17 november 2020

Hack Erasmusbrug: Waarom moeten we ons zorgen maken?

Vorige week berichtten diverse media over een hack in Rotterdamse Erasmusbrug. Feitelijk ging het niet om een hack, maar om een open achterdeur in het systeem van de brug die gewoon via een IoT zoekmachine te vinden was. Hierdoor kregen ‘hackers’, zonder wachtwoord, toegang tot de bediening van de verlichting van de brug en konden die, letterlijk, alle kleuren van de regenboog geven. Waarom is dit een probleem en hoe kan dit beter?

Simpel gezegd was er bij dit incident sprake van slechte ‘cybersecurity hygiëne’. Het ontbreken van in ieder geval een wachtwoord geeft aan dat er met meer aandacht en doortastendheid naar de inrichting gekeken had moet worden. In dit geval vielen de gevolgen mee. Journalisten die lucht kregen van het lek, demonstreerden eenvoudigweg de mogelijkheden daarvan en pasten de kleuren van de brugverlichting aan. Maar dit voorval illustreert wél de kwetsbaarheid van dergelijke systemen en toont aan dat met kwade wil misschien wel een grotere negatieve impact bereikt had kunnen worden.

Desastreuze gevolgen

In dit geval betrof het de slimme, op afstand bedienbare, verlichting van een belangrijke brug. De kans is groot dat niet alleen de verlichting, maar ook andere systemen van de brug op afstand bediend kunnen worden. Stel je nu eens voor dat het systeem dat ervoor zorgt dat de brug open of dicht gaat ook zo eenvoudig toegankelijk is en dat partijen met kwade bedoelingen hierover de controle zouden krijgen. De gevolgen daarvan kunnen desastreus zijn. En ook al zou het systeem waarmee de brug wordt geopend en gesloten wél goed beveiligd zijn, dan zou het controlesysteem van de slimme verlichting als ‘draaipunt’ gebruikt kunnen worden om verder in het netwerk van de brug te kunnen komen. De calamiteiten die dan kunnen ontstaan zijn legio.

Hoe kan dit beter?

Een structurele aanpak van cybersecurity zorgt voor betere hygiëne. Een goed voorbeeld daarvan is de IEC 62443. Deze standaard bevat cybersecurityrichtlijnen waarmee belangrijke veiligheidsaspecten van het systeem goed kunnen worden geregeld. In het geval van de  Erasmusbrug kun je daarbij denken aan:

  • Beleid en procedures;
  • Inrichting van de onderliggende systemen op gebied van technologie, systeemintegratie en access controle;
  • De lifecycle van sleutelcomponenten.

Bij de inrichting van cybersecurity zijn de opties zeer uitgebreid. De cybersecurityinrichting van complexe systemen moet daarom volgens een vooraf opgestelde structuur aangepakt worden, waarbij een aantal basisaspecten, zoals access control, ingeregeld zijn met inachtneming van het integrale beeld. Wilt u meer weten over cybersecurity? Check dan onze themapagina over dit onderwerp.