wenselijk. De WRR (2013, p.44) geeft aan dat er juist in de chemische sector veel verschillende instanties zijn betrokken bij vergunningverlening en handhaving. Het bevoegd gezag is wisselend, soms gemeente, provincie of de veiligheidsregio. Ook zijn er verschillende diensten naast elkaar werkzaam, zoals de Milieudienst, Inspectie SZW en Inspectie Leefomgeving en Transport (WRR, 2013, p.44). In het rapport van de WRR (2013) wordt gesproken over het onderbrengen van toezicht op externe veiligheid in een landelijk werkende organisatie. Zover is het (nog) niet, wel bestaat er in de regio Rijnmond reeds een samenwerkingsverband Regenboog, waarin de diverse toezichthoudende instanties trachten nauwe samenwerking tot stand te brengen. Voor 2014 is er gekozen om betrokken toezichthouders op een informatiemiddag bewust te maken van de risico’s met betrekking tot cybersecurity en na te denken over hoe dit nieuwe risico gezamenlijk kan worden aangepakt75. 4.1.4 Systeemgericht toezicht Mocht toezicht op cybersecurity worden opgenomen in het pakket van toezichthouders, dan is het zaak dat er voldoende deskundigen in dienst zijn. Het ligt voor de hand bij cybersecurity allereerst te wijzen op de eigen verantwoordelijkheid van de bedrijven. Vooral bij de bedrijven met risicovolle activiteiten, zoals het geval in de chemische industrie, heeft het bedrijf zelf baat bij een veilige werkomgeving. Daar horen geen risico’s bij vanuit een gebrekkige of onvoldoende cybersecurity. Een vorm van toezicht dat hierbij kan passen is systeemgericht toezicht. Dit wil zeggen dat bedrijven zelf de kwaliteit van de beveiliging bewaken en dat de toezichthouder slechts in de gaten houdt of dit op orde is (WRR, 2013, p.49). Om op deze manier toezicht te kunnen houden, vraagt veel kennis en deskundigheid van een toezichthouder met betrekking tot de gebruikte systemen en de organisatie. De toezichthouder moet capabel zijn om een reality check uit te voeren, om te voorkomen dat er slechts een ‘papieren werkelijkheid’ is, die niet overeenkomt met de echte stand van zaken (WRR, 2013, p.49). Het slechts opnemen van de risico’s in een veiligheidsmanagementssysteem is dan ook niet voldoende, dit is niet meer dan de ‘papieren werkelijkheid’ (WRR, 2013, p.50). In mei 2008 is er een convenant gesloten tussen olie- en chemiesector en overheid om de weerbaarheid tegen moedwillige verstoringen – zoals aanslagen, sabotage en computerinbraak – te verhogen. De bedrijven die aan deze samenwerking meedoen zijn vooral bedrijven die met grote hoeveelheden gevaarlijke stoffen werken. Wanneer het convenant is getekend, verplicht het bedrijf zich om binnen één jaar een security management systeem (SMS) te implementeren om dreigingen zo goed mogelijk af te houden (Te Roller, 2009). Hierin is het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) het centrale aanspreekpunt voor de overheid. De ILenT-inspectie houdt toezicht op de naleving van het convenant (Te Roller, 2009)).

75

Eigen gesprekken samenwerkingsverband Regenboog, werkgroep Middenkaderdag 2014.

65


Een ander hulpmiddel hierbij kan certificering zijn. De overheid heeft de mogelijkheid een onafhankelijke instelling te selecteren om bedrijven te certificeren. Er wordt dan door deze onafhankelijke derde kenbaar gemaakt dat er ‘een gerechtvaardigd vertrouwen bestaat dat een duidelijk omschreven object (een product, proces, systeem of de vakbekwaamheid van een persoon) voldoet aan vooraf gestelde eisen (WRR, 2013, p.50). Een nadeel waar bij certificering rekening mee moet worden gehouden is dat certificeringsinstellingen vaak geen rekening houden met bredere publieke belangen (WRR, 2013, p.51). Als hulpmiddel kan het goed worden ingezet, het legt een deel van de kosten neer bij het bedrijfsleven. Dit hoeft volgens het WRR (2013, p.51) geen probleem te zijn wanneer een sector er zelf ook baat bij heeft. In het geval van een voldoende mate van cybersecurity om risico’s te minimaliseren is het belang voor het bedrijf zeker aanwezig. 4.1.5 Zelfregulering De overheid draagt de verantwoordelijkheid voor een veilige samenleving niet alleen. Van burgers en bedrijven wordt een belangrijke mate van cyberhygiëne verondersteld, dit is het toepassen van basisveiligheidsvereisten. Hierin moeten burgers en bedrijven eigen verantwoordelijkheid nemen. Zowel bedrijven als overheden moeten aansprakelijk zijn op de verantwoordelijkheden die zij hierin hebben. Verder is belangrijk dat zij openheid geven over de maatregelen die worden genomen met betrekking tot cybersecurity en hoe er wordt omgegaan met de gegevens van gebruikers (NCTV, 2013). Deze visie van zelfregulering is niet nieuw. Reeds in 2003 wordt in de kabinetsvisie Andere Overheid de politiek-bestuurlijke wens uitgesproken voor een grotere rol voor het zelfregulerend vermogen van maatschappelijke actoren, met toezicht als aanvulling (WRR, 2013, p.77). Ook stelt de WRR de vraag of toezicht zich juist moet richten op naleving van weten regelgeving, of ook op kwaliteitsverbetering en het stimuleren van excellentie en het lerend vermogen van onder toezicht staande partijen (WRR, 2013, p.30). Wanneer het lerend vermogen een centrale plek heeft, dan past het bij een nieuw onderwerp als cybersecurity om allereerst te beginnen met het creëeren van bewustwording bij bedrijven. Dit wordt reeds gedaan in verschillende vormen en vanuit verschillende invalshoeken. Voorbeelden hiervan zijn workshops, zoals de workshop georganiseerd bij Deltalinqs. In een eerder uitgebracht rapport van de WRR (WRR, 2012), heeft de WRR reeds benadrukt dat de overheid als taak heeft te bevorderen dat ondernemingen zelf ook verantwoordelijkheden nemen in het behartigen van het publieke belang (WRR, 2012). Ondernemers hebben rechten, maar ook plichten (WRR, 2012). “Ook ondernemerschap komt immers met rechten en plichten. De maatschappelijke verantwoordelijkheid van ondernemingen dient dan ook tot uitdrukking te komen in hun management en beleid, in hun gedrag en in de netwerken en organisaties waarin zij opereren. Sectorstandaarden en keurmerken die door brancheorganisaties worden ontwikkeld spelen hierbij een belangrijke rol” Sv WRR Rapport, 2012, p.15 De conclusie van de WRR (2012) is dat bedrijven, burgers, consumenten en maatschappelijke organisaties allen verantwoordelijkheden moeten nemen. Niet alleen de overheid, ook de andere 66


partijen “dienen zich actief bezig te houden met de vraag welke zaken van publiek belang zich aandienen en welke rol zij hebben te spelen bij het behartigen daarvan” (WRR, 2012, p.23). De WRR richt zich hierbij op markten waar de overheid zich om diverse redenen terugtrekt. In dit onderzoek gaat het niet om een markt waar de overheid zich heeft teruggetrokken, maar om een aspect waar nu nog door niemand echt de verantwoordelijkheid voor wordt genomen. Maar ook hier is van toepassing wat de WRR (2012, Sv, p.23) stelt, namelijk dat de overheid ruimte moet maken voor de markt en voor de samenleving. Dit zou geordend moeten gaan, en het mogelijk maken van deze ordening is juist de overkoepelende verantwoordelijkheid van de overheid. “Waar de overheid zich bij het (doen) behartigen van zaken van publiek belang op beperkingen stuit, dient zich de vraag aan bij wie de verantwoordelijkheden daarvoor kunnen worden toebedeeld. Daarbij ziet de raad maatschappelijke ordening als een opdracht waarvoor niet alleen de overheid, maar ook marktpartijen en de samenleving staan. Bedrijven en maatschappelijke organisaties zullen sterker dan nu het geval is hun verantwoordelijkheid dienen te nemen voor zaken van publiek belang” Begeleidende brief WRR aan minister-president bij rapport (2012) De eigen verantwoordelijkheid van de sector brengt ook onduidelijkheden met zich mee. Wanneer de overheid stelt dat ook bedrijven, burgers, consumenten en maatschappelijke organisaties verantwoordelijkheden moeten nemen met betrekking tot een veilige samenleving (WRR, 2012), dan zal er vanuit de overheid duidelijkheid moeten komen wat deze verwachtingen inhouden, en de overheid moet dit verwachtingspatroon kunnen controleren (Van Vollenhoven, 2012, p.162). Dit sluit aan bij de conclusie van het rapport van de WRR (2012), dat de maatschappelijke ordening een overkoepelende verantwoordelijkheid is van de overheid. De vitale infrastructuur krijgt speciale aandacht in het NCSS2. Samen met vitale partijen wordt in beeld gebracht welke ICT-afhankelijke systemen, diensten en processen vitaal zijn. Ook de vitale infrastructuur is steeds meer afhankelijk van ICT-systemen. Wanneer vitale ICT-gebaseerde diensten en processen worden verstoord of uitvallen, dan heeft dit grote impact. Maatschappelijke ontwrichting is een mogelijk gevolg. Door de groeiende verwevenheid tussen verschillende dimensies, zoals publiek en privaat, kan de nationale veiligheid in gevaar worden gebracht door een digitale aanval op een private organisatie. Een dergelijke aanval kan digitaal zeer snel ontwikkelen en om hier tegenop te treden is een snelle, gecoördineerde en flexibele reactie en het vroegtijdig betrekken van de belangrijkste spelers van groot belang (NCTV, 2013). Om de digitale weerbaarheid in Nederland te verhogen, moeten diverse partijen zich hier samen voor inzetten. De ICT-infrastructuur en de kennis is grotendeels in handen van (internationale) private partijen, en de Nederlandse overheid kan het niet alleen. Een heldere rolverdeling en een grote mate van transparantie is hierbij van belang. Hoe de rollen van de diverse partijen zich tot elkaar zullen gaan verhouden, is nog niet inzichtelijk en dit zal in de toekomst blijken (NCTV, 2013). In het NCSS2 heeft de overheid zich de taak toegeschreven sturend op te treden waar nodig. Voor de vitale overheid wordt hierbij vermeld dat regels, normen en standaarden kunnen worden 67


vastgesteld. Waar er nog geen cybersecurityvereisten zijn vastgesteld, zal de overheid deze samen met vitale partijen opstellen (Van Duren & Van Beurden, 2013). In het NCSS2 staat vermeld dat bestaande (sectorale) toezichthouders hun rol zullen moeten verbreden om, waar dit nog niet is geregeld, ook cybersecurity te omvatten. Overlap en dubbeling dient hierbij te worden voorkomen (NCTV, 2013). Hieruit kan de conclusie worden getrokken dat er ook voor Regionale Uitvoeringsdiensten wordt gewezen op de taak om zich te gaan verdiepen in de cybersecurity van de onder toezicht staande bedrijven. De NCTV wijst hiermee op de maatschappelijke verantwoordelijkheid van de toezichthouder om de eigen rol te verbreden en aan te laten sluiten op de nieuwe ontwikkelingen. Daarbij moet worden opgemerkt dat het NCSS2 niet bindend is. Het is slechts een adviesrapport van het NCTV. De overheid is begonnen om cybersecurity in de vitale sector in kaart te brengen. Diverse initiatieven laten dit zien, een voorbeeld hiervan is een eerste onderzoekstender over dit onderwerp, gefinancierd door de ministeries van VenJ, BZK, Defensie en EZ samen met de Nederlandse Organisatie voor Wetenschappelijk Onderwijs. In 2014 wordt een tweede dergelijke onderzoekstender georganiseerd, om zo een verdere impuls aan cybersecurity onderzoek te geven. Het realiseren van een hoogwaardig cybersecurity gehalte van de vitale infrastructuur is een specifiek doel van deze tender (Smelter, 2013). 4.1.6 Publieke belangen als uitgangspunt De WRR (2013, p.117) geeft aan dat de maatschappelijke functie van toezicht centraal zou moeten staan: “Met publieke belangen als uitgangspunt ontstaat oog voor de gewenste en gerealiseerde opbrengsten van toezicht en kunnen die beter worden afgewogen tegen de lasten en kosten” (WRR, 2013, p.117).

Figuur 5 Een verruimd perspectief op rijkstoezicht (WRR, 2013, p.117)

68


Met governance doelt de WRR (2013, p.117) op de wenselijke horizontale omgang met burgers, bedrijven en instellingen. Ook de reflectieve functie van toezicht krijgt van het WRR een centrale plek. Problemen en risico’s kunnen hierdoor vroegtijdig worden gesignaleerd en op de agenda worden gezet. Door ook opbrengsten centraal te stellen in het toezicht, kan een afweging worden gemaakt tussen maatschappelijke baten en lasten van toezicht (WRR, 2013, p.118). Publieke belangen zouden volgens de WRR expliciet als uitgangspunt moeten worden genomen bij de overwegingen omtrent overheidstoezicht. Wet- en regelgeving en de naleving hiervan blijkt nog vaak het uitgangspunt. In de snel veranderende samenleving vallen deze twee mogelijke uitgangspunten niet altijd samen (WRR, 2013, p.117, p.141). Zeker bij ontwikkelingen in het digitale domein is dit laatste zichtbaar, de digitale veranderingen en ontwikkelingen gaan zo snel, dat weten regelgeving hier nog niet op is aangepast. Een ander relevant punt waar de WRR nadruk op legt, is de reflectieve functie van toezicht. Volgens de WRR is het signaleren en agenderen van maatschappelijke problemen een rol van toezichthouders, waarbij kennisdeling en terugkoppeling een grote rol spelen (WRR, 2013, p.136, p.141). Dit onderzoek, tezamen met meerdere initiatieven omtrent cybersecurity die momenteel worden uitgevoerd, sluiten aan bij deze zienswijze van de WRR. Een voorbeeld is de Middenkaderdag 201476 die dit jaar in het teken van cybersecurity staat. Wanneer het voor de overheid niet mogelijk blijkt het publiek belang zelf te behartigen, of dat het wellicht beter is wanneer dit door de markt zelf wordt gedaan, dan is het volgens de WRR (2012, p.181) een taak voor de overheid om dit mogelijk te maken. De overheid zal hierin ruimte moeten maken voor de markt en zal betrokkenheid van andere partijen moeten bevorderen en waar nodig afdwingen. De overheid heeft hierin een overkoepelende verantwoordelijkheid (WRR, 2012, p.181). 4.1.7 Wat de overheid moet doen of wat de overheid kan doen? Het uitoefenen van toezicht is niet vanzelfsprekend. De WRR benadrukt dat de overheid een goede afweging moet maken of en waarom toezicht noodzakelijk is of blijft. Vragen die de WRR hierbij als voorbeeld geeft, zijn: “Wat is de gewenste maatschappelijke ordening in het toezichtdomein en wat zijn de daarbij te borgen publieke belangen? Is voor de behartiging van deze belangen overheidsbemoeienis – in de vorm van toezicht of anderszins – noodzakelijk?” (WRR, 2013, p.152). Pas daarna kan worden overgegaan tot het vormgeven van het toezicht en de interventies (WRR, 2013, p.152). Een complicatie bij eventueel toezicht op cybersecurity, is het mondiale karakter van veel bedrijven. Veel digitale systemen worden vanuit een ander continent aangestuurd77. Overheden kunnen dergelijke mondiale bedrijvigheden lastig reguleren. De WRR ziet hierin een uitdaging voor de overheid om publieke belangen op de juiste plek te behartigen. Een zelfde problematiek is te zien bij voedselveiligheid. In sommige gevallen is het Europese weten regelgeving waardoor de eindleverancier wordt gedwongen om er zelf op toe te zien dat in de voedselketen de juiste

76 77

Eigen gesprekken samenwerkingsverband Regenboog, werkgroep Middenkaderdag 2014. Conference call met bedrijven met SodM op 06 juni 2014.

69


voorzorgsmaatregelen in acht worden genomen (WRR, 2012, p.91). Deze ketenverantwoordelijkheid zal ook bij cybersecurity een rol spelen. 4.1.8 Conclusie maatschappelijke (mede)verantwoordelijkheid Naar aanleiding van het onderzoek naar de maatschappelijke (mede)verantwoordelijkheid van een RUD bij de cybersecurity van de procesbesturingssytemen van BRZO-bedrijven in de (petro)chemische industrie en de open overslag van met name natte bulk, kan worden geconcludeerd dat de rol van een RUD vooral gericht dient te zijn op toezicht houden op de eigen verantwoordelijkheid van bedrijven om te zorgen dat de cybersecurity van de procesbesturingssystemen op orde is.

4.2

Juridische (mede)verantwoordelijkheid

Deze paragraaf gaat in op de juridische (mede)verantwoordelijkheid van een regionale uitvoeringsdienst (RUD) op het gebied van cybersecurity. Centraal in deze paragraaf staan de juridische mogelijkheden voor een RUD om toezicht te houden op cybersecurity. 4.2.1 Wet milieubeheer De overheid heeft de plicht om te zorgen voor het milieu. Deze zorgplicht is wettelijk vastgelegd in artikel 21 van de Grondwet. “De zorg van de overheid is gericht op de bewoonbaarheid van het land en de bescherming en verbetering van het leefmilieu” Artikel 21 Gw Deze zorgplicht is in diverse wetten uitgelegd, de Wet milieubeheer (Wm) is hierin de belangrijkste. De Wet milieubeheer staat centraal in de Nederlandse milieuwetgeving. Hierin staan sinds 1 maart 1993 de algemene regels voor het milieubeheer, specifieke regels zijn verder uitgewerkt in besluiten en ministeriële regelingen. In de Wet milieubeheer zijn de juridische mogelijkheden vastgelegd welke kunnen worden gebruikt om het milieu te beschermen. Het bevoegd gezag hierbij is het bestuursorgaan dat bevoegd is om een omgevingsvergunning te verlenen. De instantie die als bevoegd gezag is aangewezen heeft een beginselplicht tot handhaven, dit wil zeggen dat er in beginsel bestuursrechtelijk moet worden opgetreden bij een overtreding. Een voorbeeld hiervan is de milieuvergunning waarover bedrijven moeten beschikken. In deze vergunning worden voorschriften opgenomen die het milieu ‘de grootst mogelijke bescherming bieden’. In de Wm staat ook vastgelegd welke overheid bevoegd is om bepaalde vergunningen te verlenen78. Een centraal begrip in de Wm is ‘inrichting’. Art. 1.1 lid 1 Wm geeft als definitie voor inrichting: “elke door de mens bedrijfsmatig of in een omvang alsof zij bedrijfsmatig was, ondernomen bedrijvigheid die binnen een zekere begrenzing pleegt te worden verricht”. Hierbij geldt dat de tot eenzelfde

78

http://www.rijkswaterstaat.nl/water/wetten_en_regelgeving/natuur_en_milieuwetten/wet_milieubeheer/. Laatst geraadpleegd op 17 juni 2014

70


onderneming of instelling behorende installaties die onderling technische, organisatorische of functionele bindingen hebben en in elkaars onmiddellijke nabijheid zijn gelegen, als één inrichting worden beschouwd (art. 1.1 lid 4 Wm). In het Activiteitenbesluit zijn algemene milieuregels opgenomen voor activiteiten van bedrijven. Wanneer een bedrijf onder het Activiteitenbesluit valt, hoeft er meestal geen aparte vergunning meer te worden aangevraagd. De regels uit het Activiteitenbesluit zijn dan van kracht79. 4.2.2 Vergunningen De vergunningen en ontheffingen die inrichtingen moeten hebben, zijn sinds 1 oktober 2010 geregeld in de Wet algemene bepalingen omgevingsrecht (Wabo). Deze wet voegt diverse vergunningen samen tot één vergunning: de omgevingsvergunning. In art. 2.1 lid 1 onder e Wabo is opgenomen dat het strafbaar is gesteld om zonder daartoe verleende omgevingsvergunning een inrichting (1) op te richten, (2) te veranderen of het veranderen van de werking of (c) het in werking hebben van een inrichting. Het ministerie van Infrastructuur en Milieu (IenM) hebben de DCMR mandaat, volmacht en machtiging verleend om namens IenM taken uit te voeren. Hieronder valt ook het nemen van besluiten (besluit IENM/BSK-2011/17740280). Op basis van dit mandaat is de DCMR het bevoegd gezag voor het verlenen van vergunningen aan inrichtingen in het werkgebied van de DCMR. De vergunningen worden uitgegeven in opdracht van gemeente, provincie of Rijk. Bedrijven die geen omgevingsvergunning of milieuvergunning nodig hebben, kunnen volstaan met het doen van een melding81. Gebruik maken van de beste beschikbare technieken Van een inrichting wordt verwacht dat zij ten alle tijde gebruik maken van de beste beschikbare technieken om een hoog niveau van bescherming van het milieu te bereiken (art. 1 lid 1 Wabo). Hiermee wordt bedoeld dat een inrichting de meest doeltreffende technieken inzetten om schade aan het milieu te voorkomen of in ieder geval zoveel mogelijk te beperken, voor zover dit economisch en technisch haalbaar is. Met het mandaat van het ministerie van IenM is de DCMR het bevoegd gezag om op basis van nieuwe inzichten wijzigingen of toevoegingen te doen in bestaande vergunningen. Als blijkt dat de risico’s van onvoldoende cybersecurity dusdanig nadelig zijn voor het milieu, dan kan de DCMR van inrichtingen verlangen dat zij gebruik gaan maken van de beste beschikbare technieken om zorg te dragen voor het op orde hebben van de cybersecurity van de procesbesturingssystemen. RUD’s, en dus ook de DCMR, kan alleen handhaven wanneer de rechtsregels en de na te leven voorschriften duidelijk zijn voor de inrichting82. Dit wil zeggen dat om toezicht te kunnen houden en waar nodig te handhaven, nieuwe voorschriften eerst moeten worden opgenomen in de vergunning. De DCMR kan de nieuwe inzichten opnemen in nieuwe vergunningsvoorschriften, ook kunnen reeds

79

http://www.infomil.nl/onderwerpen/integrale/activiteitenbesluit/. Laatst geraadpleegd op 17 juni 2014. Bron: http://wetten.overheid.nl/BWBR0031467/geldigheidsdatum_23-01-2014. Laatst geraadpleegd op 17 juni 2014. 81 Bron: dcmr.nl. Laatst geraadpleegd op 17 juni 2014 82 latrb.nl. Laatst geraadpleegd op 17 juni 2014 80

71


afgegeven vergunningen worden aangepast. Wanneer een voorschrift in de vergunning is opgenomen, dan kan het bevoegd gezag toezicht houden op de naleving hiervan. 4.2.3 Meldplicht De Europese Commissie wil de digitale veiligheid verhogen, in dit kader hebben zij de ambitie geuit om EU-breed een meldplicht in te voeren voor overheden en vitale marktpartijen. In Nederland heeft de Tweede Kamer een dergelijk verzoek ingediend om te komen tot een wettelijk vastgelegde meldplicht bij het Nationaal Cyber Security Centrum (NCSC). Deze meldplicht moet gelden voor alle organisaties die onderdeel zijn van vitale informatiesystemen. Dit verzoek van de Tweede Kamer is gedaan na het ICT-incident bij DigiNotar in 2011. Dit incident heeft het laten zien wat voor invloed een dergelijk incident in de vitale infrastructuur kan hebben op de samenleving (MvT, 2013, behorend bij wetsvoorstel Meldplicht). Op 16 juli 2013 is in Nederland door de Minister van Veiligheid en Justitie een wetsvoorstel ingediend dat hierbij aansluit, de ‘Wet melding inbreuken elektronische informatiesystemen’. Centraal in dit wetsvoorstel staat het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (wetsvoorstel, 2013). In dit wetsvoorstel worden organisaties geacht ICT-inbreuken te melden bij het NCSC. Het NCSC heeft hiermee de taak om maatschappelijke ontwrichting door ICT-inbreuken te voorkomen of in ieder geval te beperken. Van vroeger uit vervult het NCSC de taak van Computer Emergency Response Team (CERT). Dit houdt in dat ze bij ICT-incidenten worden ingezet om te adviseren en te ondersteunen, met als doel het beperken van schade en om snel herstel te bevorderen. Met deze meldplicht wordt het NCSC nog duidelijker een informatiepunt voor ICT-inbreuken. Aan de hand van de meldingen kunnen zij een goede inschatting maken van de impact van de inbreuk en hiermee een inschatting maken in hoeverre er sprake is van potentiële maatschappelijke ontwrichting. Daarnaast kunnen zij de getroffen organisatie ondersteunen met de aanpak van het incident en tegelijkertijd andere vitale organisaties waarschuwen en adviseren. Belangrijk in dit wetsvoorstel is dat het NCSC niet de mogelijkheid heeft tot sanctionering. Er wordt door het NCSC géén toezicht gehouden op de meldplicht en zij kunnen dus ook niet handhaven. Het NCSC heeft de mogelijkheid om de ICT-inbreuk mee op te lossen en (verdere) maatschappelijke ontwrichting te beperken of beter nog te voorkomen. In de Memorie van Toelichting bij het wetsvoorstel wordt benadrukt dat de betrokken organisaties een eigen verantwoordelijkheid hebben voor de eigen informatiebeveiliging. Daarnaast wordt in de Memorie van Toelichting ook benadrukt dat het NCSC de sectorale toezichthouder kan informeren wanneer blijkt dat de meldplicht in een concreet geval opzettelijk niet is nageleefd. De sectorale toezichthouder kan op basis van deze informatie zelf een inschatting maken of de niet-naleving van de meldplicht aanleiding is voor het aanscherpen van het sectorale toezicht op de betreffende organisatie.

72


4.2.4 BRZO In dit onderzoek ligt de aandacht op bedrijven in de (petro)chemische industrie en de open overslag, met name van natte bulk. Dit zijn bedrijven die werken met grote hoeveelheden gevaarlijke stoffen. De regels waar deze bedrijven zich aan moeten houden, zijn steeds strenger geworden. Een incident dat hieraan ten grondslag ligt is het ongeval nabij de Italiaanse stad Seveso. In 1976 vond hier een chemische ramp plaats. Een explosie van een reactor veroorzaakte een giftige gaswolk. Een groot gebied rondom de fabriek werd besmet met een zeer giftige dioxine. Mens en milieu ondervonden veel schade als gevolg van dit ongeval. Duizenden mensen zijn in aanraking gekomen met de zeer giftige stof. Veel mensen zijn hier ziek van geworden (van Rossem, 2012) en velen bleven verminkt achter, voornamelijk met chlooracne. Zwangere vrouwen werd zelfs tijdelijk toegestaan abortus te plegen vanwege de vermeende teratogene werking van dioxine (Deweirdt, 2006, p.5), dit terwijl het plegen van abortus illegaal was. Er zijn geen dodelijke slachtoffers gevallen. Wel is 4% van de veestapel gestorven kort na de blootstelling aan de dioxine en om te voorkomen dat de dioxine via de dieren in de voedselketen terecht zou komen, zijn tienduizenden dieren uit voorzorg geruimd (van Rossem, 2012). Ook de schade aan het milieu was groot, vervuilde grond is afgegraven en elders verwerkt.

Foto 4: Seveso, Italië

83

De gevolgen voor veiligheid en milieu bij een dergelijke ramp zijn enorm. Na dit incident is de Europese regelgeving dan ook aangescherpt. De eerste Europese Seveso-richtlijn is uitgewerkt. Om zware industriële ongevallen in het vervolg te voorkomen moeten bedrijven met een bepaalde hoeveelheid aan gevaarlijke stoffen zich voortaan houden aan Europese regelgeving. Ook moet deze regelgeving de gevolgen voor mens en milieu beperken. De drempelwaarde van de hoeveelheid gevaarlijke stoffen is in de Seveso-richtlijn vastgelegd. Een ander doel van de Seveso-richtlijn was het informeren van de samenleving over de mogelijke risico’s van de industrie. Dit is het ‘need-to-know’principe84. In 1977 is deze richtlijn aangepast en is de Seveso-II van kracht geworden. Hierin is meer aandacht besteed aan risicobeheersing85. In Nederland is de Seveso II-richtlijn geïmplementeerd als het Besluit Risico’s Zware Ongevallen 1999 (BRZO). Het BRZO vormt één juridisch kader voor weten regelgeving omtrent arbeidsveiligheid, externe veiligheid en rampbestrijding. Inmiddels wordt er gewerkt aan de implementatie van de

83

Bron foto: http://www.indymedia.ie/article/104002. Laatst geraadpleegd op 11 december 2014. http://www.lenntech.nl/milieurampen.html. Laatst geraadpleegd 16 juli 2014. 85 http://www.latrb.nl/instrumenten-0/werkwijzer-brzo-ii-0/regelgeving/wetgeving/seveso-0/seveso-richtlijn/. Laatst geraadpleegd op 11 december 2014. 84

73


Seveso III-richtlijn86. Ook Seveso III legt verplichtingen op aan zowel de industrie als aan de overheid. Deze nieuwe richtlijn is in juni 2012 aangenomen. Per 1 juni 2015 zal deze de Seveso-II vervangen. De grootste verandering tussen Seveso II en Seveso III zal te vinden zijn in de werkingssfeer. Seveso III is explicieter in het vermelden van een strengere handhaving. Artikel 19 (Seveso III) verplicht lidstaten de exploitatie of de inbedrijfstelling van een inrichting, installatie of opslagplaats (of een gedeelte daarvan) te verbieden indien de getroffen maatregelen ter voorkoming van een zwaar ongeval duidelijk onvoldoende zijn. Hierbij moet door de lidstaten rekening worden gehouden met ernstige tekortkomingen in het nemen van de noodzakelijke acties opgenomen in het inspectierapport (art. 19 Seveso III-richtlijn). De Seveso II-richtlijn was hierin minder uitgesproken (Van Rossem, 2012) en het bevoegd gezag kiest nu nog zelden voor het stilleggen van een inrichting. Ernstige milieuovertredingen, bijvoorbeeld bij Odfjell en Thermphos, zijn jarenlang gedoogd. Van Rossem (2012) spreekt over een cultuur van ‘pappen en nathouden’ en hiermee wordt niet voldaan aan de beginselplicht van de overheid tot handhaven. De explicietere vermelding in de Seveso III-richtlijn is derhalve een verbetering, toch blijft effectieve handhaving afhankelijk van de feitelijke toezichthouders (Van Rossem, 2012). Dit houdt in dat, mocht er een grond zijn om ook toezicht te gaan houden op de cybersecurity, ook ernstige tekortkomingen in het digitaal beveiligen van de procesbesturingssystemen een reden kan zijn om de exploitatie of de inbedrijfstelling van een (gedeelte van) een inrichting te verbieden. BRZO-bedrijven Bedrijven die boven de drempelwaarde (als bepaald in art. 4 lid 1 en 2 BRZO) van de hoeveelheid gevaarlijke stoffen worden BRZO-bedrijven genoemd. Zij moeten zich houden aan de eisen gesteld in het BRZO, hieronder vallen onder andere het beschikken over een veiligheidsbeleid (art. 5 lid 2 BRZO) en een veiligheidsbeheerssysteem (art. 5 lid 3 BRZO). Boven een bepaalde drempelwaarde worden bedrijven geacht een veiligheidsrapport (art. 8 jo art. 9 BRZO) op te stellen. Bedrijven die onder deze drempelwaarde vallen, worden PBZO-bedrijven genoemd. Deze zijn niet verplicht een dergelijk veiligheidsrapport op te stellen (latrb.nl). Past toezicht op cybersecurity binnen de BRZO weten regelgeving Binnen het BRZO is er géén specifieke aandacht voor cybersecurity. Dit is te verklaren, gezien de Seveso II-richtlijn reeds in 1997 van kracht is geworden, voordat digitale veiligheid een rol ging spelen in de procesindustrie. Ook de nieuwe Seveso III-richtlijn besteed geen aandacht aan cybersecurity. De vraag is of er ruimte is in de BRZO om op basis van de bestaande wetgeving toezicht te houden en/of te handhaven op cybersecurity van de procesbesturingssystemen bij de BRZO-bedrijven. Er is één artikel in het BRZO opgenomen die wellicht ruimte biedt voor het opnemen van toezicht op voldoende cybersecurity bij de BRZO-bedijven. Artikel 5 lid 1 BRZO is een algemeen geformuleerd artikel. Dit artikel verplicht BRZO-bedrijven alle maatregelen te treffen om zware ongevallen te voorkomen:

86

RICHTLIJN 2012/18/EU VAN HET EUROPEES PARLEMENT EN DE RAAD van 4 juli 2012, via: http://www.lne.be/themas/ veiligheidsrapportage/bestanden/bestanden-wetgeving/seveso/vr_2012-18-EU-seveso3.pdf. Laatst geraadpleegd op 04-07-2014 & http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:197:0001:0037:NL:PDF. Laatst geraadpleegd op 16 juli 2014.

74


“Degene die een inrichting drijft, treft alle maatregelen die nodig zijn om zware ongevallen te voorkomen en de gevolgen daarvan voor mens en milieu te beperken” Art. 5 lid 1 BRZO Er wordt gesproken over alle maatregelen. Dit is een zeer brede formulering. Dit biedt ruimte voor interpretatie van de toezichthoudende en handhavende instantie om hier invulling aan te geven. Er is hier ruimte om een bedrijf te verplichten ook digitaal voldoende veiligheid te waarborgen. In lid 2 wordt dit vervolgd met: “Degene die een inrichting drijft, heeft in de inrichting een document voorhanden waarin het door hem gevoerde beleid ter voorkoming van zware ongevallen, rekening houdend met de aanwezigheid en de omvang van de risico’s, is vastgelegd. (...)” Art. 5 lid 2 BRZO Lid 3 geeft aan dat het beleid genoemd in lid 2 moet worden verwerkt tot een veiligheidsbeheerssysteem, dit systeem wordt in Bijlage 2 van de BRZO aan de orde gesteld. Lid a en c van Bijlage II BRZO zijn relevant voor het opnemen van maatregelen met betrekking tot cybersecurity in het veiligheidsbeheerssysteem. Lid a luidt: “die onderdelen van het algemene beheerssysteem waartoe de organisatorische structuur, de verantwoordelijkheden, de gebruiken, de procedures, de procédés en de hulpmiddelen behoren welke het mogelijk maken het beleid ter voorkoming van zware ongevallen te bepalen en uit te voeren.” Bijlage II lid a BRZO Lid c luidt: “de identificatie van de gevaren en de beoordeling van de risico’s van zware ongevallen: de vaststelling en de toepassing van procedures voor de systematische identificatie van de ongewenste gebeurtenissen die tot zware ongevallen kunnen leiden die zich bij normale en abnormale werking kunnen voordoen en de beoordeling van de kans op en omvang van die ongevallen.” Bijlage II lid c BRZO

75


Artikel 5 BRZO is dusdanig breed geformuleerd dat er ruimte is voor eigen invulling van de toezichthouder. Het lijkt mogelijk hier ook maatregelen met betrekking tot cybersecurity onder te verstaan wanneer dit bijdraagt aan het voorkomen van zware ongevallen. Als de toezichthouder de BRZO-bedrijven kan verplichten ook zorg te dragen voor voldoende cybersecurity van de procesbesturingssystemen, dan zal een bedrijf volgens lid a en lid c van Bijlage II ook de risico’s in kaart moeten brengen, de betreffende maatregelen moeten opnemen in het veiligheidsbeheerssysteem en zal het bedrijf moeten kunnen aangeven hoe dit wordt onderhouden. Op grond hiervan kan een RUD maatregelen met betrekking tot cybersecurity opnemen in de vergunningen die zij verstrekken en toezicht houden op de uitvoering hiervan. Ook is handhaven dan mogelijk wanneer een bedrijf een ontoereikende cybersecurity op de procesbesturingssystemen blijkt te hebben. 4.2.5 Fysieke beveiliging vs cyber security Het Interprovinciaal Overleg (IPO) behartigt de belangen van de provincies en is voor provincies het platform voor innovatie en kennisuitwisseling87. Het IPO heeft voorschriften opgesteld die in de vergunningen van BRZO-bedrijven dienen te worden opgenomen. Artikel 1 somt de algemene voorwaarden op, hierin staat omtrent het terrein van de inrichting en toegankelijkheid het volgende onder artikel 1.2 opgenomen: “Op het terrein van de inrichting moet een zodanige afscheiding aanwezig zijn dat de toegang tot de inrichting voor onbevoegden redelijkerwijs niet mogelijk is.” Artikel 1.2 (IPO voorschriften) Dit voorschrift gaat specifiek over het terrein van de inrichting. Naar mijn mening is het van belang om ook in de voorschriften op te nemen dat ook digitaal een zodanige afscheiding aanwezig dient te zijn dat de toegang voor onbevoegden redelijkerwijs niet mogelijk is. In de praktijk worden dergelijke eisen nog niet op een dergelijke manier gesteld. 4.2.6 Jurisprudentie Niet alleen burgers leggen de verantwoordelijkheid voor het minimaliseren van risico’s bij de overheid, deze verantwoordelijkheid wordt ook afgedwongen. Op 22 maart 2011 heeft het Hof Den Haag uitspraak gedaan88 omtrent de rol en de aansprakelijkheid van toezichthouders in de zaak Container Masters (Nederland) B.V. (CMI). CMI was een Rotterdams bedrijf met een milieuvergunning en stond onder toezicht van de DCMR. CMI hield zich bezig met de open overslag van gevaarlijke stoffen. Reeds in mei 1995 werd door de DCMR geconstateerd dat het bedrijf zich niet aan de voorschriften van de vergunning hield. In februari 1996 werd door de DCMR een deadline gesteld, CMI had twee weken om verbeteringen door te voeren. Het bedrijf werkte niet mee en nog geen drie weken later ging het mis. Op 28 februari 1996 brak er brand uit in een loods bij CMI. De eigen loods en de loods van een ander bedrijf zijn hierbij afgebrand (LJN:BP8578). Het Hof

87 88

http://ipo.nl/. Laatst geraadpleegd op 16 juli 2014. http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:GHSGR:2011:BP8578

76


concludeert dat zowel de Gemeente als de DCMR op de hoogte waren van de ernstige risico’s bij CMI. Het Hof is van mening dat de Gemeente en de DCMR de belangen van omwonenden voorop had moeten stellen en dus voortvarend en dwingend op had moeten treden. Hierin heeft de gemeente en de DCMR gefaald en het Hof stelt dat zij beide onrechtmatig nalatig zijn geweest. Het Hof stelt in de uitspraak dat beide partijen adequaat hadden moeten reageren op de aan hen bekende ernstige en acute gevaren (LJN:BP8578). Naar aanleiding van de brand bij CMI is de directeur van de DCMR, Dhr. van den Heuvel, negatief in de media verschenen. EenVandaag schrijft dat Dhr. van den Heuvel erkent dat de DCMR niet goed heeft gehandhaafd. “Dit toont aan dat handhaving niet gratuit is en dat kan dus betekenen dat je als je het als bestuurder niet zorgvuldig doet, dat je dan op de blaren moet zitten. Dat zitten wij nu”, aldus Dhr. van den Heuvel89. Dit arrest is van groot belang, aangezien het Hof concludeert dat ook de DCMR, die in mandaat toezicht houdt, aansprakelijk kan worden gesteld voor de ontstane schade wanneer blijkt dat er sprake is van falend toezicht (LJN: BP8578). Maatschappelijke en juridische verantwoordelijkheid komen in deze zaak dus samen. Een ander Nederlands voorbeeld is een ongeval op het terrein van Thermphos Vlissingen. Thermphos is een producent van fosfor en fosforzuur met diverse vestigingen. De hoofdvestiging was in Vlissingen. Het gaat om een BRZO bedrijf in de chemische industrie. Inmiddels is het bedrijf failliet. Op het terrein stonden acht fabrieken. Tijdens een onderhoudsstop in één fosforoven in de fabriek vond in de nacht van 14 op 15 mei 2009 een zwaar ongeval plaats. In de betreffende oven was sprake van een aantal gevaarlijke stoffen en gevaarlijke dampen in de atmosfeer. Tijdens het onderhoud was de ventilatie afgebouwd en hierdoor werd de lucht in de oven niet meer ververst. Er ontstond een schadelijke atmosfeer. Drie medewerkers hebben zonder adembescherming deze besloten ruimte betreden. Aan de gevolgen hiervan zijn twee van de medewerkers overleden, de derde medewerker is ter observatie in het ziekenhuis opgenomen. De Onderzoeksraad heeft onderzocht hoe dit voorval heeft kunnen plaatsvinden. De oven had de status van besloten ruimte moeten krijgen, dit wil zeggen dat er risico is op verstikking, bedwelming, vergiftiging, brand of explosie. Ondanks dat het volgens normale voorschriften verplicht is een veiligwerkvergunning aan te vragen voor dergelijke werkzaamheden in een besloten ruimte, werd in dit geval aangenomen door de betrokken partijen dat deze vergunning niet nodig was. De betreffende oven werd niet benaderd als besloten ruimte. Het gevolg hiervan was dat de benodigde veiligheidsmaatregelen om daar veilig te kunnen werken niet zijn genomen. Ook was er geen vluchtmasker aanwezig in de oven en de slachtoffers hadden die zelf ook niet bij zich, ondanks dat het een algemene veiligheidseis was van het bedrijf om ten alle tijden een vluchtmasker binnen handbereik te hebben. Uit het onderzoek is gebleken dat de medewerkers zijn overleden door de gevaarlijke stoffen en dampen in de oven. Onder andere naar aanleiding van dit ongeval is het toezicht op Thermphos Vlissingen aangescherpt (Inspectie SZW, 2012). Het aanscherpen van het toezicht werd door Inspectie SZW wenselijk geacht, aangezien Thermphos de Arbeidsomstandighedenwet en de daaraan verbonden besluiten, zoals de BRZO, onvoldoende naleefde. De veiligheid en gezondheid van medewerkers en omwonenden kon daardoor niet worden geborgd. Kort na het ongeval bleek dat Thermphos reeds jarenlang te veel vervuilende stoffen had uitgestoten en dat er stelselmatig gebrek aan aandacht was voor veiligheid.

89

eenvandaag.nl, laatst geraadpleegd op 06-07-2012

77


Het management nam onvoldoende maatregelen om dit te verbeteren90. Eén van de vervuilende stoffen die het bedrijf uitstoot was dioxine. Een te hoge uitstoot van dioxine is gevaarlijk voor de gezondheid van omwonenden91. Bij Thermphos zijn de financiële problemen begonnen toen zij boetes opgelegd kregen van toezichthouders omdat de fabriek te vervuilend was. In november 2012 is Thermphos Vlissingen door de rechter failliet verklaard. Thermphos zorgde in Vlissingen voor veel werkgelegenheid in de regio, met 450 werknemer en daarbij circa 250 personen van ingehuurde aannemers. Bij het dreigen van het faillissement van het bedrijf zijn medewerkers een petitie gestart. Hiermee willen zij de Provincie oproepen om zich in te zetten voor het voortbestaan van het bedrijf92. Interessant in dit laatste voorbeeld is hier dat de omwonenden niet wilden dat Thermphos de deuren zou sluiten. Het belang van werkgelegenheid lijkt hier voor het belang van volksgezondheid te gaan. Bij nader onderzoek is gebleken dat de omwonenden Thermphos wilden zien doorgaan, maar met scherper toezicht van de overheid. Omwonenden vinden dat de overheid verantwoordelijkheid draagt voor toezicht op de volksgezondheid. De overheid moet ervoor zorgen dat het bedrijf zich aan de regels houdt en dat er géén gevaar voor de volksgezondheid ontstaat93. Ook in andere sectoren is de publieke reactie bij een incident vaak gericht op lokale overheden. Zoals bij de horecabrand in Volendam, maar ook bij de vuurwerkramp in Enschede. Hoewel directe oorzaak bij beide incidenten was dat de betreffende ondernemers hadden nagelaten de juiste voorzorgsmaatregelen te treffen, werden in de media lokale overheden als hoofdschuldigen aangewezen, wegens gebrek aan toezicht op de ondernemingen (Van Erp et al, 2008, p.86). 4.2.7 Conclusie juridische (mede)verantwoordelijkheid Aan het begin van deze paragraaf is de vraag gesteld of er een juridische (mede)verantwoordelijkheid is voor de overheid om toezicht te houden op het gebied van cybersecurity in de procesindustrie. Er blijkt vooralsnog geen specifieke wetgeving omtrent dit onderwerp aanwezig te zijn. Wel zijn er een aantal breed geformuleerde wetsartikelen, zogenaamde ‘kapstok-artikelen’, die ruimte geven om ook cybersecurity te omvatten. Ten eerste is er de algehele zorgplicht van de overheid voor het milieu (art. 21 Gw). Een cyberaanval op de procesindustrie kan net als andere incidenten in de (petro)chemische industrie en de open overslag van natte bulk, milieu- en veiligheidsschade opleveren. De fysieke gevolgen waar we hier rekening mee dienen te houden, zijn niet anders dan bij een ander incident. In dit onderzoek is gekeken naar de bedrijven die vallen onder de BRZO weten regelgeving. Artikel 5 BRZO is een zeer breed geformuleerd artikel en kan als kapstok dienen om ook cybersecurity te omvatten, aangezien het BRZO-bedrijven verplicht om alle maatregelen te treffen om zware ongevallen te voorkomen. Dit sluit digitale beveiligingsmaatregelen niet uit. Als er een digitaal risico is, dan zal hier tegen moeten worden beschermd door het bedrijf. Verdere BRZO artikelen

90

parool.nl, 23-09-2013 nos.nl, 21-09-2010 92 nos.nl, Laatst geraadpleegd op 28-09-2011 93 Gesprek met Dr. A. Blomberg, 18-02-2014 91

78


verplichten bedrijven de risico’s in kaart te brengen en de maatregelen ter voorkoming van zware ongevallen op te nemen in een veiligheidsbeheerssysteem. Op grond van deze reeds bestaande wetgeving lijkt er voldoende ruimte voor een RUD om te handhaven wanneer blijkt dat een bedrijf niet de benodigde maatregelen neemt om ook digitaal zorg te dragen voor voldoende veiligheidsmaatregelen om zware ongevallen te voorkomen. Verder is er een opening in de wet nu het wetsvoorstel Meldplicht voor overheden en vitale marktpartijen is ingediend. Het NCSC kan de sectorale toezichthouder op de hoogte stellen wanneer de meldplicht opzettelijk niet is nageleefd. Wanneer een dergelijke melding binnen komt bij een RUD dan heeft deze RUD ruimte om een eigen inschatting te maken betreffende het aanscherpen van toezicht op de betreffende organisatie.

79


HOOFDSTUK 5 CONCLUSIE EN DISCUSSIE In dit laatste hoofdstuk worden de belangrijkste conclusies van dit onderzoek nogmaals genoemd en samengevat, om hiermee de centrale probleemstelling te beantwoorden. De hoofdbevindingen van dit onderzoek worden in paragraaf 5.1 besproken middels het beantwoorden van de deelvragen die aan het begin van dit rapport zijn gesteld. In paragraaf 5.2 komt de beantwoording van de centrale probleemstelling aan bod als ook de uiteindelijke conclusie en de implicaties die dit heeft op het huidige toezicht.

5.1

Samenvatting hoofdbevindingen

5.1.1 Welke vormen van cybercriminaliteit zijn een risico voor de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag? Allereerst is in dit onderzoek gekeken naar welke vormen van cybercriminaliteit een risico opleveren voor de BRZO-bedrijven in de (petro)chemische industrie. Uit de literatuur is gebleken dat vooral cyberspionage blijkt een zeer belangrijke vorm van cybercriminaliteit te zijn voor onder andere deze groep BRZO-bedrijven (onder andere Bernaards et al, 2012; AIVD). Een groot deel van de cyberaanvallen op de procesindustrie blijkt gericht te zijn op spionage en informatieverzameling. Daarnaast is te zien dat er pogingen worden gedaan om een procesbesturingssysteem over te nemen of aan te sturen (Wilhoit, 2013). Zulke doelgerichte aanvallen om de procesbesturingssystemen over te nemen komen nog niet veel voor, of tenminste zijn er weinig incidenten bekend. Stuxnet is een bekend voorbeeld van een, zeer waarschijnlijk staatsgestuurde, cyberaanval op de procesbesturingssystemen van de vitale infrastructuur (Sanger, 2012; Croonenberg, 2013). Een reden dat hier nog weinig voorbeelden van zijn zou kunnen zijn de lage aangiftebereidheid van bedrijven om hier informatie over bekend te maken uit angst voor imagoschade. Daarbij wordt het loggen niet altijd goed uitgevoerd, waardoor achteraf niet meer te achterhalen is wat er exact is gebeurd. Prioriteit lijkt vaak te liggen bij het zo snel mogelijk oplossen van het probleem, niet bij het zoeken naar de oorzaak van de verstoring (Bernaards et al, 2012). De industrie lijkt dus het meest kwetsbaar te zijn voor cyberspionage. Het is van belang hierbij te realiseren dat een doelbewuste cyberaanval uitgevoerd om via een procesbesturingssysteem schade aan te richten veel voorbereiding vergt. Cyberspionage kan niet louter worden ingezet om concurrentievoordeel te behalen, ook voor het voorbereiden van een aanslag op de industrie is cyberspionage een middel om kennis en informatie te vergaren. 5.1.2 Wie zijn de mogelijke daders van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag? Uit een aantal onderzoeken (NCSC, 2013; Bernaards et al, 2012; Wilhoit, 2013; AIVD) is gebleken dat doelgerichte aanvallen op procesbesturingssystemen wel degelijk al plaatsvinden, maar dat het lastig is om aantallen en motivatie te bepalen, net als dat daders moeilijk aan te wijzen zijn. Met de huidige technologie is het voor een hacker relatief eenvoudig zich voor te doen als een ander, vaak blijft het slechts bij vermoedens wie de dader is. Insiders kunnen een zeer belangrijke rol spelen bij een 80


cyberaanval op de procesbesturingssystemen en worden vaak (onbewust) ingeschakeld als hulpmiddel om kennis en informatie te verzamelen met betrekking tot de locatie en de software. Er kan onderscheid worden gemaakt tussen diverse dadergroepen, waaronder door het NCSC (2013) staten, terroristen, cybervandalen en groepen professionele criminele specialisten worden genoemd. Naast deze dadergroepen is er nog een groep hackers, zogenaamde beveiligingsonderzoekers, die kwetsbaarheden in de procesbesturingssystemen juist opsporen om de digitale veiligheid te vergroten (NCSC, 2013). De motieven van de verschillende dadergroepen kan dus nogal uiteenlopen. De beveiligingsonderzoekers willen de eigen expertise juist gebruiken om kwetsbaarheden in de procesbesturingssystemen op te sporen en bekend te maken (NCSC, 2013). De overige groepen daders zijn kwaadwillender van aard. Zoals in paragraaf 5.1 reeds genoemd, blijkt concurrentievoordeel behalen een belangrijk motief bij het uitvoeren van een cyberaanval op de industrie (Bernaards et al, 2012; AIVD). Attributie van motief en dader blijkt echter zeer lastig te zijn. Uit het onderzoek van Wilhoit (2013) is gebleken dat doelgerichte aanvallen plaatsvinden en dat de aanvallen van over de hele wereld kunnen komen. Vooral China heeft hier een groot aandeel in. Dit beeld wordt bevestigd door verschillende bronnen, waaronder de AIVD. Een belangrijke reden hiervoor lijkt te zijn dat er in de Rotterdamse haven en industrie heel veel waardevolle informatie en kennis beschikbaar is, waar andere bedrijven en ook staten interesse in hebben om de concurrentiepositie mee te kunnen verbeteren. Door de lage aangiftebereidheid is het lastig hier een goed beeld over te verkrijgen, dit kan in dit onderzoek dan ook niet met cijfers worden onderbouwd. Ook is er geen toegang tot politiedossiers geweest om de aangiftes die hieromtrent wel zijn gedaan te analyseren. Dit zou interessant kunnen zijn voor een vervolgonderzoek om zo in beeld te krijgen welke incidenten worden gemeld. Daarbij is het niet altijd te zien dat een bedrijf slachtoffer is van cyberspionage. Aangezien er geen directe schade wordt aangericht, blijft de spionage vaak onopgemerkt en kan de spionage gedurende een onbepaalde tijd onopgemerkt blijven. Het is in dit onderzoek dus niet mogelijk een schatting te geven van daadwerkelijke aantallen slachtoffers van cyberspionage. De AIVD geeft aan dat terroristen vooralsnog geen dadergroep zijn bij cybercriminaliteit op de procesbesturingssystemen. echter moet er rekening mee worden gehouden dat het plegen van een terroristische aanslag op procesbesturingssystemen veel kennis en voorbereiding vereist en er dus kans bestaat dat deze kennis momenteel wordt vergaard door middel van cyberspionage. Aangezien de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag van met name de natte bulk behoren tot de vitale infrastructuur en de gevolgen voor milieu en veiligheid zeer groot zijn, is het aan te raden om terroristen wel als potentiële dader mee te nemen in verder onderzoek over dit onderwerp. Naast cyberaanvallen met een langdurige voorbereiding, moet er rekening mee worden gehouden dat het ook mogelijk is dat er grote schade aan systemen wordt toegebracht zonder geavanceerde kennis van het procesbesturingssysteem. Ook door vandalisme kan grote schade ontstaan (Bernaards et al, 2012). Vooralsnog blijft het lastig te achterhalen wie achter een bepaalde cyberaanval zit en wat de motieven zijn, verder onderzoek naar daders blijft dus van groot belang om beter inzicht te krijgen in de daders en de motieven omtrent cyberaanvallen in de procesindustrie. 81


5.1.3 Wat zijn mogelijke gevolgen van cybercriminaliteit bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag? De uitval van (een gedeelte van) de vitale infrastructuur kan zeer ernstige gevolgen opleveren voor de Nederlandse samenleving (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008). Er zijn weinig gegevens bekend over schade aangericht door cyberaanvallen op de procesindustrie, maar er wordt gespeculeerd dat er veel meer schade wordt aangericht aan procesbesturingssystemen dan dat er nu bekend wordt gemaakt (Wilhoit, 2013). Dit zijn vooralsnog slechts speculaties, vervolgonderzoek hiernaar is nodig om hier gedegen uitspraken over te kunnen doen. Aangiftebereidheid bij een cyberaanval is laag waardoor er weinig cijfers openbaar beschikbaar zijn. Bedrijven zijn vaak bang voor imagoschade en lijken een verstoring in het systeem niet graag (publiekelijk) te koppelen aan een cyberaanval. Ook de Nederlandse economie kan grote schade ondervinden door bijvoorbeeld cyberspionage in de procesindustrie. De marktpositie kan worden verstoord wanneer kennis en informatie uit Nederland wordt weggehaald (AIVD). Bedrijven zelf kunnen ook grote economische schade ondervinden van een cyberaanval, ook wanneer er geen fysieke schade is geleden. De herstelwerkzaamheden aan het procesbesturingssysteem alleen al kunnen zeer kostbaar zijn, zeker wanneer hiervoor moet worden overgegaan tot het stilleggen van het productieproces. Dit is een zeer kostbare aangelegenheid en wordt meestal alleen gedaan bij noodzakelijk onderhoud (Bernaards et al, 2012). Veel systemen hebben reeds detectiemechanismen ingebouwd om schade door een cyberaanval te voorkomen. Toch is het mogelijk dat een hacker het systeem binnen kan komen en schade kan aanrichten. Dit is bijvoorbeeld te zien bij de aanval in Natanz, te Iran met Stuxnet, waar circa 1000 centrifuges uiteindelijk zichzelf hebben opgeblazen (Bernaards et al, 2012). Wanneer het een hacker in Nederland zou lukken om een bijvoorbeeld een explosie te veroorzaken in de procesindustrie door manipulatie van de procesbesturingssystemen, dan zouden de gevolgen voor milieu en veiligheid gelijk zijn aan andere incidenten. Het is aan te raden dat in vervolgonderzoek omtrent gevolgen en schade ook verstoringen in het digitale systeem worden meegenomen. 5.1.4 In hoeverre zijn de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag in het Rotterdam Rijnmond gebied kwetsbaar voor cybercriminaliteit en vormt de hyperconnectiviteit tussen deze bedrijven een extra risico? Om deze vraag te kunnen beantwoorden, is een survey uitgevoerd onder bedrijven in de (petro)chemische industrie en in de open overslag van met name natte bulk in het Rotterdam Rijnmond gebied. De lijst met bedrijven binnen de doelgroep bestond in eerste instantie uit 56 bedrijven. Er is veel aandacht besteed aan het opstellen van een uitgebreid online survey, om een totaal beeld te krijgen van de kwetsbaarheden in de bedrijven uit de doelgroep. Met al deze bedrijven is getracht persoonlijk contact op te nemen om een grote respons te kunnen verkrijgen en om te zorgen dat het onderzoek door de persoon met de juiste expertise zou worden ingevuld. Door veelvuldig telefonisch contact hebben 43 bedrijven toegezegd deel te nemen aan het onderzoek. Dit heeft uiteindelijk 25 bruikbare respondenten opgeleverd. Uit deze respons is gebleken dat er nog meerdere kwetsbaarheden in de cybersecurity van de procesbesturingssystemen te zitten. De meeste bedrijven lijken op een aantal punten de zaken goed op orde te hebben, helaas werkt het ook in de digitale beveiliging zo dat alleen wanneer aan alle 82


punten wordt voldaan, de risico’s daadwerkelijk kleiner worden (Langner, 2013; NCSC, 2012). Het risico zit in de kwetsbaarheid van de zwakste schakel. Dit gaat op voor de digitale beveiliging van de eigen systemen van het bedrijf, maar geldt ook voor de samenwerkende bedrijven. Kenmerkend voor de Rotterdamse haven en industrie is de hyperconnectiviteit. De opmerking dat een bedrijf zo goed beveiligd is als de zwakste schakel, gaat hier ook op voor de beveiliging van de bedrijven waarmee wordt samengewerkt. Daarnaast kan het voor een bedrijf lijken alsof er niets te halen valt, door middel van cyberspionage kan er kennis en informatie worden ingezien die niet slechts nadelig is voor het eigen bedrijf, maar ook voor andere bedrijven. Dit wordt nog wel eens over het hoofd gezien. De beveiliging van digitale systemen is niet slechts een taak voor de ICT-afdeling van een bedrijf. Kwetsbaarheden in de cybersecurity kunnen in meerdere domeinen zitten. Het kan gaan om zwakke plekken in de procesbesturingssystemen zelf, echter ook ontbrekende of onvolledige procedures of menselijke gedragingen kunnen de zwakke plek in het systeem zijn waardoor misbruik van het systeem mogelijk is. Updates en antivirus software worden vaak achterwege gelagen omdat deze het primaire proces zouden kunnen verstoren. De continuïteit van het bedrijfsproces heeft vaak de hoogste prioriteit. Om kosten te drukken wordt ook steeds vaker gekozen voor beheer op afstand. Hiervoor is een internetverbinding vereist. Een belangrijk punt om hierbij te noemen is het feit dat de meeste procesbesturingssystemen reeds zijn ontwikkeld voordat het internet zijn intrede heeft gedaan. De systemen zijn niet ontworpen om aan het internet te worden gekoppeld en lopen een risico wanneer dit wel gebeurd. Echter ook voor nieuwere systemen blijft het advies om op een volledig geseggregeerd netwerk te opereren (NCSC, 2012). Een groot risico is het niet of niet tijdig bijwerken van het systeem. Updates die niet worden geïnstalleerd zijn ook bekend bij hackers, via internet verspreid deze kennis zich zeer snel (Langner, 2013). Met standaard hack-tools is de software dan ineens redelijk makkelijk toegankelijk voor hackers. Dit risico lijkt vaak ernstig onderschat, het grootste deel van de onderzochte bedrijven laat het systeem voor onbepaalde tijd kwetsbaar, door een update pas te installeren wanneer dit uitkomt met de dagelijkse bedrijfsvoering. Dit kan dagen tot maanden ná het uitkomen van de update zijn. Rollen en rechten behoren een aandachtspunt te zijn in een goede cybersecurity van de procesbesturingssystemen. De onderzochte bedrijven lijken hier goed gehoor aan te geven en beleid hieromtrent lijkt aanwezig. Hier rust nog een kanttekening voor de procesbesturingssystemen, waar het nog niet altijd tot de mogelijkheden behoort om met individuele gebruikersaccounts en wachtwoorden te werken. Een belangrijke kwetsbaarheid blijft ook bij cybersecurity de eindgebruiker, de mens (Croonenberg, 2013; NCSC, 2012; Langner, 2013). Het bewustzijn over het risico van een cyberaanval op de procesbesturingssystemen is nog niet hoog in de Rotterdamse haven en industrie. Door onzorgvuldig handelen kan een systeem een besmetting oplopen. Het toetsen en verbeteren van het awareness niveau van de medewerkers is een belangrijk aandachtspunt waar nog veel ruimte voor verbetering lijkt te zijn.

83


Beleidsdocumenten omtrent wachtwoorden en omgaan met de procesbesturingssystemen bieden nog ruimte voor verbetering. Een groot deel van de onderzochte bedrijven lijkt nog géén beleid te hebben omtrent het omgaan met wachtwoorden op de procesbesturingssystemen. Ook beleid omtrent het gebruik van mobiele apparatuur is een punt van aandacht, aangezien veel virus- en malware infecties in de procesbesturingssystemen het bedrijf worden binnengebracht door het eigen personeel (NCSC, 2012). Vaak gebeurt dit onbedoeld en onbewust, maar kan worden voorkomen door als bedrijf streng beleid te hanteren met betrekking tot externe opslagmedia zoals bijvoorbeeld usb-sticks en mobiele telefoons. Bij veel bedrijven die hebben deelgenomen aan het onderzoek blijkt het toch mogelijk om mobiele apparatuur aan te sluiten op het netwerk en hiermee maken zij het systeem kwetsbaar. Er kan worden geconcludeerd dat een aantal zaken bij een aantal bedrijven al veel aandacht krijgen en dat er veel moeite wordt gedaan een cyberaanval te voorkomen. Toch kan worden gesteld dat de digitale beveiliging nog te wensen overlaat en dat er veel kwetsbaarheden in de procesbesturingssystemen zitten bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag in het Rotterdam Rijnmond gebied. Uit de survey is niet duidelijk naar voren gekomen of de hyperconnectiviteit een extra risico vormt. Wellicht zijn hiervoor niet de juiste vragen gesteld in de survey, het lijkt erop dat hiervoor meer technische kennis benodigd is. De bedrijven zelf lijken van mening te zijn dat dit de hyperconnectiviteit géén extra risico’s oplevert. Om hier uitsluitsel over te kunnen geven is verder onderzoek hiernaar aan te raden, wellicht uitgevoerd door een ICT-expert om de technische kant van de hyperconnectiviteit te kunnen beoordelen. 5.1.5 In hoeverre heeft een RUD maatschappelijke (mede)verantwoordelijk voor toezicht en handhaving op cybersecurity van de procesbesturingssystemen van BRZObedrijven in de (petro)chemische industrie en in de open overslag van natte bulk? Nu blijkt dat er nog diverse kwetsbaarheden in de cybersecurity van de procesbesturingssystemen zitten, is de vraag relevant in hoeverre hier een taak ligt voor een RUD om toezicht te houden en te handhaven bij BRZO-bedrijven in de (petro)chemische industrie en in de open overslag van met name natte bulk. In dit onderzoek is gebleken dat er een maatschappelijke (mede)verantwoordelijk voor een RUD bestaat om zorg te dragen voor het milieu en de veiligheid (WRR, 2013; NCTV, 2013). De publieke reactie bij incidenten lijkt vaak gericht te zijn op lokale overheden. Ondanks dat de directe oorzaak van een incident vaak het bedrijf zelf is, wordt er in de media gewezen naar lokale overheden, wegens een gebrek aan toezicht op de bedrijven (Van Erp et al, 2008). Ook vanuit het kabinet wordt ingezet op het versterken en bundelen van de krachten van diverse partijen, waaronder publieke en private partijen, om zo tot een veilig cyberdomein te komen (NCTV, 2013). Het uitvallen van vitale ICT-gebaseerde diensten kan maatschappelijke ontwrichting tot gevolg hebben, vandaar dat cybersecurity van de vitale infrastructuur ook extra aandacht dient te krijgen. Vanuit maatschappelijk oogpunt kan worden gezegd dat de verantwoordelijk niet volledig bij de overheid, en dus ook niet bij een RUD, kan worden gelegd. Wel is het een taak van de overheid om te bevorderen dat bedrijven zelf verantwoordelijkheden nemen betreffende het behartigen van het publieke belang (WRR, 2012). Uit het adviesrapport van het NCTV (2013), het NCSS2, kan worden

84


geconcludeerd dat er wordt geadviseerd dat ook RUD’s worden gewezen op de taak om zich te gaan verdiepen in de cybersecurity van de onder toezicht staande bedrijven. Hiermee wordt door de NCTV gewezen op de maatschappelijke verantwoordelijkheid van de toezichthouder om de eigen rol te verbreden en aan te laten sluiten op de nieuwe ontwikkelingen. Vanuit deze conclusies lijkt de rol van een RUD vooral gericht te zijn op toezicht houden op de eigen verantwoordelijkheid van bedrijven om te zorgen dat de cybersecurity van de procesbesturingssystemen op orde is. 5.1.6 Is er een wettelijke basis voor een RUD om toezicht te houden en te handhaven bij BRZO-bedrijven in de (petro)chemische industrie en in de open overslag op het gebied van cybersecurity van de procesbesturingssystemen? Naast een maatschappelijke bevoegdheid om toezicht te kunnen uitoefenen op cybersecurity in de procesindustrie, is gekeken of er ook wettelijke gronden zijn voor een RUD om toezicht te houden en te kunnen handhaven op het gebied van cybersecurity van de procesbesturingssystemen in de (petro)chemische industrie en de open overslag van met name natte bulk. Er is naar voren gekomen dat er géén specifieke wetgeving is met betrekking tot cybersecurity. De vraag is of een toezichthouder dan toezicht moet houden of moet handhaven bij onvoldoende cybersecurity van de procesbesturingssystemen. Is er een wettelijke basis om dit te doen? De fysieke gevolgen in het geval van een incident waar we hier rekening mee dienen te houden, zijn niet veel anders dan bij een ander incident. Een belangrijk aspect in de wetgeving omtrent digitale veiligheid, is het wetsvoorstel Meldplicht voor overheden en vitale marktpartijen. Op 16 juli 2013 is het wetsvoorstel ingediend, de ‘Wet melding inbreuken elektronische informatiesystemen’. Centraal hierin staat het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (wetsvoorstel, 2013). De melding zou moeten worden gedaan bij het NCSC, hierop kan niet direct worden gehandhaafd aangezien staat benadrukt dat de cybersecurity een eigen verantwoordelijkheid is van de betreffende bedrijven (MvT, 2013, behorend bij wetsvoorstel Meldplicht). Waar wel een opening is voor een RUD om toch in te kunnen grijpen wanneer nodig, is dat in de MvT wordt aangegeven dat de sectorale toezichthouder kan worden geïnformeerd door het NCSC wanneer de meldplicht opzettelijk niet is nageleefd. Aan de hand hiervan heeft een RUD ruimte om zelf een inschatting te maken of de niet-naleving van de meldplicht aanleiding is voor het aanscherpen van toezicht op de betreffende organisatie. Naast de meldplicht is er bij BRZO bedrijven wel degelijk een wettelijke basis om toezicht te houden op de cybersecurity van de procesbesturingssystemen. In de wet is opgenomen dat BRZO bedrijven alle maatregelen dienen te nemen om zware ongevallen te voorkomen (artikel 5 BRZO). Digitale maatregelen worden hierin niet uitgesloten en er lijkt ruimte om ze hier onder mee te nemen. Uit dit onderzoek blijkt dat er wel degelijk kwetsbaarheden in de beveiliging van de digitale systemen zitten. Het is de verantwoordelijkheid van het bedrijf om te zorgen dat de nodige beveiligingsmaatregelen zijn genomen om zware ongevallen te voorkomen. Bedrijven dienen volgens het BRZO de risico’s in kaart te brengen en een veiligheidsbeheerssysteem op orde te hebben. Het is aan de RUD’s om toezicht te houden op het naleven van deze voorschriften door de bedrijven. Vervolgonderzoek omtrent het opnemen van eisen omtrent cybersecurity in de vergunningen is aan te raden. 85


5.2 Beantwoording centrale probleemstelling en uiteindelijke conclusie Uiteindelijk was het doel van dit onderzoek antwoord te kunnen geven op deze vraag: Wat zijn de kwetsbaarheden in de cybersecurity op de procesbesturingssystemen in de petrochemische industrie en in de open overslag van natte bulk inzake het voorkomen van fysieke milieu- en veiligheidsschade en in hoeverre heeft een Regionale Uitvoeringsdienst (RUD) maatschappelijke en juridische (mede)verantwoordelijkheid met betrekking tot milieu- en veiligheidsschade ontstaan door een ontoereikende cybersecurity? Uit onderzoek bij de BRZO-bedrijven in de (petro)chemische industrie en in de open overslag van met name natte bulk in het Rotterdam Rijnmond gebied is gebleken dat er in de cybersecurity van de procesbesturingssystemen meerdere kwetsbaarheden aanwezig zijn. Deze lopen uiteen over diverse domeinen, van wachtwoordbeleid tot aan bijvoorbeeld het trainen van medewerkers. De kwetsbaarheid zit hem vooral in de kwetsbaarheid van de zwakste schakel. Slechts wanneer een bedrijf aan alle aspecten van digitale beveiliging aandacht besteed, is het mogelijk om het risico op een succesvolle cyberaanval te verkleinen. Een RUD heeft zowel maatschappelijke als juridische (mede)verantwoordelijkheid om milieu- en veiligheidsschade te voorkomen, ongeacht waardoor deze schade zou ontstaan. Maatschappelijk gezien heeft de overheid een taak om maatschappelijke ontwrichting te voorkomen. In het geval van cybersecurity draagt de overheid deze taak niet alleen, de verantwoordelijkheid voor de beveiliging van de procesbesturingssystemen ligt allereerst bij het bedrijf zelf. Via een RUD is het wel mogelijk dat de overheid toezicht houdt in hoeverre het bedrijf deze eigen verantwoordelijkheid nakomt. Gezien de extra risico’s op fysieke milieu- en veiligheidsschade bij BRZO-bedrijven, is in het BRZO opgenomen dat bedrijven alle maatregelen dienen te nemen om zware ongevallen te voorkomen. Er is géén reden gevonden om aan te nemen dat cybersecurity hier niet onder behoort te vallen. Volgens het BRZO is het aan het bedrijf om zorg te dragen voor de benodigde beveiligingsmaatregelen ter voorkoming van zware ongevallen. Risico’s dienen in kaart te zijn gebracht een veiligheidsbeheerssysteem moet op orde zijn. Het is aan de RUD’s om toezicht te houden op het naleven van deze voorschriften door de bedrijven. Aangezien het mogelijk blijkt dat procesbesturingssystemen digitaal kunnen worden verstoord, is het aan de bedrijven om er zorg voor te dragen dat deze systemen dusdanig zijn beveiligd dat een zwaar ongeval niet mogelijk is. Dit zou betekenen dat er voor een RUD ruimte bestaat, als niet een verplichting, om ook toezicht te houden op de digitale beveiliging van de procesbesturingssystemen van de betreffende bedrijven. 5.2.1 Implicaties Dit onderzoek is uitgevoerd in opdracht van de DCMR Milieudienst Rijnmond. Momenteel wordt er géén toezicht gehouden op de cybersecurity van de procesbestruringssystemen van BRZO-bedrijven. Naar aanleiding van dit onderzoek is het te adviseren om te gaan inventariseren op welke manier dit mogelijk zou zijn en hoe dit kan worden toegevoegd aan de huidige toezicht en handhaving die reeds wordt gedaan bij deze bedrijven. Niet alleen voor de DCMR zou dit toevoegingen aan het huidige beleid betekenen, ook andere toezichthouders die worstelen met dezelfde vraag moeten gaan beoordelen of zij beleid gaan opstellen omtrent toezicht op digitale beveiliging.

86


Literatuurlijst Geraadpleegde literatuur Algemene Inlichtingen- en Veiligheidsdienst (2010). Kwetsbaarheidsanalyse spionage. Spionagerisico’s en de nationale veiligheid. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Algemene Inlichtingen- en Veiligheidsdienst (2014). Jaarverslag 2013. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Beck, U. (1986). Risikogesellschaft. Aufdem Weg in eine andere Moderne. Frankfurt: Suhrkamp (Vertaling: 1992. Risk Society. Towards a new modernity. London: Sage) Bernaards, F., Monsma, E. & Zinn, P. (2012). High Tech Crime. Criminaliteitsbeeldanalyse 2012. Driebergen: Korps landelijke politiediensten, Dienst Nationale Recherche. Bencsáth, B., Pék, G., Buttyán, L. & Félegyházi, M. (2011). Duqu: A Stuxnet-like malware found in the wild. v0.93 (14/Oct/2011) Technical Report by Laboratory of Cryptography and System Security (CrySyS) Bijleveld, C.C.J.H. (2009). Methoden en technieken van onderzoek in de criminologie. Den Haag: Boom Juridische Uitgevers Brenner, J.F. (2013). Eyes wide shut: The growing threat of cyber attacks on industrial control systems. Bulletin of the Atomic Scientists. 69(5), p.15-20. Byres, E. (2012). Next Generation Cyber Attacks Target Oil And Gas SCADA. Pipeline & Gas Journal, ProQuest. Croonenberg, E. (2013). Als de digitale bom valt. New scientist (3) p.22-27 Decorte, T. & Zaitch, D. (2009). Kwalitatieve methoden en technieken in de criminologie. Leuven/Den Haag: Acco. Deweirdt, P. (2006). Samenvatting Milieu. Kantholieke Hogeschool Sint-Lieven. Dos Santos Gomes, S. & Beuker, M. (2012). Informatielekken in de Rotterdamse Haven. De oorzaken en gevolgen van het lekken van bedrijfsvertrouwelijke informatie. Rotterdam: Intelink. Duren, D. Van & Beurden, E. van (2013). De Nationale Cyber security Strategie 2: Nederland zet in op wereldtop met cyber security. Magazine nationale veiligheid en crisisbeheersing. Erp, J. van, Huisman, W., Van de Bunt, H. & Ponsaers, P. (2008). Toezicht en compliance. Tijdschrift voor Criminologie 2008 (50) 2. Ghosh, S. & Turrini, E. (2010). Cybercrimes: a multidisiplinary analysis. Springer Verlag. Govcert.nl (2008). Patchmanagement. Een beveiligingsadvies... en dan?

87


Graaf, B. de (2012). ‘Taming the future?’ Een historisch perspectief op de omgang met nieuwe risico’s en onzekerheden. In: Omgaan met omgevingsrisico’s en onzekerheden. Hoe doen we dat samen? Hahn, J. Post Guillen, D. & Anderson T. (2005). Process Control Systems in the Chemical Industry: Safety vs Security. Process Safetay Progress. American Institute of Chemical Engineers. Vol. 25, no. 1. Inspectie SZW, Ministerie van Sociale Zaken en Werkgelegenheid, Provincie Zeeland (2012). Effectmeting Integraal toezicht Thermphos 2010-2011. Jung, D.W.G. & Molenaar, K. (2013). Nuchter omgaan met risico’s of Bewust omgaan met veiligheid. Magazine nationale veiligheid en crisisbeheersing (6) 38-41. Koops, E.J. (2012). De dynamiek van cybercrimewetgeving in Europa en Nederland. Justitiële Verkenningen, 38(1), 9-24. Langner, R. (2013). The RIPE Framework. A Process-Driven Approach towards Effective and Sustainable Industrial Control System Security. Langner Communications Whitepaper. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (n.d.). Informatie Vitale sectoren. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (2008). Bescherming Vitale Infrastructuur. De veiligheidsregio als partner. Nationaal Coördinator Terrorismebestrijding en Veiligheid (2013). Nationale Cybersecurity Strategie 2. Van bewust naar bekwaam. Den Haag. Nationaal Cyber Security Centrum (2012). Beveiligingsrisico’s van on-line SCADA systemen. Factsheet FS-2012-01. Ministerie van Veiligheid en Justitie. Nationaal Cyber Security Centrum (2012a). Checklist beveiliging van ICS/SCADA systemen. Factsheet FS-2012-02. Ministerie van Veiligheid en Justitie. Nationaal Cyber Security Centrum (2013). Leidraad om te komen tot een praktijk van Responsible Disclosure. Ministerie van Veiligheid en Justitie. Den Haag. Nationaal Cyber Security Centrum (2013a). Cybersecuritybeeld Nederland. CSBN-3. Ministerie van Veiligheid en Justitie. Den Haag. Nationaal Cyber Security Centrum (2014). Factsheet FS-2014-02. Rijksoverheid (2010). Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010. Den Haag: Govcert.nl. Rijksoverheid (2011). De Nationale Cyber Security Strategie. Slagkracht door samenwerking. Rossem, A. Van (2012). De Seveso III Richtlijn; deel drie in de strijd tegen zware industriële ongevallen. Nederlands tijdschrift voor Europees recht. 8/9, p. 320-327 Sanger, D.E. (2012). Confront and Conceal. Chapter 8, Olympic Games, p.188-225. Smelter, M. (2013). Cyber security onderzoek. Magazine nationale veiligheid en crisisbeheersing.

88


Te Roller, E. (2009). Chemiebedrijven verhogen weerbaarheid tegen aanslagen. Ogen en oren openhouden. Chemie magazine (8), p.34-36. Van Vollenhoven, P. (2012). Hier onveilig? Onmogelijk! Uitgeverij: Balans, Amsterdam. Vries, G. de (2006). Politiek, expertise en individuele verantwoordelijkheid in een risicosamenleving. Leven in de risicosamenleving. Amsterdam: Salomé, p. 9-18. Willems, E. (2011). Cyber-terrorism in the process industry. Computer Fraud & Security. (3) p.16-19. Wetenschappelijke Raad voor het Regeringsbeleid (2012). Publieke zaken in de marktsamenleving. Amsterdam: Amsterdam University Press. Wetenschappelijke Raad voor het Regeringsbeleid (2013). Toezien op publieke belangen. Naar een verruimd perspectief op rijkstoezicht. Amsterdam: Amsterdam University Press. Wilhoit, K. (2013). Who’s Really Attacking Your ICS Equipment? Trend Micro Incorporated. Wilhoit, K. (2013a). The SCADA That Didn’t Cry Wolf. Who’s Really Attacking Your ICS Equipment? (Part 2). Trend Micro Incorporated. Wueest, C. (2014). Security response. Targeted Attacks Against the Energy Sector. Symantec. Zielstra, A., Krabbendam-Hersman, T. & Graaf, P. de (2013). Cyber resilience in het jaarverslag? Geen digitale transformatie zonder digitale veiligheid. Trends in Veiligheid. Znidarsic, I. (2012). Chemiebedrijven moeten securitymanagementsysteem implementeren. Chemie magazine. (3) p.34-36.

Wetgeving en jurisprudentie Artikel 21 van de Grondwet Artikel 1 van de Wet milieubeheer Artikel 1.2 van de IPO-voorschriften Artikel 1 van de Wet algemene bepalingen omgevingsrecht (wabo). Artikel 2 van de Wet algemene bepalingen omgevingsrecht (wabo). Artikel 4 van het Besluit Risico’s Zware Ongevallen (BRZO). Artikel 5 van het Besluit Risico’s Zware Ongevallen (BRZO). Artikel 8 van het Besluit Risico’s Zware Ongevallen (BRZO). Artikel 9 van het Besluit Risico’s Zware Ongevallen (BRZO). Artikel 19 van Seveso III Besluit IENM/BSK-2011/177402 Bijlage II van het Besluit Risico’s Zware Ongevallen (BRZO). Hof ’s-Gravenhage 22 maart 2011, LJN BP8578 (CMI). Memorie van Toelichting behorend bij wetsvoorstel Meldplicht, 2013. 89


Internetbronnen ad.nl/ad/nl/1038/Rotterdam/article/detail/3288213/2012/07/18/Toezicht-op-chemiesector-is-eenschijnvertoning.dhtml aivd.nl/onderwerpen/cyberdreiging/cyberspionage/. Laatst geraadpleegd juli 2014. aivd.nl/onderwerpen/cyberdreiging/cyberspionage/economische/. Laatst geraadpleegd juli 2014. aivd.nl/onderwerpen/spionage-0/. Laatst geraadpleegd juli 2014. antimalwaresoftware.nl/veel-gestelde-vragen-faq/wie-creeren-er-malware-waarom-en-wat-zijn-degevolgen/ antimalwaresoftware.nl/veel-gestelde-vragen-faq/wie-creeren-er-malware-waarom-en-wat-zijn-degevolgen/. Antimalsoftware.nl is een site waarop veel informatie is te vinden omtrent beveiligingssoftware. boston.com/bigpicture/2011/04/chernobyl_disaster_25th_annive.html bureaudebruijn.nl/2014/07/sociale-media-zoeken-naar-de-waarheid-over-mh17/feed/; http://www.metronieuws.nl/nieuws/ongeremde-berichtgeving-social-media-is-dilemma-voornabestaanden-mh17/SrZngv!VCoqzfhsuUDc/, laatst geraadpleegd 12 augustus 2014 dcmr.nl. Laatst geraadpleegd op 17 juni 2014 eenvandaag.nl, laatst geraadpleegd op 06-07-2012 gevaarlijkestoffen.net, 22-07-2012 indymedia.ie/article/104002. Laatst geraadpleegd op 11 december 2014. infomil.nl/onderwerpen/integrale/activiteitenbesluit/. Laatst geraadpleegd op 17 juni 2014. ipo.nl/. Laatst geraadpleegd op 16 juli 2014. iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/. De website iusmentis.com is in beheer van een ICT-jurist die tracht de wet uit te leggen aan ICT-ers, en ICT aan juristen. latrb.nl. Laatst geraadpleegd op 17 juni 2014 latrb.nl/instrumenten-0/werkwijzer-brzo-ii-0/regelgeving/wetgeving/seveso-0/seveso-richtlijn/. Laatst geraadpleegd op 11 december 2014. leefbaarrotterdam.nl, 25-06-2013 lenntech.nl/milieurampen.html. Laatst geraadpleegd 16 juli 2014. mechatronicamachinebouw.nl/artikel/kritieke-infrastructuur-wacht-harde-security-les.html mechatronicamachinebouw.nl/artikel/kritieke-infrastructuur-wacht-harde-security-les.html. Laatst geraadpleegd december 2014. Mechatronica & Machinebouw is een vakblad met betrekking tot systeemonwtikkeling. In het (online) blad wordt informatie verstrekt over trends en ontwikkelingen, onder andere over industriële automatisering.

90


ncsc.nl/security news.bbc.co.uk/2/hi/south_asia/4010511.stm nos.nl, 21-09-2010 nos.nl, Laatst geraadpleegd op 28-09-2011 nu.nl, laatst geraadpleegd op 18-06-2013 Onderzoeksraad.nl. Laatst geraadpleegd april 2014. ot-group.help-out.net/t229-examples-of-process-control. Laatst geraadpleegd 11 december 2014. De ot-group website is een forum waarop wordt gesproken over procesbesturingstechnologie. Dit is géén wetenschappelijke site, maar heeft bijgedragen aan een beter inzicht in de werking van procesbesturingssystemen en de kwetsbaarheden van deze systemen. parool.nl, 23-09-2013 portofrotterdam.com/nl/Business/natte-bulk/Pages/default.aspx. Laatst geraadpleegd op 29-092014. portofrotterdam.com/nl/Business/natte-bulk/Pages/pijpleidingen.aspx. Laatst geraadpleegd op 2909-2014. pvvzuidholland.nl, 22-08-2011 rd.nl, laatst geraadpleegd op 18-06-2013 RICHTLIJN 2012/18/EU VAN HET EUROPEES PARLEMENT EN DE RAAD van 4 juli 2012, via: http://www.lne.be/themas/ veiligheidsrapportage/bestanden/bestandenwetgeving/seveso/vr_2012-18-EU-seveso3.pdf. Laatst geraadpleegd op 04-07-2014 & http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:197:0001:0037:NL:PDF. Laatst geraadpleegd op 16 juli 2014. rijkswaterstaat.nl/water/wetten_en_regelgeving/natuur_en_milieuwetten/wet_milieubeheer/. Laatst geraadpleegd op 17 juni 2014 rijnmond.nl, 18-06-2013 security.nl/posting/34974/Nederlandse+hacker+onthult+open+SCADA-systemen+*update*, publicatie 20-01-2012. Laatst geraadpleegd op 18-04-2014. Security.nl is een website waarop nieuws en achtergronden omtrent informatiebeviliging, privacy en gegevensbescherming dagelijks wordt gepubliceerd. technischwerken.nl/kennisbank/techniek-kennis/wat-is-plc-en-waarvoor-wordt-plc-techniekgebruikt/. Laatst geraadpleegd 11 december 2014. De website van technisch werken is een informatie pagina omtrent techniek, innovatie en arbeidsmarkt. Dit is géén wetenschappelijke site, maar geeft informatie over de werking van de procesbesturingssystemen. technischwerken.nl/kennisbank/techniek-kennis/wat-is-scada-en-waar-wordt-een-scada-systeemvoor-gebruikt/. Laatst geraadpleegd op 4 april 2014.

91


thehindu.com/news/national/other-states/german-firm-also-backs-out-of-carbide-wastedisposal/article3910806.ece tweakers.net/reviews/2465/1/scada-beveiliging-een-structureel-probleem-inleiding.html. Laatst geraadpleegd op 4 april 2014. tweakers.net/reviews/2465/2/scada-beveiliging-een-structureel-probleem-wat-is-een-scadasysteem.html. Laatst geraadpleegd op 4 april 2014. Tweakers is een elektronica- en technologiewebsite voor Nederland en België. uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:GHSGR:2011:BP8578 volkskrant.nl, laatst geraadpleegd op 18-06-2013 volkskrant.nl, laatst geraadpleegd op 18-06-2013 wetten.overheid.nl/BWBR0031467/geldigheidsdatum_23-01-2014. Laatst geraadpleegd op 17 juni 2014. wiki.edu-lab.nl/E-Walk-EduLabProcess.ashx. Laatst geraadpleegd op 18 april 2014. Wiki.edu-lab.nl is géén wetenschappelijke website, deze website is opgezet voor informatie- en kennisoverdracht op het gebied van industriële automatisering en draagt bij aan een basiskennis over procesautomatisering. zdnet.com/blog/security/shodan-search-exposes-insecure-scada-systems/7611. Laatst geraadpleegd juli 2014. ZDNet is een nieuwswebsite voor IT professionals.

92


BIJLAGE

SURVEY VRAGEN

Met cybersecurity wordt in deze survey de definitie van het Nationaal Cyber Security Centrum gehanteerd: "Het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie." Met procesbesturingssystemen wordt in deze survey bedoeld de geautomatiseerde systemen die de (productie)processen van uw organisatie aansturen of controleren. Hiervoor worden PCS (procescontrolesystemen) gebruikt, vaak is een SCADA-systeem (Supervisory Control and Data Acquisition) geïnstalleerd om real-time procesinformatie te verzamelen en te analyseren. 1

Welke procesbesturingssystemen gebruikt uw organisatie? SCADA

Weet ik niet

PCS

Anders:

Géén De volgende vragen gaan over eventuele (netwerk)koppelingen met het procesbesturingssysteem. Er kunnen diverse redenen zijn voor het hebben van een dergelijke (netwerk)koppeling, bijvoorbeeld voor het monitoren van het proces of het verhelpen van een storing. 2

Staat het procesbesturingssysteem van uw organisatie in verbinding met een ander netwerk binnen uw eigen organisatie? Nee, afzonderlijk netwerk Altijd in verbinding met kantooromgeving Altijd in verbinding met internet Alleen af en toe verbinding met kantooromgeving om informatie te delen Alleen af en toe verbinding met internet om iets te downloaden/versturen Anders:

3

Is het mogelijk het procesbesturingssysteem van uw organisatie van afstand te monitoren? Ja

4

Nee

Weet ik niet

Is het mogelijk beheer van het procesbesturingssysteem van uw organisatie van afstand te doen of storingen in het systeem van afstand te verhelpen? Ja

Nee

Weet ik niet

I


5

Worden er wel eens veranderingen aan het procesbesturingssysteem van uw organisatie aangebracht (bijvoorbeeld patching)? *Patching is het updaten van software om fouten in het systeem op te lossen of het systeem te verbeteren.

Ja 6

Nee

Weet ik niet

Zit er een virusscanner op het procesbesturingssysteem van uw organsatie? Ja

8

Weet ik niet

Is er in uw organisatie beleid betreffende het aanbrengen van deze veranderingen? Ja

7

Nooit

Nee

Weet ik niet

Is het beveiligen van het procesbesturingssysteem een actueel aandachtspunt in uw organisatie? Dagelijks Wekelijks Maandelijks Een enkele keer per jaar Nooit Weet ik niet Anders:

9

Is er een duidelijk en compleet overzicht van de netwerkarchitectuur voor handen? *Met netwerkarchitectuur wordt bedoeld een database die inzicht geeft in de opbouw van het IT-systeem, met informatie over de hardware en de software.

Aanwezig 10

Niet aanwezig

Weet ik niet

Is er een netwerkverbinding tussen een procesbesturingssysteem van uw organisatie en een andere organisatie? Ja

Nee

Weet ik niet

Doelbewuste inbreuken in het procesbesturingssysteem zijn vormen van cybercriminaliteit. Het kan gaan om het verkrijgen van procesgevoelige informatie om de concurrentiepositie te versterken tot het binnendringen in het systeem om besturingen te manipuleren. Vaak blijft het bij een (onopgemerkte) poging tot een inbreuk, het kan ook gebeuren dat een dergelijke inbreuk wel succesvol is en dat uw organisatie hier schade van ondervindt. De volgende vragen gaan over dergelijke (pogingen) tot een doelbewuste inbreuk op het procesbesturingssysteem van uw organisatie. 11

Worden pogingen tot een doelbewuste inbreuk in het procesbesturingssysteem van uw organisatie vastgelegd ('logging')? Ja

Nee

Weet ik niet

II


12

Is uw organisatie in de afgelopen 12 maanden geconfronteerd met een succesvolle inbreuk op het procesbesturingssysteem? Alleen pogingen tot inbreuk Ja, een succesvolle inbreuk Nee Weet ik niet

13

Stel uw organisatie loopt risico op een doelbewuste inbreuk in het procesbesturingssysteem. Wat verwacht u dat het doel is van een dergelijke inbreuk? Meerdere antwoorden mogelijk. Het verkrijgen van vertrouwelijke economische informatie Het verkrijgen van vertrouwelijke procestechnische informatie Terroristische doeleinden (een verstoring kan een hoge impact hebben op de omgeving) Het aantonen van de kwetsbaarheid van het systeem Chantage Spionage van buitenlandse mogendheden Anders:

14

Welke schade verwacht u dat uw organisatie mogelijk loopt in het geval van een succesvolle inbreuk in het procesbesturingssysteem van uw organisatie? Meerdere antwoorden mogelijk Géén schade Economische schade Imago schade Verstoring van de bedrijfsvoering Weet ik niet Anders:

15

Denkt u dat een doelbewuste inbreuk op het procesbesturingssysteem van uw organisatie in de toekomst vaker of minder vaak zal gebeuren? Minder vaak

16

Gelijk

Vaker

In de Rotterdamse haven wordt veel samengewerkt en diverse organisaties maken gebruik van elkaars voorzieningen. Verwacht u dat het procesbesturingssysteem van uw organisatie kan worden bereikt via een succesvolle doelbewuste inbreuk in het procesbesturingssysteem van een andere organisatie waarmee u samenwerkt? Ja, dit is mogelijk

Nooit over nagedacht

Nee, dit is onmogelijk

Niet van toepassing

III


Het Nationaal Cyber Security Centrum heeft twee checklisten opgesteld met betrekking tot de beveiliging van procesbesturingssystemen: • ‘Checklist beveiliging van ICS/SCADA systemen’ • ‘Beveiligingsrisico’s van online SCADA systemen’ De eerste checklist is bedoeld om te bepalen of de procesbesturingssystemen afdoende zijn beveiligd. De tweede checklist is gericht op het verkleinen van de risico’s op (ongewenste) internetkoppelingen. 17

Werkt uw organisatie met deze checklists van het Nationaal Cyber Security Centrum? Ja, met beide

Nee

Ja, met 'Checklist beveiliging van ICS/SCADA'

Weet ik niet

Ja, met 'Beveiligingsrisico's van online SCADA systemen' 18

Is het procesbesturingssysteem van uw organisatie beveiligd door middel van een wachtwoord? Ja

19

Nee

Weet ik niet

Is er een veiligheidsbeleid binnen uw organisatie betreffende rollen en rechten? Ja, voor medewerkers

Nee

Ja, voor externen (zoals contractors, onderhoudsmonteurs, etc)

Weet ik niet

Ja, voor medewerkers en externen 20

Is er in uw organisatie een fysieke toegangsbeperking om bij de ruimte te komen van waaruit de procesbesturingssysteem wordt bediend? *Bij fysieke toegangsbeperking kan worden gedacht aan persoonlijke toegangspassen, sloten e.d. Ja

21

Weet ik niet

Heeft uw organisatie een SIEM systeem ingericht (Security Information and Event Management) waarin ook het procesbesturingssysteem is betrokken? Ja

22

Nee

Nee

Weet ik niet / ken ik niet

Wat zijn de drie belangrijkste beveiligingsmaatregelen binnen uw organisatie om een doelbewuste inbreuk op de procesbesturingssystemen te voorkomen of de gevolgen hiervan te beperken?

De volgende vraag gaat over het gebruik van (removable) media in uw organisatie. Hieronder wordt verstaan het gebruik van eigen mobiele apparatuur, zoals laptops, tablets en smartphones. Ook het gebruik van opslagmedia zoals USB-sticks, CD-roms of externe harde schijven valt hieronder.

IV


23

24

Is het mogelijk (removable) media aan te sluiten op het procesbesturingssysteem van uw organisatie? Ja, mogelijk en toegestaan

Nee

Ja, mogelijk, maar niet toegestaan

Weet ik niet

Heeft uw organisatie kwaliteitscriteria opgesteld met betrekking tot de beveiliging van het procesbesturingssysteem? Ja

25

Nee

Weet ik niet

Hoe vaak wordt er in uw organisatie een pentest (penetratietest) uitgevoerd om een inventarisatie van de netwerkkoppelingen te maken? Nooit

Dagelijks

Eenmalig/af en toe

Weet ik niet

Regelmatig

Anders:

Vaak 26

Worden er in uw organisatie trainingen aangeboden om het personeel inzicht te geven in beleid en standaardprocedures voor het werken met het procesbesturingssysteem? Ja

27

Nee

Weet ik niet

Wordt in uw organisatie cybersecurity awareness onder medewerkers (periodiek) getoetst? Ja

Nee

Weet ik niet

28

Kunt u een incident (intern of extern) noemen naar aanleiding waarvan uw organisatie maatregelen heeft genomen met betrekking tot de beveiliging van de procesbesturingssystemen van uw organisatie?

29

Kunt u aangeven in welke branche uw organisatie opereert? Petrochemische industrie Op- en overslag Anders:

V


30

Wat is uw functie in de organisatie?

31

Heeft u nog opmerkingen naar aanleiding van deze survey, dan kunt u deze hieronder kwijt. Ook toevoegingen zijn van harte welkom.

Hartelijk dank voor uw deelname aan dit verkennende onderzoek. De resultaten worden verwerkt door Laura Lormann-Zwartelé, master student Criminologie aan de Erasmus Universiteit. Deze gegevens worden op sectorniveau gerapporteerd. Voor vragen of opmerkingen kunt u contact opnemen met Laura Lormann-Zwartelé [email protected] of met dr. Judith van Erp, Erasmus School of Law [email protected].

VI

Toezicht op cybersecurity van procesbesturingssystemen in de industrie. Of niet?

Recommend Documents