Ontdekkers lekkend systeem kerncentrales zwijgen opgelegd

Een fabrikant van beheersystemen voor kerncentrales heeft met dreiging van een rechtszaak voorkomen dat twee onderzoekers een lezing konden geven over lekken in die systemen.

Beveiligingsonderzoekers die op het punt stonden twee lezingen te houden over ontdekte beveiligingsproblemen bij het beheersysteem van een kerncentrale buiten de Verenigde Staten, zijn op het laatste moment het zwijgen opgelegd. Een hen was de Duitse security-expert Ralph Langner.

Serieuze kwetsbaarheden onthuld
De fabrikant van de bewuste apparatuur verbood de lezing en dreigde daarbij met een rechtszaak. Dat terwijl de leiding van de kerncentrale wel toestemming had verleent voor de onthullingen. De lezing stond eind oktober gepland voor de internationale ICS Cyber Security Conference op de Old Dominion University in de Amerikaanse staat Virginia. De conferentie richtte zich op de veiligheid van industriŽle beheersystemen, waaronder die van nutsbedrijven zoals kerncentrales.

Aanwezige deelnemers kregen te horen dat het beveiligingsbedrijf serieuze kwetsbaarheden had ontdekt in de beheer- en aansturingsapparatuur die in gebruik zijn bij kerncentrales. De onderzoekers mochten deze lekken niet melden aan de Amerikaanse autoriteiten, aangezien de fabrikant dreigde met het aanspannen van een proces. Dat bedrijf zou hebben geklaagd dat er bij de lezingen te veel informatie over zijn apparatuur zou worden prijsgegeven, schreef Reuters eerder deze week.

Probleem is veel groter
De organisator van de conferentie, beveiligingsexpert Joe Weiss, gaat in een blogpost verder in op de situatie en trekt daarbij het probleem veel breder. Volgens Weiss is er een "serieuze gebrek aan bewustzijn" bij de veiligheid van infrastructuursystemen, nog ver voordat deze lezing is tegengehouden. De beveiligingsexpert wijst daarbij op een onderzoek van kenniscentrum CIGRE en ook de kwetsbaarheden die de Aurora-Trojan heeft blootgelegd bij onder meer de Amerikaanse nutsbedrijven. "Het delen en onthullen van informatie blijf een probleem", aldus Weiss.

De eveneens op de conferentie aanwezige beveiligingsonderzoeker Kevin McDonald was nog stelliger. "Als we niets doen als gemeenschap, gaan er echt vervelende dingen gebeuren en zullen er mensen dood gaan." ICS-CRT waarschuwde recent al dat steeds meer hackers zich storten op beheersystemen als SCADA, aangezien er gemakkelijk misbruik kan worden gemaakt van de industriŽle pc's als die aangesloten zijn op systemen die open staan op het internet.