Cyberterrorisme tijdens de Olympische Winterspelen van 2010?

Een Canadese politieambtenaar heeft afgelopen maand flink wat discussie teweeg gebracht binnen security land door te voor mogelijk cyberterroristische aanvallen tijdens de Olympische Winterspelen in Vancouver 2010.

Vancouver beschikt namelijk over een uitgebreid en gratis draadloos netwerk voor zijn inwoners dat volgens politie inspecteur Mark Fenton ook misbruikt kan worden bij een terroristische aanval.

Dit netwerk wordt naast alle gewone netwerkdiensten (zoals Internet toegang) ook gebruikt voor het beheer van de infrastructuur van de stad. Ondermeer voor het inlezen van gasmeters, verkeersregelingen, en andere infrastructuur toepassingen. Het ontregelen van de infrastructuur met een gerichte cyberaanval kan flink wat schade kan opleveren, zeker ten tijde van de Olympische spelen wanneer de stad met heel wat extra druk op die infrastructuur te maken krijgt.

Op zich een interessant onderwerp, niet zo zeer het draadloze netwerk aspect dat vooral bijdraagt aan een grotere toegankelijkheid voor iedereen die maar een PC met een draadloos netwerkkaartje heeft maar meer het steeds weer terugkerend fenomeen van het samenbrengen van vitale functies binnen één netwerk zonder voldoende scheiding middels security zones aan te brengen. Als ik cybercop Fenton moet geloven dan is dit de kwetsbaarheid die hij heeft geconstateerd en waarbij zijn conclusie was dat het 'kritische verkeer' onvoldoende beveiligd is.

Waar ik mag aannemen dat de Nederlandse Bank zijn resterende goudvoorraad op een andere plek opbergt dan de schoonmaakmiddelen, vinden we binnen ICT omgevingen in de industrie vaak matige tot ontbrekende scheidingen. Zo kan het voorkomen dat het procesbesturingssysteem gebruikt om het productieproces te besturen direct (zonder enige vorm van veiligheidsfilter) gekoppeld is aan het kantoornetwerk. Niet geheel zonder risico's als hetzelfde kantoornetwerk gebruikt wordt voor honderden employees verspreidt over de wereld. Het veiligheidsbesef en de noodzakelijke regelgeving ontbreken, terwijl de risico’s alleen maar groter worden. Vergelijkbare regelgeving zoals vanuit het Amerikaanse Homeland Security initiatief tot stand gekomen is, is binnen Europa nog niet aanwezig. Dit terwijl de industrie zelf via onder andere richtlijnen als de ISA SP99, OLF, CIDX, en NIST SP 800-82 heel veel geinvesteerd heeft in goede oplossingen. (De ISO 17799 / 27000 richtlijnen hebben zo hun beperkingen binnen realtime missie-kritische omgevingen zoals die binnen de chemie / raffinage / off-shore.) Segmentatie van netwerken en verkeer zal nog wel even een regelmatig terugkerende bron van beveiligingsproblemen blijven. Of het nu gaat over het versturen van vertrouwelijke informatie over e-mail, een ambtenaar die via het Adidas netwerk zijn data pakketjes kwijtraakt, of een publiek draadloos netwerk waar door overheid en burgers dankbaar gebruik van wordt gemaakt.