‘Scada-systemen zijn blinde vlek’

In het ICCP-protocol, dat softwareleverancier LiveData in zijn server heeft geïmplementeerd, bleek vorige maand een fout te zitten waarmee een hacker een servercrash zou kunnen veroorzaken. De LiveData-server wordt door elf leveranciers meegeleverd met hun Scada-software, waaronder Invensys, S&C en ook LogicaCMG. "Die bedrijven doen net alsof het hier niet om bedrijfskritische applicaties gaat", zegt CEO Dale Peterson van Digital Bond, het bedrijf dat het lek ontdekte. Hij verwondert zich erover dat negen van de betrokken bedrijven nog steeds geen gevolg hebben gegeven aan de melding, die de eerste in zijn soort was die door US-Cert in behandeling is genomen. Op een conferentie over systemen voor infrastructuurbeheer liepen vorige week de discussies tussen leveranciers en beveiligers hoog op. De eersten willen de nogal obscure en steeds complexere (en moeilijk te patchen) Scada-systemen graag obscuur houden, als ultieme bescherming tegen het hacker-gevaar. De beveiligers zeggen echter dat die vlieger niet meer opgaat. Hoe serieus die dreiging moet worden genomen, bleek begin april op een beveiligingsconferentie in Vancouver. Onderzoeker Eric Byres van de British Columbia Institute of Technology presenteerde daar de resultaten van onderzoek naar veiligheidsincidenten met Scada-systemen. Tussen 1982 en 2001 betrof 27 procent van de incidenten een externe aanval, zij het doorgaans van wrokkige medewerkers van de betreffende bedrijven. Tussen 2001 en oktober 2005 ging het echter in de meerderheid van de 117 gevallen om externe aanvallen, doorgaans van wormvirussen als Blaster en Slammer. "En daar komt nog bij dat de complexiteit van Scada-systemen is geëxplodeerd sinds ze internetverbindingen hebben gekregen", aldus Byres.