Bedieningssysteem sluizen en bruggen eenvoudig te kraken

Bedieningssystemen van sluizen, gemalen, rioleringspompen en bruggen zijn met een computer eenvoudig te kraken waarna ze via internet op afstand kunnen worden bediend. Dat blijkt uit een dinsdag uitgezonden televisiereportage van EenVandaag.

Door Hans Heynen

De reportage laat zien hoe slecht de rioleringspompen en gemalen van de gemeente Veere zijn beveiligd. Ze zijn met een paar simpele handelingen met een eenvoudige computer te bedienen.

De Nationaal Coördinator Terrorismebestrijding (NCTB) waarschuwt al enkele jaren voor de gevaren van een aanval op de voor de bediening van sluizen, bruggen, stoplichten, telefoonsystemen, spoorwegen en andere zaken gebruikte Scada-systemen. ‘Dergelijke aanvallen vormen een potentieel ernstige bedreiging voor de nationale veiligheid wanneer zij de vitale infrastructuur zoals energie, water en financiën treffen', stelde het NCTB in december 2011. ‘Bij dergelijke complexe aanvallen is het risico van maatschappelijke ontwrichting reëel.'

• ‘Ernstige bedreiging nationale veiligheid'

D66-Kamerlid Wassila Hachchi stelde vorige week vragen aan minister Opstelten van Binnenlandse Zaken en Spies van Veiligheid en Justitie over de beveiligingsrisico's, na het lezen van een artikel op Tweakers.net, waarin Scada-beveiliging een structureel probleem wordt genoemd. Zo kreeg een 49-jarige Australiër twee jaar celstraf omdat hij had ingebroken op de computersystemen van de riolering in Maroochy Shire, in Oost-Australië. Hij knoeide zo met de systemen dat 800.000 liter vervuild rioolwater werd geloosd in parken en rivieren, waarbij talloze dieren omkwamen. De ‘hack' was een wraakactie nadat hij met ruzie vertrok bij het bedrijf dat de computersystemen had geïnstalleerd. Als ex-werknemer kon hij de systemen eenvoudig binnendringen, omdat de wachtwoorden niet waren gewijzigd.

Hachchi vroeg of de suggestie in een rapport, dat aanvallers over uitzonderlijk geavanceerde software moeten beschikken om Scada-systemen succesvol aan te vallen, wel klopt. Volgens dit rapport is gerichte verstoring van industriële beheersystemen niet waarschijnlijk. Die conclusie staat haaks op het op Tweakers.net verschenen artikel. Daarin wordt gesteld dat geavanceerde kennis en software niet noodzakelijk zijn voor een geslaagde aanval. Een aanvaller kan beveiligingsproblemen zichtbaar maken met vrij verkrijgbare software en volgens een Brits onderzoek is het identificeren van via het web toegankelijke Scada-systemen meestal niet moeilijk. Dit kan vaak via de http-headers.

Ook volgens beveiligingsexperts van het Nationaal Instituut voor Subatomaire Fysica (Nikhef) en TNO zijn veel Scada-systemen kwetsbaar. In sommige gevallen zijn ze beveiligd met een standaard wachtwoord, in andere gevallen is zelfs geen wachtwoord nodig om in apparatuur binnen te dringen. Oscar Koeroo van Nikhef reageerde geschokt in Eén Vandaag op de situatie in Veere. ‘De machines staan bloot aan het internet en er is geen beveiliging die zorgt dat alleen de beheerder toegang heeft.'

Eric Luiijf, Scada-expert bij TNO, waarschuwde de overheid in 2005 al voor de gemakkelijk te hacken systemen. ‘Je hoeft hier helemaal niet slim voor te zijn, dat is juist het gevaarlijke. De echter hacker denkt na over welke schade hij aanbrengt. De eerste de beste 13-jarige die binnendringt en pompen uitzet niet.'

Peter van Rooij, expert op het gebied van waterhuishouding stelde dat heel Nederland daardoor kan onderlopen. ‘Zo kwetsbaar zijn we hier.'

Scada

Scada is een afkorting van Supervisory Control And Data Acquisition, het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen. Een Scada-systeem vergemakkelijkt het uitwisselen van meetgegevens, het zichtbaar maken van gegevens, het beïnvloeden van deze systemen (aansturing) en het verwerken van de meetgegevens.

bron: Een Vandaag