Gehackte watervoorziening VS gebruikte geen firewall en unieke wachtwoorden

De waterzuiveringsinstallatie in Florida waar een hacker eerder deze week probeerde de watervoorraad te vergiftigen, was slecht beveiligd. Het legt meteen een zwakke plek bloot in de security van kritieke infrastructuur in de Verenigde Staten.

Sinds Stuxnet en Industroyer weten we dat je meer kan hacken dan iemands laptop: ook grote infrastructuurnetwerken zoals het elektriciteitsnet en de watervoorziening, kunnen kwetsbaar zijn voor invloeden van buitenaf. Het baart dan ook zorgen dat deze installaties, zoals in het geval van Oldsmar, nog niet aan enkele basisregels voor beveiliging voldoen.

TeamViewer

Dinsdag werd bekend dat een onbekende via TeamViewer de controle over de watervoorziening van het stadje in Florida had overgenomen. Tijdens die paar minuten verhoogde de inbreker de hoeveelheid natriumhydroxide in het water tot giftige hoeveelheden. De medewerker wiens pc werd overgenomen, maakte alles weer ongedaan zodra hij de controle terugkreeg.

Dat de lokale sheriff daarvoor een persconferentie geeft, is zeldzaam, schrijft ondertussen Associated Press. Infrastructuurinstellingen in de VS hoeven beveiligingsincidenten niet te melden, en ze hebben bovendien vaak zeer kleine budgetten, waardoor dit soort incidenten vaker voorkomen.

En dan is er een pandemie

Daar komt in covid-19 tijden nog bij dat steeds meer van die voorzieningen open worden gesteld aan het internet zodat de werknemers van thuis uit kunnen werken. Aanpassingen die niet altijd met de nodige beveiligingsmaatregelen komen.

Een rapport van de staat Massachusetts aan zijn publieke watervoorzieningen dat dieper op de zaak ingaat, geeft bijvoorbeeld aan dat in Oldsmar TeamViewer op de computer van elke medewerker was geïnstalleerd. Die computers zouden ook allemaal verbonden zijn met het beheersysteem (dat van de natriumhydroxide), en alle gebruikers hadden daarbij hetzelfde wachtwoord. Dat laatste is op zijn zachtst gezegd niet conform met advies rond cybersecurity. Ook zou de installatie zonder firewall verbonden zijn met het internet. Ze draaiden ook op Windows 7, een besturingssysteem dat niet langer wordt ondersteund door Microsoft en sinds januari geen beveiligingsupdates meer krijgt.

De instelling benadrukt wel dat, ondanks de zwakke cyberbeveiliging, de eigenlijke watervoorraad niet in gevaar was tijdens de aanval. Intern hebben waterinstallaties nog meerdere veiligheidsmaatregelen, zoals extra checks rond waterkwaliteit voordat het water in de leidingen wordt gepompt, die ervoor moeten zorgen dat het grote publiek geen gevaar loopt.

Onderzoeken van de Amerikaanse federale politiedienst FBI naar het incident zijn nog gaande.

In samenwerking met Datanews