Tijdens de internationale Cyber Space Conference in Den Haag laat Siemens de gevaren zien van slechte cyberveiligheid. Op de campus van de the Hague Security Delta (HSD) demonstreert de onderneming met een schaalmodel van een brug hoe gemakkelijk het soms is om vitale infrastructuur, fabrieken of andere installaties te hacken.

Het internet of things waarbij allerlei apparaten met het internet verbonden zijn, heeft veel voordelen: automatisering van fabrieksprocessen kan sneller en makkelijker, maar ook het op afstand bedienen of servicen van (vitale) infrastructuur wordt meer en meer gemeengoed. Het internet der dingen heeft echter ook een schaduwkant: waar een gehackte laptop of smartphone meestal voor tijdelijk ongemak zorgt, kan een gehackt kruispunt doden of gewonden tot gevolg hebben. Op dit moment onderschatten velen nog deze risico’s. Daar wil Siemens verandering in brengen door met het hacken van een brug op schaal te demonstreren hoe makkelijk het in slecht beveiligde omgevingen kan zijn om het hele besturingssysteem over te nemen.

Het technologietijdschrift De Ingenieur publiceerde onder de titel “Hackgevaar” een artikel over deze brug als metafoor voor alles dat met internet verbonden is. Lees hieronder het artikel over hacken in het blad De Ingenieur van april 2015, met daarin een interview met Leo Freriks van Siemens.

Hackgevaar

Nu internet ook beschikbaar is in televisies, auto’s en koelkasten, groeit ook het risico dat dit soort alledaagse voorwerpen wordt gehackt. Siemens wil met het hacken van een brug demonstreren wat de gevaren zijn van slechte cyberveiligheid voor infrastructuur, fabrieken en gebruiksvoorwerpen.

Schaduwkant

Het internet of things – waarbij allerlei apparaten met het internet zijn verbonden, heeft veel voordelen: automatisering van fabrieksprocessen kan sneller en makkelijker, thuiswerken komt voor meer mensen beschikbaar enzovoorts. Het internet der dingen heeft echter ook een schaduwkant: waar een gehackte laptop of smartphone meestal vooral tijdelijk ongemak met zich meebrengt, kan een gehackt kruispunt doden en gewonden tot gevolg hebben. Op dit moment onderschatten velen deze risico’s. Daar wil Siemens verandering inbrengen door met het hacken van een brug op schaal te demonstreren hoe makkelijk het in slecht beveiligde omgevingen kan zijn om het hele besturingssysteem over te nemen.

Schaalmodel

Het schaalmodel van de brug, dat zo’n twee bij één meter meet, staat half april klaar bij de Global Conference on Cybersecurity. Tijdens de demonstratie bedient iemand de brug en loopt er onopvallend een ander binnen met een laptop. Tien minuten later gaat de brug op en neer zonder dat de bediener iets doet. ‘Gehackt dus, hoewel het in werkelijkheid niet zó simpel is’, vertelt drs. Leo Freriks, manager Government Affairs bij Siemens. ‘Laatst sprak ik een collega die me verzekerde dat de laatste versie van het brugsysteem onhackbaar is. Dus moesten we een paar kwetsbaarheden inbouwen voor de demonstratie.’

Updaten

Dat betekent niet dat alle bruggen voorgoed hackproof zijn. ‘Hackers lopen vaak voor op de beveiligers; ze zullen op een gegeven moment een manier vinden om het systeem weer binnen te dringen. Daarnaast zijn lang niet alle systemen up-to-date.’ Dat laatste vormt een groot probleem nu ook de wat traditionelere bedrijfsonderdelen met ICT te maken krijgen. Dat de computergebruikers hun pc’s goed onderhouden met de laatste updates en goede antivirussoftware is inmiddels voor een groot deel gemeengoed. Maar op de productievloer, en dus ook bij bijvoorbeeld bruggen, is het updaten nog veel minder ingeburgerd. ‘Dat is niet alleen een kwestie van nalatigheid. Er kan bij een patch ook wel eens wat misgaan, waardoor het systeem niet helemaal goed werkt. Bij één computer is dat niet zo erg – bij een hele fabrieksvloer wél. Vandaar dat veel mensen ervan afzien om meteen de nieuwste versie van hun programma’s te downloaden. Wij willen dus laten zien wat de risico’s daarvan zijn.’ Bovendien zijn bedrijfsvloeren vaak al decennia relatief hetzelfde, en daardoor niet gemaakt voor internet. Dat wordt vervolgens ingebouwd omdat het kan, zonder dat de nodige veiligheidsstructuur aanwezig is.

Metafoor

De brug is, kortom, een metafoor voor alles dat met internet is verbonden. Siemens wil aantonen dat het niet vergezocht is om dit soort dingen te hacken. ‘Je hebt er misschien meer dan basale kennis voor nodig, maar uiteindelijk hoef je niet jaren te studeren om dit te kunnen. Online zijn genoeg trucjes te vinden om ergens binnen te dringen.’ Aangezien cybercriminaliteit steeds meer toeneemt, wordt ook de veiligheid belangrijker. ‘Vroeger waren digitale inbraken nog vaak voor de lol, om te laten zien dat het kon. Maar inbraken door overheden, terroristen en criminelen die op geld of informatie uit zijn komen steeds vaker voor. We hopen dat we met een demo van de brug, waarbij direct het effect van een hack te zien is, ook niet-IT’ers te laten zien hoe makkelijk en gevaarlijk zo’n hack kan zijn.’