Bron: Techzine
Organisaties zetten hun data en draaien hun workloads in een datacenter. Dit kan een datacenter zijn dat onderdeel is van de organisatie, een colocatiedatacenter of een datacenter van een van de grote public cloudspelers. Het is vanzelfsprekend belangrijk dat deze data en workloads daar veilig zijn. Daarom zijn datacenters doorgaans voorzien van behoorlijk indrukwekkend ogende fysieke security. Daarnaast draaien er allemaal monitoringtools en cybersecuritytools die ervoor moeten zorgen dat niemand in kan breken op de servers en andere IT-systemen die in het datacenter draaien.
Volgens Fred Streefland en Sander Nieuwmeijer van de Nederlandse start-up Secior (spreek uit als secure) vergeet je dan echter een belangrijk onderdeel. De OT-omgeving staat vaak wagenwijd open voor aanvallers. Secior wil dit aanpakken voor datacenters. Wij spraken uitgebreid met de CEO (Streefland) en de oprichter (Nieuwmeijer) van dit nieuwe bedrijf.
Veel expertise binnen Secior
Zowel Streefland als Nieuwmeijer kun je zonder overdrijving als door de wol geverfde professionals zien binnen hun expertisegebieden. Streefland heeft een lange staat van dienst in de security-industrie, zowel aan de klantkant als aan de kant van de leveranciers. Hij heeft CISO- en CSO-rollen bekleed bij LeaseWeb, Palo Alto Networks en Hikvision.
Nieuwmeijer is ruim 20 jaar geleden begonnen met het bouwen van datacenters en computerruimten, verspreid over heel Europa. Dit heeft hij een jaar of 18 volgehouden. In totaal heeft hij er naar eigen zeggen met zijn team een paar honderd gebouwd. Dit heeft hij gedaan voor overheden en het bedrijfsleven, zoals een tijdelijk datacenter voor de Belastingdienst toen men daar bezig was om de twee eigen datacenters te verbouwen. Nieuwmeijer is naast oprichter van Secior ook nog eigenaar van DC People. Dit bedrijf detacheert arbeidskrachten bij datacenters.
OT-systemen vaak slecht of niet beveiligd
Er is zoals hierboven al aangegeven veel aandacht voor het beveiligen in dichtzetten van IT-systemen en -omgevingen. Nieuwmeijer zag in al zijn jaren als datacenterbouwer echter dat er vrijwel geen aandacht was voor OT-beveiliging. Terwijl dit een groot aanvalsoppervlak is. In principe staan tegenwoordig OT-systemen zoals koelinstallaties en UPS’en in verbinding met een netwerk. Dat maakt ook dat ze het doelwit kunnen worden van aanvallen. “Je ziet in Shodan dat er heel veel van dit soort componenten wijd open staan”, geeft Nieuwmeijer aan.
Veel commerciële datacenters worden daarnaast ook overgenomen door een grotere partij. Dit op elkaar stapelen van meerdere sites maakt het risico nog iets groter. Het is dan een stuk lastiger om goed overzicht te houden over wat er zoal staat op alle sites. Daarbij komt ook nog dat veel oudere datacenters apparatuur hebben staan die soms als tientallen jaren oud is. Veel van dit legacy-materiaal bestaat uit systemen waar geen enkele beveiliging op zit. Dat hier weinig tot niets aan gedaan is verbaast Nieuwmeijer overigens niets. “Zeker in datacenters geldt het mantra dat je ergens vanaf blijft als het goed draait”, stelt hij.
Het beheer van OT-componenten vindt doorgaans plaats op afstand, of in ieder geval via een netwerkverbinding. Dat betekent dat er poorten openstaan. Dat moet nu eenmaal, geeft Nieuwmeijer aan, maar dit gaat uiteraard wel ten koste van je beveiliging. Op zich is het prima mogelijk om hier een goede balans in te vinden, maar dan moeten er wel mensen met kennis van zaken rondlopen. Dat is vaak ook een probleem. We hebben het hier over facilitaire infrastructuur, die vaak onder beheer van iemand valt die doorgaans niets weet van cybersecurity. Toch runnen ze de sites.
Datacenters zijn kwetsbaar
Streefland en Nieuwmeijer zijn stellig: “Datacenters zijn kwetsbaar.” Om aan te geven hoe kwetsbaar, geeft Streefland aan dat ze in een enkel datacenter niet minder dan 150.000 sensoren hebben opgespoord die geen onderdeel uitmaakten van de IT-omgeving. Het gaat dan louter om OT en IoT. In principe is iedere sensor een manier om ergens binnen te komen.
Het gaat bij een discussie over de kwetsbaarheid van OT-omgevingen overigens niet zozeer om cyberaanvallen zoals we die gewend zijn. Dat wil zeggen, het gaat niet om het stelen van data of het afpersen van organisaties voor hoge sommen geld (of Bitcoin). Een aanval via OT-systemen kan gedaan worden om een datacenter te saboteren. Datacenters zijn tegenwoordig namelijk kritische infrastructuur. Dat maakt het interessant voor met name aanvallen die vanuit een land gedaan worden op een ander land.
Streefland haalt op dit punt een actueel voorbeeld aan: “In Oekraïne hebben we daadwerkelijk aanvallen gezien met malware die specifiek gericht was op de datacenters daar.” Als je dit soort kritische infrastructuur uit wilt schakelen, is het helemaal niet logisch om via IT-systemen binnen te komen. Dan kun je beter bij een koelinstallatie naar binnen gaan en daar de settings van aanpassen. Dan oververhit het hele datacenter en is dit in zijn geheel buiten dienst. Op dit punt komt er ook weer een concreet voorbeeld. “Er zijn veel koelinstallaties in gebruik met Carel netwerkkaarten erin met admin/admin als wachtwoord”, geeft Streefland aan. Dat maakt het aanvallers wel erg eenvoudig natuurlijk.
Dit soort sabotage-acties mogen dan op papier vrij eenvoudig zijn, wij hebben er eigenlijk nog niet van gehoord. Is het dan wel zo’n probleem? Dat lijkt de vraag te zijn die veel gesteld wordt, met ‘nee’ als impliciet antwoord, constateren ook Streefland en Nieuwmeijer. Toch is het niet ondenkbaar dat er al de nodige problemen op dit vlak zijn geweest. Datacenters zullen dit echter niet snel naar buiten brengen. Die willen hun goede naam niet te grabbel gooien. Dat zou veel klanten kunnen kosten. Dus is het vaak nog het bekende verhaal van het dempen van de put wanneer het kalf verdronken is.
Vrijblijvendheid gaat eraf
Tot nu was het beveiligen van de facilitaire infrastructuur iets wat je als datacenter kon doen, maar waar eigenlijk geen toezicht op was. Dat gaat veranderen, geeft Nieuwmeijer aan. En dan niet met zoiets als de ISO27001-standaard. Dat noemt hij een wassen neus. Dat was niet meer dan een vinkenlijstje dat verder helemaal niets bijdroeg aan de daadwerkelijke beveiliging. De EU NIS2 Directive is het serieuzere werk. Binnen dat kader worden ook bestuurders hoofdelijk aansprakelijk, dus dan zal het intern sowieso hoger op de lijst van prioriteiten komen te staan. Daarnaast is nu al bekend dat verzekeraars in april 2023 stoppen met het afdekken van door staatshackers toegebrachte schade. Datacenters krijgen een zorgplicht.
Als je goed na gaat denken over de stand van zaken op het gebied van OT-security in je datacenter, dan is het ook goed om er niet op een al te traditionele manier naar te kijken. Als je vanuit de kwetsbaarheid van je OT-omgeving naar cybersecurity gaat kijken, dan ga je ook op een andere manier kijken naar de beschikbaarheid van een datacenter. Dat werd altijd afgemeten aan redundantie, oftewel de hoeveelheid apparatuur die je erin zet. “Een hogere redundantie levert echter ook een groter aanvalsoppervlak op”, geeft Nieuwmeijer aan. Je kunt je dan ook afvragen of deze benadering van redundantie nog wel de juiste is. Zeker als je bedenkt dat de betrouwbaarheid van apparatuur enorm is toegenomen. Het kan best zijn dat je niet meer per se heel veel UPS’en nodig hebt in een datacenter. Zet je er minder neer, dan is het aanvalsoppervlak ook kleiner.
Secior wil de Europese cybersecurity expert voor datacenters zijn
Op dit moment is het nog lastig om datacenters te overtuigen van wat Secior te vertellen heeft, geven Streefland en Nieuwmeijer aan. Gezien de ontwikkelingen rondom NIS2, waarvoor Agentschap Telecom op dit moment bezig is om het normenkader te maken, gaat dit wel veranderen. Een voorbeeld van wat zou kunnen gebeuren, hebben we in Estland gezien. Daar hadden ze in 2007 te maken met een grote aanval vanuit Rusland op kritische infrastructuur. Als reactie daarop heeft het agentschap in Estland dat hierover gaat (RIA) een aantal kritische infrastructuurorganisaties aangewezen. Deze moeten jaarlijks een digitaal risico-assessment doen. En ze moeten er ook doorheen komen. Iets soortgelijks zal er in ons land ook komen.
Bij Secior willen ze niet wachten op het moment dat er vanuit NIS2 verplichtingen komen voor datacenters, geven Streefland en Nieuwmeijer aan. Ze willen hun managed service voor die tijd al goed in de markt hebben. Conceptueel zijn de diensten van Secior niet lastig te begrijpen. “Het begint met overzicht, daarna inzicht en daarna actie”, vat Streefland het samen. Je begint met het in kaart brengen van wat je allemaal hebt staan. Daarvoor werkt Secior samen met onder andere Nozomi Networks, Claroty, Armis Security en Awen Collective. Als ze dit eenmaal weten, kunnen ze inzichtelijk maken waar de kwetsbaarheden zitten, om deze eventueel aan te pakken.
In principe komt alleen de technologie voor het scannen en monitoren van een derde partij. De rest van de propositie van Secior bestaat uit kennis die men zelf heeft. Het doel van Secior is simpel, volgens Streefland: “Wij willen wat Fox-IT in Nederland voor de financiële sector is geworden voor datacenters worden, maar dan wel in heel Europa.” Dat houdt dus in dat na de initiële scan van de omgeving er een dienst afgenomen kan worden waarbij Secior vanuit een eigen SOC de omgevingen van de klanten continu monitort en meteen kan reageren als er iets niet in de haak is.
Tot slot: Bij wie beleg je de verantwoordelijkheid?
Secior heeft dus een duidelijk doel voor ogen. Het richt zich (vooralsnog) voornamelijk op OT-security. Dit wordt dan ook weer een extra partij voor klanten om mee samen te werken en dus ook een extra kostenpost. Waarom kan dit niet gewoon bij IT-securityleveranciers en -dienstverleners afgenomen worden? Volgens Streefland zijn IT- en OT-security twee verschillende disciplines. Al was het maar vanwege het feit dat het eerste veel over zaken zoals ransomware gaat, terwijl het tweede veel meer op sabotage gericht is.
Bij OT gaat het daarnaast ook veel sneller om mensenlevens. Na de ransomware-aanval op Colonial Pipeline schakelde dat bedrijf niet voor niets meteen hun volledige OT-omgeving uit. Waar je bij standaard ransomware data kwijt bent of een heleboel geld betaalt, kost de sabotage van een oliepijplijn al snel mensenlevens. Nieuwmeijer haalt op dit punt ook nog een voorval aan in een datacenter van Google. Daar ging er iets mis met de stroomvoorziening, waardoor er een vlamboog ontstond en er medewerkers zwaargewond raakten. Nu was dit voor zover we weten niet het gevolg van een hack, maar het geeft wel aan dat er mensenlevens op het spel kunnen staan. Oftewel, het is niet onverstandig om OT-security neer te leggen bij een partij die er echt in gespecialiseerd is.
Tot slot is het ook goed om binnen organisaties goed na te denken hoe je OT-security optimaal aanpakt. Hoe doe je dat? Deze vraag stellen we aan het einde van ons gesprek aan Streefland en Nieuwmeijer. “Voor een datacenter zou ik het wel aanraden om één persoon verantwoordelijk te maken voor IT- en OT-security”, geeft Streefland als antwoord. Dit vanwege het feit dat alles met elkaar verbonden is. Camera’s, toegangscontrole en rack locks, alles hangt aan het IT-systeem. Dan ligt het voor de hand om de verantwoordelijkheid bij een persoon te beleggen. Hij geeft overigens ook meteen toe dat er geen silver bullet is op dit punt. Bij het ene bedrijf is het wel mogelijk, bij het andere niet. Het zal sowieso een uitdaging zijn om de twee verschillende disciplines bij een en dezelfde persoon onder te brengen, schatten we zo in.
Al met al is er dus het nodige werk aan de winkel op het gebied van de OT-security van datacenters, als het aan Streefland en Nieuwmeijer ligt. Niet alleen dat, het zal ook binnen afzienbare tijd verplicht zijn om dit te doen, gezien de ontwikkelingen op het gebied van NIS2. Dan kun je er maar beter op tijd bij zijn. Secior is dat zeker en nu kunnen datacenters dat in principe ook zijn.