‘Sinds de oorlog in Oekraïne is het aantal cyberaanvallen in de energiesector tien- tot twintigmaal zo groot’, vertelt Gennady Kreukniet, OT security consultant bij DNV Cyber, het voormalige Applied Risk, dat adviseert over cybersecurity in de industrie. ‘De aanvallen begonnen precies op de dag dat Rusland Oekraïne binnenviel. De afgelopen twee jaar is er overal een enorme piek geweest.
Dat zie ik bij mijn klanten in de energiesector in West-Europa en zeker op de Noordzee.’ Op alle systemen met een internetverbinding proberen aanvallers met scanningtools binnen te komen. ‘Het is nog ongericht, alles wordt onderzocht, ik heb nog geen geslaagde inbraak gezien op de Noordzee’, aldus Kreukniet. Wel zijn de operaties van twee onshore windbedrijven vertraagd door gijzelsoftware.
Onder de radar
‘Criminelen die geld willen verdienen met gijzelsoftware richten zich niet speciaal op de energiesector’, aldus Christo Butcher, executive consultant bij Fox-IT, een bedrijf in cyberbeveiliging. ‘Het maakt hen niet uit of ze een windpark platleggen of iets anders. Staten als Rusland en China hebben andere motieven en richten zich wel speciaal op onder meer de infrastructuur. Het gaat hen om ontwrichting. We weten dat Rusland hackers heeft die kunnen inbreken in operationele systemen om op die manier posities in te nemen en het goede moment af te wachten om toe te slaan. Dat blijft onder de radar. Het wordt pas zichtbaar als ze besluiten om schade aan te richten. Alleen met grondig onderzoek komt dat eerder aan het licht. Dit soort aanvallers doen echt hun best om geen sporen achter te laten.’
Volgens Butcher lopen offshore windparken meer risico dan andere onderdelen van het energiesysteem. ‘Een kerncentrale is sterk afgesloten van de buitenwereld. Remote toegang is daar moeilijk. Maar een windpark is digitaal makkelijker te bereiken. Dat is logisch omdat je er fysiek lastig naartoe kunt, je moet erheen vliegen of varen. Er zijn dus goede redenen om windparken op verschillende manieren te verbinden met internet, zodat je toegang hebt via remote terminals of een smartphone.’ Bovendien zijn veel verschillende partijen betrokken bij offshore windparken, van turbineleveranciers tot data-analisten, en van ecologen tot rederijen voor onderhoudsschepen. ‘Zo'n complexe toeleveringsketen maakt het moeilijker om overzicht te houden en afwijkingen van normale patronen te zien’, aldus Butcher.
Lappendeken
Gennady Kreukniet van DNV Cyber ziet vooral problemen bij oudere windparken. ‘Een windpark wordt ontworpen voor 25 jaar, maar in de loop van de tijd worden steeds systemen toegevoegd. Bijvoorbeeld om corrosie te detecteren of om de productie te optimaliseren. Die systemen hebben allemaal een externe toegang om ze vanaf de wal te kunnen bedienen.’ Over de beveiliging daarvan wordt onvoldoende nagedacht, aldus Kreukniet. ‘Vaak blijft het bij de vraag of het kastje genoeg stroom krijgt en de apparatuur zilte zeelucht kan weerstaan. Maar niet of de digitale toegang tot de vogelradar voldoende is afgeschermd van de bediening van de transformator.’
‘Bij windparken waar ik voor de eerste keer kom is het vaak niet duidelijk wie voor de beveiliging van deze systemen verantwoordelijk is’, constateert Kreukniet. ‘Ze weten precies waar elk schroefje zit en waar elke stroomkabel loopt. Maar informatie over servers en netwerkdevices kom ik niet tegen. Dat zijn echt basale gegevens. Stuur iemand een week naar zee om alle kasten open te trekken en alle communicatiekabels te volgen. Wie zijn de eigenaars van de systemen? Wie zorgt voor het onderhoud? Zijn de nieuwste patches geïnstalleerd? En als dat niet kon, zijn de risico's afgewogen en beschreven?’ Net zo praktisch moet je naar het toegangsbeheer kijken. ‘Klopt de lijst met mensen die kunnen inloggen. Maken ze daar nog gebruik van?’
Rigide scheiding
De operational technology is lang niet altijd goed gescheiden van de kantooromgeving, aldus Kreukniet. ‘Er worden vaak verbindingen tussen die twee gelegd, bijvoorbeeld om snel productiecijfers te kunnen verwerken. Dat kan voor hackers ook een toegang zijn om bij de operational technology te komen. De twee aanvallen met gijzelsoftware in de sector troffen de kantooromgeving. Iemand heeft op een verkeerd mailtje geklikt of een gekke website bezocht. Maar men durfde het niet aan om de operaties door te laten gaan. Die twee zaken moeten rigide gescheiden zijn met firewalls.’
Als Kreukniet bij een riskassessment wijst op het ontbreken van basale maatregelen, ontstaat vaak onrust. ‘Hoe kon dit gebeuren? Het gaat toch al jaren goed, waarom moet het ineens anders? Maar wat tien jaar geleden veilig was, is dat nu niet meer. Een systeem moet je continu bijhouden om het weerbaar te houden tegen nieuwe dreigingen.’
Zo min mogelijk verandering
Volgens Christo Butcher van Fox-IT is het dilemma dat bij operational technology alles gericht is op continuïteit. ‘Het gaat om stabiliteit, betrouwbaarheid, safety. Zo min mogelijk verandering. Bij security gaat het daarentegen om snel reageren op nieuwe kwetsbaarheden en hacktechnieken, systemen aanpassen, verandering. Dat zijn twee verschillende benaderingen die met elkaar botsen. Zodra je operational technology met het internet verbindt, moet je die twee werelden bij elkaar brengen. Dat is technisch lastig, maar vraagt ook een andere mindset en cultuur.’
Butcher vergelijkt het met de agile aanpak bij de ontwikkeling van software. ‘Tegenwoordig accepteren we dat je softwareontwikkeling vooraf niet helemaal kunt plannen. Je moet er vanuit gaan dat de eisen aan software veranderen. Dat geldt ook voor cybersecurity. Je moet met elkaar afspreken hoe je omgaat met nieuwe dreigingen, in plaats van alles vooraf uit te denken en vast te leggen. Je moet accepteren dat we leven in een onvoorspelbare wereld. Dat moet je in processen oplossen, niet in plannen.’
Toeleveranciers
Bij nieuwe windparken gaan exploitanten bewuster met veiligheid om, merkt Butcher. ‘Maar dat geldt niet in de hele keten van toeleveranciers. Die keten is lang en complex. Leveranciers weten niet altijd hoe ze hun apparaten veilig moeten houden. Vooral kleine start-ups zijn al blij als hun product werkt. Dat is een probleem in de hele industrie, niet alleen bij offshore wind. Dat los je alleen op samen met toeleveranciers. Duidelijke afspraken en eisen bieden dan houvast. De financiële sector is daarbij een voorbeeld. Partijen die de pijn van cyberaanvallen zelf voelen, leren snel om die pijn te voorkomen. Maar in de energiesector wordt de pijn nog maar beperkt gevoeld. Dat is een deel van het probleem. Wie alleen binnen de eigen sector kijkt, leert de lessen te langzaam. De aanvalstechnieken zijn algemener en niet specifiek voor windparken. Kijk dus breder, dan kan je veel lessen leren die ook binnen de energiesector relevant zijn.’
Lijstjes afvinken
Het helpt ook dat regels strenger worden. In oktober moet de Europese NIS2-richtlijn van kracht worden met strengere eisen aan de cyberbeveiliging en weerbaarheid van essentiële diensten. Daardoor komen exploitanten van windparken onder toezicht te staan, ze worden verplicht om een risicobeoordeling uit te voeren en krijgen een meldplicht bij incidenten. Onder de NIS2 worden bestuurders persoonlijk aangesproken op cyberveiligheid. Ook bij hun toeleveranciers.
In Duitsland heeft het Bundesamt für Sicherheit in der Informationstechnik een lijst opgesteld met honderden regels voor de implementatie van de NIS2-richtlijn. In Nederland is nog niet duidelijk hoe gedetailleerd de nieuwe richtlijn in wetgeving wordt omgezet. Regels zijn belangrijk, maar het gevaar is dat betrokkenen achteroverleunen als ze aan alle maatregelen voldoen, aldus Butcher. ‘Dan wordt een lijst afgevinkt, zonder dat de organisatie bewust omgaat met de risico's. Als je teveel voorschrijft haal je de verantwoordelijkheid bij de betrokkenen weg. Compliance is een risico. Cybersecurity moet iedereen in de organisatie bezig houden, van hoog tot laag, omdat je te maken hebt met een actieve tegenstander. Het is geen eenmalige activiteit maar moet een doorlopend proces binnen de organisatie zijn.’
Tekst: Bram Vermeer
Portretten: Nicoline Rodenburg