Attracties van zwembad door hackers te beheren
Gepubliceerd: Maandag 20 februari 2012
Auteur: Brenno de Winter
Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht.
Het lek werd gevonden door twee beveiligingsonderzoekers, die zich op voorwaarde van anonimiteit meldden bij Webwereld. Zij waren vooral bezorgd over het welzijn van kinderen. Het SCADA-systeem van zwembad ' t Kikkerfort stond weken open en bloot op internet. Daardoor konden zaken als de temperatuur van het water en het aan en uit zetten van attracties door iedereen van afstand worden geregeld.
Bezorgd
Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. "Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde", vertelt een van de onderzoekers tegen Webwereld. "Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een 'grapje' wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is."
Webwereld heeft na de melding onmiddellijk contact gezocht met het verantwoordelijke installatiebedrijf, medewerkers van het zwembad en het National Cyber Security Center. Hierop is het systeem van internet ontkoppelt. Pas daarna werd duidelijk dat de hoeveelheid chloor niet kon worden ingesteld. "Dat durfden wij niet te bekijken, want dan ga je een grens over", zeggen de onderzoekers.
Onderhoud
De verantwoordelijke gemeente Stichtse Vecht erkent het probleem en legt uit dat de verbinding naar het systeem wordt opgezet voor onderhoud door de installateur als een probleem niet door medewerkers van het zwembad kan worden opgelost. "Onlangs is dit systeem na onderhoudswerkzaamheden van de installateur niet gesloten, waardoor het - langer dan normaal het geval is - heeft open gestaan", vertelt voorlichter Pieter Doesburg aan Webwereld.
"De gemeente beaamt dat deze werkwijze in het systeem niet veilig is en heeft direct actie ondernomen door de verbinding te beveiligen voor derden. Hierdoor is het in de toekomst niet meer mogelijk om op het systeem te komen", stelt Doesburg. Hij benadrukt dat het niet mogelijk was de gezondheid in gevaar te brengen, maar begrijpt de bezorgdheid wel. "Nogmaals, de gemeente betreurt de gang van zaken en is blij dat - dankzij deze onderzoeksjournalist - ons bewustzijn en handelen op het gebied van veiligheid van IT-systemen is aangescherpt."
VPN-optie
Ook Hollander Techniek, die het systeem heeft geleverd, erkent de situatie en de lezing van de gemeente. Omdat Webwereld meerdere systemen van dit bedrijf heeft aangemeld, hebben zij na melding direct een scan uitgevoerd bij al hun klanten en die gewaarschuwd.
"We bieden de mogelijkheid om de verbinding te beveiligen met een VPN en bieden dat ook altijd aan. Maar ja, dat kost wel geld en niet iedere klant wil dan de extra beveiliging", vertelt Jacob Brobbel, commercieel manager van het bedrijf. Hij wijst erop dat zwembaden moeten rondkomen van een klein budget. "Zwembaden zitten al krap. Ze zien dat [misbruik van SCADA - redactie] niet als een risico, dus daar wordt niet in geïnvesteerd. Het is onwetendheid. Het komt gewoon omdat het [hacken - redactie] ze zelf niet lukt."
In de standaard procedure wordt bij onderhoud eerst met de klant gebeld, waarna die het systeem aansluit op internet. Als het onderhoudswerk klaar is, wordt de klant opnieuw gebeld om dat aan de klant te melden. "Dan staat de verbinding kort open."
Toch is de recente media-aandacht voor SCADA-problemen voor het bedrijf wel reden om te kijken of er toch aanvullende maatregelen in het standaard product kunnen worden opgenomen.
