Het nationale cyberagentschap van Canada heeft een waarschuwing afgegeven aan organisaties die verantwoordelijk zijn voor vitale infrastructuur en dringt er bij hen op aan aanvullende beveiligingsmaatregelen te nemen, waaronder verplichte tweefactorauthenticatie, na een reeks incidenten met industriële controlesystemen die via internet toegankelijk zijn. Het Canadian Centre for Cyber Security (Cyber Centre) en de Royal Canadian Mounted Police (RCMP) hebben onlangs meldingen ontvangen van ongeoorloofde toegang tot meerdere faciliteiten, waaronder een waterzuiveringsinstallatie, een olie- en gasbedrijf en een landbouwlocatie.
In één geval had een waterfaciliteit te maken met gemanipuleerde drukwaarden, wat resulteerde in een verslechterde service. Een ander incident betrof een olie- en gasbedrijf waar de manipulatie van een geautomatiseerde tankmeter valse alarmen veroorzaakte. In een derde geval bemoeiden hackers zich met temperatuur- en vochtigheidscontroles in een graandroogsilo, wat onveilige omstandigheden had kunnen opleveren als het niet onmiddellijk was gedetecteerd. Deze gebeurtenissen onderstrepen het feit dat zelfs wanneer kritieke infrastructuur operationeel blijft, aanvallers nog steeds fysieke risico’s of reputatieschade kunnen toebrengen.
Uit de advisory vrijlating van het Canadian Centre for Cyber Security blijkt dat de aanvallers lijken te vertrouwen op opportunistische toegang tot apparaten die direct zichtbaar zijn op internet, waaronder programmeerbare logische controllers (PLC’s), externe terminaleenheden (RTU’s), mens-machine-interfaces (HMI’s), systemen voor toezichthoudende controle en gegevensverzameling (SCADA) en gebouwbeheersystemen. Het document benadrukt dat, hoewel er geen specifieke door de staat gesponsorde actor is geïdentificeerd, deze hacktivistische campagnes zich steeds meer richten op fysieke infrastructuur om verstoring, sociaal alarm of reputatieschade te veroorzaken.
Omdat industriële besturingssystemen nu vaak verbonden zijn met het internet om externe toegang, monitoring of leveranciersondersteuning te bieden, vormen ze een verleidelijk doelwit voor bedreigingsactoren. Het Cyber Centre waarschuwt dat bij het ontwerp en de implementatie van veel van deze systemen oorspronkelijk geen prioriteit was voor cyberbeveiliging, wat betekent dat standaard of zwakke inloggegevens, blootgestelde services en een gebrek aan netwerksegmentatie wijdverbreid blijven. Eenmaal geopend, kunnen deze systemen worden gemanipuleerd of gebruikt als draaipunt naar andere operationele netwerken.
Als reactie op deze incidenten beveelt het bureau aan dat eigenaren van infrastructuur onmiddellijk stappen ondernemen. Deze omvatten het uitvoeren van een volledige inventarisatie van alle via internet toegankelijke ICS-apparaten en het beoordelen of ze überhaupt blootgesteld moeten blijven. Waar directe blootstelling niet kan worden geëlimineerd, wordt organisaties geadviseerd om een virtueel particulier netwerk met tweefactorauthenticatie voor toegang op afstand te implementeren, inbraakpreventie- en detectietools in te zetten, regelmatig penetratietests uit te voeren en continu kwetsbaarheidsbeheer te handhaven. Gemeenten en kleinere nutsbedrijven die mogelijk geen formeel toezicht op cyberbeveiliging hebben, worden aangespoord om te coördineren met serviceproviders en te bevestigen dat door de leverancier beheerde apparaten veilig worden geconfigureerd en gedurende hun hele levenscyclus worden onderhouden.
Een van de specifieke aanbevelingen benadrukt de rol van tweefactorauthenticatie, of 2FA, voor externe en administratieve toegang tot infrastructuursystemen. Door naast een wachtwoord ook een tweede verificatiemethode te vereisen, kunnen organisaties het risico op ongeoorloofde toegang als gevolg van diefstal van inloggegevens of phishing aanzienlijk verminderen. De waarschuwing van het Cyber Centre plaatst 2FA centraal als een fundamentele maar essentiële controle bij de bescherming van kritieke infrastructuurnetwerken.
Organisaties die vitale diensten verwerken, worden nu geconfronteerd met een verhoogde blootstelling omdat infrastructuurcomponenten steeds meer met elkaar verbonden zijn en de vermenging van informatietechnologie en operationele technologienetwerken is toegenomen. Een compromittering van één apparaat kan leiden tot bredere systeemtoegang, mogelijke verstoring van de service of veiligheidskritieke incidenten. Experts zeggen dat fysieke veiligheid verweven raakt met cyberbeveiliging wanneer waterdruk, brandstofniveaus of omgevingsomstandigheden worden gemanipuleerd door aanvallers.
De waarschuwing benadrukt ook dat hacktivisten niet alleen kunnen streven naar financieel gewin, maar ook op zichtbaarheid, om vertrouwen te ondermijnen of om publieke onrust te zaaien. Door met internet verbonden apparaten in energie-, landbouw- of waterbeheer aan te vallen, kunnen de tegenstanders een statement maken en tegelijkertijd grootschalige vernietiging vermijden, wat op zijn beurt de onmiddellijke detectie kan verminderen. Deze tactieken benadrukken de noodzaak van waakzame monitoring van zowel ongebruikelijke technische gebeurtenissen als abnormaal fysiek gedrag van de fabriek.
Als gevolg van dit advies wordt de Canadese infrastructuurbeheerders en gemeentelijke organisaties gevraagd hun beveiligingsbeleid te herzien, logboeken voor externe toegang te controleren, ervoor te zorgen dat beheerdersaccounts zijn vergrendeld en waar mogelijk multifactorauthenticatie toe te passen. Het Cyber Centre benadrukt dat toegangscontrole en monitoring alleen effectief zijn als ze worden ondersteund door governance, planning van incidentrespons en duidelijke coördinatie tussen IT- en operationele technologieteams.
Hoewel de waarschuwing de incidenten niet toeschrijft aan een bepaald land of een bepaalde groep, weerspiegelt het de bredere wereldwijde trend van campagnes gericht op infrastructuur door actoren die misbruik willen maken van blootgestelde operationele systemen. Deze ontwikkelingen hebben geleid tot hernieuwde aandacht in verschillende sectoren, waaronder water, voedsel, productie en energie. De Canadese regering gebruikt dit moment om organisaties ertoe aan te zetten cyberbeveiliging voor infrastructuur te behandelen als een kwestie van openbare veiligheid en nationale veerkracht.
Samenvattend moet de waarschuwing van het Cyber Centre door infrastructuuraanbieders worden opgevat als een oproep tot actie. Met meerdere incidenten die al zijn gemeld en de groeiende connectiviteit van industriële systemen, is het risicobeeld nog nooit zo urgent geweest. Tweefactorauthenticatie, toegangscontroles op afstand, inventarisatie van blootgestelde apparaten en geïntegreerd toezicht door leveranciers zijn fundamentele stappen in de bescherming van de nationale veiligheid en de continuïteit van de dienstverlening in de kritieke sectoren van Canada.