Een persoon met een hoodie die het gezicht verbergt houdt een laptop vast en wordt omringd door vliegtuigpictogrammen
Industries
Trends

Treinen, vliegtuigen en schepen beschermen tegen cyberaanvallen is een race tegen de klok

Ook in de transportsector is alles inmiddels verbonden met het internet, waardoor treinen, vliegtuigen en schepen kwetsbaarder worden voor cyberaanvallen.
  • Cybersecurity-startup ontwikkelt software om treinen tegen hackers te beschermen
  • De risico’s van cybercrime in de luchtvaartindustrie
  • Hoe wordt de scheepvaart tegen hackaanvallen beschermd?
  • Betere cyberbeveiliging in de transportsector is van levensbelang

Technologie heeft de afgelopen jaren ook de transportsector getransformeerd en de veiligheid, betrouwbaarheid en operationele efficiëntie binnen deze sector aanzienlijk verhoogd. Ook de  passagierservaring is door ongeëvenaard comfort en gemak – dankzij technologie – aanmerkelijk verbeterd.

Een infographic met het percentage cyber-aanvallen gericht op de transportsector.
Volgens een recent rapport van IBM over cyberveiligheid was de transportsector in 2018 het belangrijkste doelwit voor cybercriminelen, met ongeveer 13 procent van de totale cyberaanvallen.

De toegenomen connectiviteit heeft echter ook geleid tot nieuwe beveiligingsproblemen die de transportsector kwetsbaarder maken voor cyberaanvallen. Volgens een recent rapport van IBM over cyberveiligheid was de transportsector in 2018 het belangrijkste doelwit voor cybercriminelen. In deze sector vond ongeveer 13 procent van het totale aantal cyberaanvallen plaats.

Cybersecurity-startup ontwikkelt software om treinen tegen hackers te beschermen

Vooral spoorwegnetwerken zijn enorm kwetsbaar voor hackaanvallen. Dit komt doordat ze moderne technologische componenten doorgaans combineren met verouderde fysieke componenten die niet zijn beveiligd tegen cyberaanvallen. “Treinreizen heeft een digitaliseringsproces ondergaan dat achterloopt op andere sectoren”, vertelt Amir Levintal, voormalig directeur van de cyberonderzoeks- en ontwikkelingsunit van de Israel Defense Force en CEO van cybersecuritybedrijf Cylus. “Treinbedrijven gebruiken bovendien veiligheidssystemen die ontwikkeld zijn om 30 jaar of langer mee te gaan, wat betekent dat veel van deze systemen geïmplementeerd zijn lang voordat moderne hacktools bestonden of cyberbedreigingen bekend waren”.

De huidige centra voor besturing en seingeving gebruiken bijvoorbeeld vaak draadloze signalen om de activiteiten in het netwerk te managen, waaronder het bewaken van treinsnelheden en het regelen van verkeerssignalen. Deze draadloze signalen stellen het netwerk echter ook bloot aan cyberaanvallen. “Sommige treinnetwerken gebruiken wifi-verbindingen om cruciale componenten van de trein te besturen, zoals de remmen en deuren. Hackers kunnen manieren vinden om toegang te krijgen tot dit draadloze netwerk om opdrachten naar die componenten te sturen en het gedrag van de trein te beïnvloeden”, vertelt Levintal. “Zodra ze het voor elkaar krijgen een netwerk te hacken om informatie te verzamelen, kunnen ze de fysieke elementen van het netwerk aanvallen”. Door toegang te krijgen tot het netwerk kunnen hackers allerlei commando’s uitvoeren, zoals bijvoorbeeld het ontsporen van de trein.

In februari 2018 werd een man met de naam Christopher Victor Grupe veroordeeld tot een jaar gevangenisstraf voor het saboteren van het computernetwerk van een spoorwegbedrijf. Grupe was IT-beheerder bij de Canadian Pacific Railway (CPR) maar werd in december 2015 geschorst wegens insubordinatie. Vervolgens kreeg hij te horen dat hij zou worden ontslagen. Hij wist het bedrijf er echter van te overtuigen om hem zijn ontslag te laten indienen en beloofde dat hij zijn laptop en toegangsbadges zou inleveren. Voordat hij het bedrijf verliet gebruikte Grupe zijn inloggegevens echter om nog een laatste keer toegang te krijgen tot de computernetwerkschakelaars van het bedrijf. Vervolgens verwijderde hij verschillende admin-accounts en bepaalde sleutelbestanden en veranderde hij wachtwoorden voor andere accounts. Uiteindelijk verwijderde hij de activiteitengeschiedenis om zijn sporen te wissen, waarna hij de laptop, zoals afgesproken, inleverde. Het duurde bijna een maand voordat het bedrijf de sabotage ontdekte. Toen ze op de schakelaars probeerden in te loggen, kwamen ze erachter dat deze waren vergrendeld en moesten ze alle apparaten opnieuw opstarten om weer toegang te krijgen. Volgens het bedrijf wist Grupe met zijn acties ongeveer $30.000 aan schade te veroorzaken.

Om toekomstige aanvallen te voorkomen is het dus van cruciaal belang om ook de fysieke componenten te beschermen. “We moeten oude en nieuwe technologieën samenbrengen en deze gecompliceerde beveiligingskloof dichten”, zegt Levintal. “We kunnen er niet vanuit blijven gaan dat dit soort aanvallen in de toekomst niet meer zullen voorkomen. Spoornetwerken zijn enorm uitgebreid en complex en bovendien zijn ze tegenwoordig allemaal met het internet verbonden. Het is eenvoudiger dan ooit om manieren te vinden om deze systemen te hacken. Cylus heeft nu een cybersecurity-oplossing ontwikkeld met de naam CylusOne. Dit systeem is ontwikkeld om belangrijke kwetsbaarheden in de spoorwegsector aan te pakken en doet dit door besturings- en seingevingnetwerken te bewaken, zoals baanapparatuur en koppelings- en beheerwerkstations. Ook moet het systeem de beveiliging van de operationele systemen aan boord voor zijn rekening nemen. Naast het op tijd detecteren van cyberdreigingen, kan het systeem ook de ernst van de cyberdreiging bepalen en suggesties doen over de beste handelswijze om de problematiek op te lossen.

De risico’s van cybercrime in de luchtvaartindustrie

Ook de luchtvaartindustrie heeft te maken met cyberdreigingen. Vroeger werden de meeste vliegtuigsystemen geïsoleerd door luchtvaartspecifieke technologieën waardoor ze tamelijk beschermd waren tegen cybercriminelen. Dat is de afgelopen jaren als gevolg van de implementatie van nieuwe technologieën echter veranderd. Om aan veranderende markteisen te voldoen en concurrerend te kunnen blijven, wordt de luchtvaartsector steeds afhankelijker van door software aangedreven systemen, internetconnectiviteit en digitale data. Hoewel deze innovaties ertoe geleid hebben dat passagiers een steeds betere vliegervaring hebben, zijn vliegtuigen daardoor helaas ook kwetsbaarder geworden voor cyberaanvallen. De moderne vliegtuigen van vandaag zijn zeer complex en bevatten met het internet verbonden entertainment- en connectiviteitssystemen, elektronische flightbags, cabinepersoneelsapparatuur, digitale grond- en onboardsystemen en luchtverkeersbeheersystemen – en al deze systemen kunnen gehackt worden.

Maar ondanks deze toegenomen dreiging beschikt een groot aantal bedrijven in deze sector nog steeds niet over een systeem dat deze risico’s kan managen. Uit een PwC-enquête uit 2016 blijkt dat slechts 40 procent van de luchtvaartbedrijven een uitgebreide beveiligingsstrategie heeft, met alle mogelijke gevolgen van dien. In 2018 kreeg het in Hong Kong gevestigde Cathay Pacific Airways bijvoorbeeld te maken met het grootste datalek in de geschiedenis van de luchtvaart. Een hacker wist toegang te krijgen tot de persoonlijke informatie van 9,4 miljoen klanten, waaronder namen, geboortedatums, nationaliteit, e-mailadressen, telefoonnummers, fysieke adressen, ID-, paspoort- en creditcardnummers en historische reisinformatie. Hoewel de vliegveiligheid niet werd aangetast, had het datalek echter wel tot gevolg dat de aandelen van de luchtvaartmaatschappij daalden tot het laagste niveau in negen jaar en het bedrijf maar liefst $361 miljoen aan marktwaarde verloor.

Een infographic met het percentage ruimtevaartbedrijven dat in 2016 een uitgebreide beveiligingsstrategie had.
Volgens een onderzoek van PwC had slechts 40 procent van de ruimtevaartbedrijven in 2016 een uitgebreide beveiligingsstrategie

Overigens zijn het niet alleen passagiersgegevens die op straat kunnen komen te liggen. In september 2018 ontdekte de beveiligingsonderzoeker Ruben Santamarta een onbeschermde server op het netwerk van Boeing met computercode die ontwikkeld was om te draaien op passagiersvliegtuigen 737 en 787 van het bedrijf. Na het bestuderen van de code ontdekte Santamarta ook beveiligingsfouten in een van de 787 Dreamliner-componenten waardoor hackers het entertainmentsysteem van het vliegtuig zouden kunnen infiltreren. Van daaruit zouden ze de kwetsbaarheden in het Crew Information Service/Maintenance System kunnen gebruiken om toegang te krijgen tot kritieke systemen, zoals de vluchtbesturing en sensoren. Boeing heeft ontkend dat een dergelijke aanval mogelijk is en beweert dat er aanvullende beveiligingsmechanismen zijn om te voorkomen dat hackers gebruikmaken van deze kwetsbaarheden. Hoewel de meeste beveiligingsonderzoekers het erover eens zijn dat dit niet echt een directe bedreiging vormt, blijft het feit dat deze kwetsbaarheden überhaupt bestaan natuurlijk zeer zorgwekkend. “De bewering dat we ons geen zorgen hoeven te maken over een kwetsbaarheid omdat andere beveiligingen voorkomen dat deze wordt uitgebuit, heeft een zeer slechte geschiedenis in de computerbeveiliging”, zegt Stefan Savage, professor informatica aan de University of California in San Diego.

Om luchtvaartbedrijven te helpen hun vliegtuigen, infrastructuur en gegevens te beschermen tegen cyberaanvallen heeft de wereldwijde cybersecurityprovider F-Secure een nieuw product ontwikkeld met de naam Aviation Cyber ​​Security Services. De software beoordeelt en monitort de beveiliging van avionica (toegepaste elektronica in de luchtvaart), grondsystemen en datalinks en biedt kwetsbaarheidsscanners, incidentresponsdiensten en gespecialiseerde cybersecurity-trainingen voor IT-managers en cabine- en cockpitpersoneel. “Een belangrijk probleem waarmee we organisaties helpen is het beschermen van veiligheidskritieke vliegtuigsystemen”, zegt Andrea Barisani, hoofd hardware-security van F-Secure. “Een belangrijke beveiligingsmaatregel is het scheiden van systemen in verschillende ‘vertrouwensdomeinen’ en vervolgens bepalen hoe systemen in verschillende domeinen met elkaar kunnen communiceren. Hiermee kun je voorkomen dat beveiligingsproblemen in één domein, zoals een wifi-service voor passagiers, veiligheidskritieke systemen beïnvloeden, zoals vliegtuigbesturing of datalinks naar de grond”.

Hoe wordt de scheepvaart tegen hackaanvallen beschermd?

Net als treinen en vliegtuigen hebben schepen de laatste jaren ook steeds meer internetconnectiviteit, waardoor ze kwetsbaarder zijn voor cyberaanvallen. Gezien de complexiteit van de maritieme sector is het aanpakken van dit probleem echter allesbehalve eenvoudig. Een van de belangrijkste redenen daarvoor is dat er allerlei soorten schepen zijn die op verschillende besturingssystemen varen. Vele daarvan zijn verouderd en worden niet meer ondersteund. Een ander probleem is dat scheepsbemanningen voortdurend veranderen en dat nieuwe bemanningsleden vaak niet bekend zijn met de systemen die ze moeten gebruiken, wat de kans op menselijke fouten vergroot. Bovendien staan ​​schepen in constante communicatie met de terrestrische systemen van hun moederbedrijven, waardoor ze ook kwetsbaar zijn voor beveiligingsfouten in de infrastructuur op het land.

Pen Test Partners, een in het VK gevestigd bedrijf dat penetratietests, beveiligingsevaluatie en trainingsdiensten aanbiedt, heeft onlangs bekendgemaakt dat het relatief eenvoudig is om een ​​schip te kapseizen door slim gebruik te maken van kwetsbaarheden in kritieke scheepscontrolesystemen, zoals IP-naar-serieel converters, GPS-ontvangers of de Voyage Data Recorder (VDR). Veel van deze apparaten werken nog steeds op Windows XP of Windows NT, hebben verouderde firmware en gebruiken standaard admin-wachtwoorden die gemakkelijk kunnen worden gekraakt. Deze apparaten maken gebruik van het gestandaardiseerde NMEA 0183-berichtensysteem om te communiceren met de verschillende besturingssystemen van het schip, zoals stuurautomaatsystemen, dynamische positionering, motorregeling, voortstuwingsregeling, ballastregeling en digitale kompassen. Een cybercrimineel die deze systemen weet te hacken kan zo’n schip ernstige schade toebrengen. Een kleine verandering in de ballastregelsystemen kan er bijvoorbeeld voor zorgen dat het schip tijdens een scherpe bocht kapseist. “Moderne ballastcontrolesystemen hebben bedieningsmogelijkheden op afstand vanaf de brug, meestal via een pc”, vertelt Ken Munro, onderzoeker van Pen Test Partners. “De aanvaller kan dus gewoon de juiste seriële gegevens naar de ballastpompcontrollers sturen, waardoor ze allemaal van bakboord- naar stuurboord-ballasttanks pompen. Alleen die verandering kan al een kapseis veroorzaken”.

De maritieme sector heeft tot nog toe nogal traag op deze groeiende dreiging gereageerd. In 2016 heeft de International Maritime Organisation (IMO), de VN-instantie die verantwoordelijk is voor de regulering van de maritieme ruimte, haar voorlopige richtlijnen voor cyberveiligheidsrisicobeheer voor de maritieme sector gepubliceerd. In 2017 heeft de IMO deze richtlijnen bijgewerkt om meer duidelijkheid te verschaffen over hoe de sector risicobeheerprocessen moet uitvoeren. Volgens de nieuwe regels hebben reders en beheerders tot januari 2021 de tijd om cyberrisicobeheer en -beveiliging op te nemen in hun veiligheidsbeheersystemen of het risico te lopen dat hun schepen stilgelegd worden. Hoewel deze nieuwe richtlijnen een belangrijke ontwikkeling zijn, zijn ze volgens veel experts alweer verouderd, omdat zelfs de cloud of kunstmatige intelligentie er niet in voorkomen. “Moderne cybersecurity-problemen die gecreëerd worden door mobiliteit, applicaties en de cloud worden in deze richtlijnen niet eens genoemd”, zegt Tom Kellermann, chief cybersecurity officer bij beveiligingsbedrijf Carbon Black Inc.

Betere cyberbeveiliging in de transportsector is van levensbelang

Zoals vele andere sectoren ondergaat nu ook de transportsector een belangrijke, door technologie aangedreven transformatie. Hoewel nieuwe technologieën in deze sector talloze voordelen hebben opgeleverd, zoals meer veiligheid, verhoogde efficiëntie, meer betrouwbaarheid en betere passagierservaringen, zijn treinen, vliegtuigen en schepen ook kwetsbaarder geworden voor cyberaanvallen. De sector heeft tot nog toe niet adequaat gereageerd op deze groeiende dreiging. Maar nu beveiligingsonderzoekers steeds weer nieuwe, ernstige kwetsbaarheden blijven ontdekken die het leven van passagiers in gevaar kunnen brengen komt daar langzaam verandering in. Geen van de cyberaanvallen op de transportsector heeft tot nu toe tot verlies van mensenlevens geleid. Maar het feit dat deze mogelijkheid wel bestaat, dwingt de sector om de ernst van het probleem te erkennen en stappen te ondernemen, zoals het implementeren van cybersecurity-oplossingen die specifiek voor deze sector zijn ontworpen.