“Hé, de computers doen het niet; ze zitten op slot. Dan maar lekker papier opruimen? Maar wacht, we zijn geen ambtenaren en we verliezen nu tonnen per uur.” Ransomware neemt een lucratief nieuw doelwit op de korrel: industriële controlesystemen. Aan het IT kanaal de schone taak om haar klanten te waarschuwen, informeren en helpen beschermen.
Ambtenaren van drie Friese gemeenten konden in juni 2015 best even wat ander werk doen toen de computers daar waren getroffen door ransomware. De medewerkers gingen gewoon hun kasten uitmesten, archieven op orde brengen en meer analoog handwerk verrichten. Ondertussen begon de dienst automatisering aan het restoren van zo’n zeshonderd computers.
Papierwerk
De Volkskrant schreef toen over “een positief neveneffect”, want die ene dinsdag is er 650 kilo oud papier naar de recycling gegaan. Dat was ruim drie keer de hoeveelheid die normaal in twee weken de gemeentelijke kantoren verliet. Bij gemeenten kan dit. Bij de Tweede Kamer wellicht ook, waar begin dit jaar computers zijn gegijzeld.
Mogelijk kan een doorsnee bedrijf ook wel eventjes zonder computers, omdat er nog ander werk ligt. Hoewel dat natuurlijk z’n prijs heeft. De normale productiviteit hangt voor een groot deel af van ICT, dus ransomware heeft een negatieve impact. Maar waar is productiviteit echt ICT-afhankelijk; machine-gedreven en computergestuurd? In de industriële sector.
Domino-effect
Daar is uitval gelijk een hele kostbare zaak. Zowel du moment in een lamgelegde fabriek of nutsvoorziening, als ook verderop en later in de keten. Productie-uitval raakt andere bedrijven en eindafnemers. Zie maar de stroomuitval vlak voor kerst 2015 in West-Oekraïne, veroorzaakt door een hackaanval. Een gijzelneming zou bij nutsmiddelen grote kans op betaling maken.
ICT-securitykenners weten wel dat de computerelementen in machines, fabrieksomgevingen en andere industriële systemen hackbaar zijn. Dit is al aangetoond door de roemruchte Stuxnet-worm, zo’n zeven jaar geleden ontdekt en toen al een jaar actief. Dat digitale wapen was een sterk staaltje werk van geavanceerde aanvallers, zo hebben wij weten te deduceren.
Helaas is Stuxnet oud en schrijdt de techniek voort. Techniek qua malware en qua computerisering van industriële systemen. Malware die toen geavanceerd was, is nu gewoon. Systemen die toen deels geautomatiseerd waren, zijn nu veel verder verweven met ICT. Ondertussen is cybercrime een zeer zakelijke wereld: gedreven door geld en met businessaanpak zoals doelmarkt en return-on-investment.
Veel gewin voor weinig moeite
Waarmee kunnen cybercriminelen goed verdienen? Met ransomware. Waar kunnen ze daarmee veel halen tegen minimale moeite? Daar waar gijzeling de grootste schade aanricht, ongeacht de slachtoffers. We hebben door ransomware-infecties bij ziekenhuizen al gezien dat ethische overwegingen niet of nauwelijks meespelen bij digitale afpersers.
Een logische volgende stap is gijzeling van aansturingsmachinerie in de industriële sector. Vanwege het geld en relatief lagere ICT-beveiliging daar. ICS-omgevingen (Industrial Control System), SCADA-systemen (Supervisory Control And Data Acquisition) en PLC’s (programmable logic controllers) zijn lucratieve doelwitten. Dit is geen theoretisch gevaar, maar een praktisch risico. Wie gaat kwetsbare bedrijven in de industriële sector waarschuwen, informeren en (helpen) beschermen? Een schone taak voor vertrouwde VAR’s, system integrators en andere IT service providers.