 |
| Afbeelding via Pixabay |
In
2007 wandelde een Nederlandse ingenieur het Iraanse nucleaire complex van
Natanz binnen en installeerde daar een waterpomp. Deze Erik van Sabben had nog
een tweede opdrachtgever: de AIVD. En zo kon het gebeuren dat de centrifuges,
die nodig zijn om uranium te verrijken, door het beruchte Stuxnet-virus in de
soep draaiden. Dit is natuurlijk de ultrakorte versie van het verhaal. Het
lange, spannende verhaal staat in het boek Het is oorlog maar niemand die
het ziet van Volkskrant-onderzoeksjournalist Huib Modderkolk.
Eerder
deze week wandelde een Nederlandse ingenieur het Nederlandse nucleaire complex van
Almelo binnen. Niet om wat dan ook te installeren, en ook niet met een geheime
agenda. Nee, want dat was ik, samen met zo’n dertig vakgenoten, en we kwamen
voor een rondleiding en een presentatie over een holistische kijk op
beveiliging.
Ik
kwam dus vanaf de parkeerplaats aanwandelen en stuitte op een metershoog
hekwerk. Daar zat een voetgangerspoort in, met een intercom erbij. Er kwamen
net mensen van de andere kant aanlopen, dus ik dacht, ik vraag hen wel. Want ik
was ook wel nieuwsgierig hou zij zouden reageren. Blijkt dat die poort helemaal
niet op slot zat. Ik werd met een wijds armgebaar verwelkomd en mij werd
vriendelijk gewezen waar ik me moest melden.
Kom
je daar echt zo gemakkelijk binnen? Nou, dat valt gelukkig wel mee. Je krijgt
een pasje en daarmee kun je door een poortje. Daarna kun je, als bezoeker,
eigenlijk maar één kant op: naar het ontvangstgebouw. En van daaruit ben je
constant onder begeleiding.
Oktober
is traditioneel securitymaand. Veel organisaties – ook de onze – besteden dan
extra veel aandacht aan beveiliging. Eén van de onderwerpen, die we deze keer
in de spotlights zetten, is fysieke beveiliging. Daar speel jij als medewerker
een wat ongemakkelijke rol in. We willen namelijk dat je wat minder vriendelijk
bent. Indringers komen vaak binnen doordat een vriendelijke medewerker de deur
voor hen openhoudt. Nou is dat doorgaans bij de ingangen van onze panden niet
echt aan de orde, omdat je door een klaphekje moet. Maar denk ook eens aan die
inpandige deuren, die je met een pasje moet openen. Bij zo’n deur is het dus de
bedoeling dat alleen geautoriseerd personeel naar binnen gaat. Natuurlijk mag
je die deur best openhouden voor iemand waarvan je weet dat die daar
thuishoort, maar bij onbekenden is een vriendelijk “Zou je zelf even je pasje
willen aanbieden?” op zijn plaats. En als je iemand zonder pasje ziet lopen,
dan zou je net zo vriendelijk kunnen vragen of diegene zijn pasje kwijt is, en hem
zo nodig naar de receptie begeleiden. Ik weet dat dit lastig is en daarom ben
ik blij dat deze situatie zich in principe niet kan voordoen. Maar ja, in
principe hè. Misschien is dat wel een extra reden om tóch iets te zeggen.
Nog
even terug naar het bezoek. De security manager vertelde eerst over de fysieke
dreigingen waar een uraniumverrijkingsfabriek mee te maken heeft. Je kunt
gemakkelijk zelf bedenken uit welke hoek die dreigingen komen: criminelen,
terroristen en activisten. Ook de beveiligingsmaatregelen zijn niet zo
moeilijk: hekwerken, beveiligers, alarmsystemen. Daarna ging het over digitale
dreigingen, waarbij dezelfde actoren een rol spelen. En daar komt het
holistische (‘alomvattende’) karakter van hun aanpak in beeld: de maatregelen
tegen cyberdreigingen zijn van dezelfde soort als die tegen fysieke dreigingen.
Je moet dat in z’n geheel bekijken, want een aanvaller zal daar ook geen
strikte scheiding in aanbrengen. Die probeert misschien wel om via een virus of
een hack de alarmsystemen uit te schakelen, waarna hij zich fysiek toegang tot
het complex verschaft. En misschien heeft hij het dan helemaal niet voorzien op
uranium, maar op gegevens. Bij de meeste organisaties zullen boeven en spionnen
proberen om de begeerde gegevens via het internet te bemachtigen, maar bij een
dergelijke fabriek zijn de écht belangrijke gegevens ge-air-gapped: er
zit letterlijk lucht tussen de desbetreffende computers en het de buitenwereld,
oftewel: ze hangen uitsluitend in een strikt besloten netwerk. Dan moet je dus
al een kraak zetten om erbij te kunnen.
Tijdens
die rondleiding kwam ik oog in oog te staan met precies zo’n installatie waar
het met Stuxnet om draaide: de centrifuges waarmee uranium wordt verrijkt,
zodat het als brandstof voor kerncentrales kan dienen. Met het boek van
Modderkolk in het achterhoofd was dit wel een bijzonder momentje. Er is echt
wel iets voor nodig om die dingen kapot te krijgen. De oudste installatie in
Almelo draait namelijk al veertig jaar non-stop en zonder enig onderhoud. Kom
daar maar eens om in de ICT.
Met dank aan
Urenco voor de gastvrijheid en aan de Security Academy voor de organisatie.
En in de grote boze buitenwereld …
- zijn industriële systemen erg kwetsbaar als ze aan het internet hangen.
- waren miljoenen auto’s kwetsbaar door een fout op de website van de fabrikant.
- kun je sommige systemen maar beter even met de hand bedienen.
- hebben ook illegale diensten wel eens last van inbrekers.
- maakt NIST een einde aan een aantal onzinnige wachtwoordpraktijken.
- legt deze Cyber Glossary allerlei termen uit de cybersecurity uit.
- kun je ChatGPT hacken via valse herinneringen.
- heeft een internationaal verbond van inlichtingen- en securitydiensten een advies voor het beveiligen van Active Directory gepubliceerd.
Geen opmerkingen:
Een reactie posten