Droeg IT/OT-convergentie bij tot problemen met Colonial Pipeline?

Een ransomware aanval op de IT-systemen van Colonial Pipeline heeft begin mei in de Verenigde Staten voor grote bevoorradingsproblemen gezorgd. In een blog post voor het magazine Control Global gaat cyber security expert Joseph Weiss na in hoeverre de convergentie van OT en IT bijgedragen heeft tot de ellende. Ransomware is een ware epidemie die steeds vaker ook industriŽle bedrijven treft.

De Colonial Pipeline is een netwerk met een totale lengte van 8850 km dat zich uitstrekt van Houston in Texas tot in New York. Op 7 mei werd het netwerk stilgelegd nadat de IT-systemen van de exploitant getroffen werden door een zogenaamde ransomware aanval.

Bij zo een aanval worden IT-systemen onklaar gemaakt, vaak via de installatie van malware, en vragen hackers een losgeld om de systemen weer vrij te geven.

De Colonial Pipeline Company zou dat losgeld Ė 75 Bitcoin Ė ook betaald hebben maar slaagde er nadien niet meteen in om de systemen weer operationeel te krijgen. Door het nieuws over de bevoorradingsproblemen sloegen mensen aan het hamsteren wat leidde tot lange rijen aan de tankstations van mensen die soms alle mogelijke recipiŽnten meenamen om ze te vullen met benzine. De overheid moest zelfs een waarschuwing uitsturen dat plastic zakken vullen met benzine geen goed idee is.

Wat precies de impact was van de aanval is niet bekendgemaakt maar in een blog post gaat cyber security expert Joseph Weiss na wat er gebeurd kan zijn, en in hoeverre de IT/OT-convergentie die momenteel overal in de industrie plaatsvindt heeft bijgedragen tot de ellende.

Geen goed overzicht

Een opmerkelijk feit in dit verhaal is dat de Darkside Ransomware Group, die verantwoordelijk was voor de aanval, drie dagen nadien een verklaring had verspreid waarin ze aangaven dat ze de sociale consequenties ervan niet voorzien hadden. Ons doel is om geld te verdienen, zo stelden ze in de mededeling, en niet om problemen te veroorzaken in de samenleving.

Doorgaans hebben ransomware aanvallen het niet gemunt op OT, stelt Joseph Weiss. Dat hebben de hackers ook niet nodig om hun doel te bereiken, namelijk losgeld te vragen. Het probleem is echter dat IT en OT elkaar tegenwoordig zodanig overlappen dat aanvallen op IT ook consequenties kunnen hebben voor OT. Weiss geeft een voorbeeld van een recente aanval op het IT netwerk van een ander bedrijf, waar de hackers zonder enige moeite ook toegang kregen tot de frequentieregelaars van het HVAC-systeem.

Het probleem, dat ook in de industrie speelt, is dat er vaak geen goed overzicht is van welke systemen van buitenaf toegankelijk zijn. Een gevaarlijk situatie in dit verband is dat dit met name geldt voor sensoren en andere netwerkcomponenten die niet direct op het IT-netwerk zitten. Dat ze niet op dat netwerk zitten, betekent immers niet vanzelfsprekend dat ze niet bereikbaar zijn. Wat bedrijven in dit verband zouden moeten betrachten is fysiek op te volgen hoe sensoren en actuatoren zich gedragen zodat anomalieŽn gedetecteerd kunnen worden.

OT op IT-netwerken

Wat in het geval van de Colonial Pipeline gespeeld heeft, situeerde zich blijkbaar volledig op het IT-niveau. De pijplijn transporteert meerdere producten naar meerdere klanten, wat fysiek gerealiseerd wordt door pigs in de pijplijn te plaatsen. Dat zijn een soort proppen die mee verpompt worden en de afscheiding vormen tussen verschillende producten.

Het beheer hiervan gebeurt volledig op OT-niveau want het is door kleppen en pompen te bedienen in functie van dit materiaalbeheer dat ervoor gezorgd wordt dat iedere klant het juiste product in de juiste hoeveelheid geleverd krijgt. Op zich is er blijkbaar geen reden om aan te nemen dat dit systeem ooit in het gedrang is gekomen.

Het probleem was dat het resultaat van dit materiaalbeheer doorgegeven wordt aan het IT-systeem om de leveringen te factureren, en dat die toepassing en/of data-uitwisseling niet langer functioneerde. Dat leidde hier en daar tot kritiek op Colonial Pipeline omdat het afsluiten van de bevoorrading dus voornamelijk een kwestie zou zijn geweest van facturatie Ė iets dat het bedrijf eventueel had kunnen opvangen door de leveringen manueel te registreren.

Maar dat weten we uiteraard niet, en het is moeilijk voor buitenstaanders om in te schatten welke bijkomende risicoís het bedrijf al dan niet in overweging nam. En die risicoís zijn er wel degelijk, stelt Weiss. De convergentie tussen IT en OT houdt onder meer in dat heel wat operationele technologie vandaag op IT-netwerken zit, met Windows gebaseerde computersystemen en netwerkcomponenten zoals switches uit de IT-wereld. Wie een aanval doet op het IT-systeem van een bedrijf ziet daardoor vaak geen hindernissen meer tussen de IT en bepaalde delen van OT.

Een interessant feit in dat verband is nog dat de overheid in de VS na een incident in 2010 bijkomende regels heeft opgelegd aan de exploitanten om hen te verplichten om veiligheidskleppen te voorzien die vanop afstand gemonitord kunnen worden. Volgens Weiss zijn het net dat soort aanpassingen die installaties kwetsbaar maken voor cybercriminelen.

© Productivity.be, 22/05/2021


Feel free to share