Volgens it-beveiligingsbedrijf Norman, dat cijfers van Industrial Control System Cyber Emergency Response Team (ICS-CERT) aanhaalt, wordt in meer dan de helft van de gevallen waarin een kwetsbaarheid in een SCADA-systeem wordt ontdekt, geen patch uitgebracht.

“In tegenstelling tot it-leveranciers nemen de makers van SCADA-systemen beveiliging niet erg serieus. Vaak wordt inadequaat gereageerd, zelfs wanneer over hun producten kritieke kwetsbaarheden in het openbaar worden gebracht", schrijft Audun Lødemel , een topmanager bij Norman, in zijn blog.

Grote gevolgen

SCADA-systemen worden onder meer gebruikt voor de aansturing van industriële installaties, zoals waterpompen, windmolens, zwembadinstallaties, nucleaire installaties, gas- en oliepompen en zelfs de infrastructuur van openbaar vervoer. Het platleggen of op afstand bedienen van dergelijke installaties kunnen grote gevolgen met zich mee brengen. Iran heeft inmiddels toegegeven dat de Stuxnetworm die gericht was op de SCADA-systemen van zijn nucleaire installaties, grote schade heeft toegebracht aan zijn atoomprogramma.

Lødemel verhaalt over een conferentie over it-beveiliging eerder deze maand waar onder meer werd gezegd dat de staat waarin de beveiliging van SCADA-systemen zich bevinden “lachwekkend" is. “De bugs komen uit de jaren 90 en voor het overgrote deel zijn ze ook nog eens overduidelijk." Grootste probleem is dat organisaties en bedrijven de systemen nog steeds zien als machines in plaats van computers en dat daardoor het beheer en de beveiliging anders wordt opgevat dan bij ict-infrastructuur. Dit terwijl de systemen in toenemende mate benaderbaar zijn via internet.

Volgens Norman zijn SCADA-systemen op dit moment “de belangrijkste uitdaging" van de beveiligingsindustrie. De systemen hebben geen ingebouwde beveiliging. Overigens komen steeds meer securitybedrijven met softwarematige beveiligingsoplossingen voor SCADA-systemen.