Dat zegt Michael Toecker van ICS-beveiligingsbedrijf Digital Bond die toekomst ziet in alternatieve embedded platforms als Android en iOS. Hij noemt het einde van de ondersteuning van Windows XP een kans voor bedrijven die op zoek moeten naar een nieuw platform. “We kunnen het XP-platform nu niet meer zien als volwassen, maar als dood."

Opkomst Android bij SCADA

Het is geen revolutionair idee; Android is aan een opmars bezig in de industriële wereld. Platforms met de Dalvik VM en de Android-runtime duiken steeds meer op. Onderzoekers van Siemens onderzochten (PDF) de mogelijkheden van het platform voor bijvoorbeeld aangepaste Human-Machine-Interfaces (HMI) waarbij Dalvik inhaakt op embedded systemen.

“Ik heb het hierbij niet over de HMI-apps die grondig worden afgekraakt voor hun onveiligheid, maar over een heel Android/iOS-ecoysteem dat is ontworpen voor automatisering: van dataverwerking, HMI en de technische toepassingen tot aan de industriële controller toe", schrijft Toecker.

Sterkere beveiliging

Security bij een platform dat nu vooral voor mobiele apparaten wordt ingezet, kan volgens hem zelfs sterker zijn dan bij Windows. “Certificaten bepalen welke software wel en niet geïnstalleerd wordt op een Android/iOS-systeem. Android draait alle code verder in een sandbox, waardoor apps alleen gemachtigd zijn om de taken uit te voeren die benodigd zijn voor zijn functie."

Hij denkt dat de keus voor Android of iOS een logische keus is ten opzichte van Windows. “SCADA-leveranciers kozen voor Windows gebaseerd op variabelen die nog minder ideaal waren dan nuL de lage kosten in vergelijking met Unix, de mogelijkheid om snel te ontwikkelen en goedkope ondersteuning van Microsoft."

SCADA-lekken

Toecker is geen onbekende in de ICS-wereld. Onlangs publiceerde hij zijn ontdekking dat veel kritieke infrastructuren worden beheerd via laptops die zijn geïnfecteerd met malware. Hij ontdekte dit toen hij op zoek ging op fora naar problemen die SCADA-gebruikers ondervonden.

SCADA-lekken bij bijvoorbeeld nutsbedrijven worden veelal niet gerapporteerd en er is weinig over bekend. Wel publiceert ICS-CERT wekelijks meerdere lekken in kritieke industriële systemen. Deskundigen waarschuwen dat deze vaak lange tijd ongepatcht blijven en dat leveranciers security niet serieus nemen.