Bij Skytools zijn we overtuigd van de positieve mogelijkheden van drones. In talloze sectoren kunnen veel voorkomende werkzaamheden dankzij drones sneller, goedkoper en veiliger worden uitgevoerd. Drones hebben helaas ook een keerzijde: misbruik ligt op de loer, al dan niet moedwillig. In de praktijk blijkt dat veel bedrijven geen idee hebben van kwetsbaarheden vanuit de derde dimensie. Dat was voor Skytools aanleiding om nieuwe dienst in het leven te roepen: de aerial pentest.

Het luchtruim als blinde vlek

“Veiligheid staat bij veel bedrijven hoog op de agenda. Fysieke toegang wordt gecontroleerd middels hekwerken, toegangspoortjes en camerabeveiliging. Informatiestromen worden beveiligd middels versleuteling, afgeschermde netwerken en biometrische verificatie. Maar men heeft vaak één belangrijke blinde vlek: het luchtruim boven het bedrijfspand.”

Aan het woord is Ruben de Lange, hoofd operations en dronepiloot bij Skytools. De Lange komt bij veel bedrijven over de vloer, om bijvoorbeeld luchtopnamen te maken of inspecties uit te voeren. Het viel hem op hoe weinig sommige bedrijven nog weten over drones. En dat men vaak niet beseft dat de eerste de beste buitenstaander met een drone onopgemerkt hun panden en infrastructuur kan overvliegen.

Een drone-opname van een energiecentrale.

Onbekendheid met regels

In principe stelt de wet- en regelgeving voor drones dat men niet zomaar boven haven- en industriegebieden mag vliegen. Alleen bedrijven met de juiste papieren – zoals een ROC-vergunning – mogen dat. “Maar lang niet iedereen is zich bewust van die regels. Op YouTube stikt het van de dronevideo’s die opgenomen zijn boven de Maasvlakte en het havengebied van Rotterdam. Die beelden zijn met goede bedoelingen opgenomen, maar je kunt je best voorstellen dat niet iedereen daar te goeder trouw met een drone rondvliegt.”

Het probleem is dat drones makkelijk te verkrijgen zijn en steeds betere vliegprestaties bieden. Een drone van een paar honderd euro kan een klein half uur in de lucht blijven en maakt opnamen van hoge kwaliteit. Het bereik is vaak een paar kilometer, zodat de bestuurder van een drone op grote afstand kan opstijgen om daarna een bedrijventerrein verderop te overvliegen. Doordat drones steeds kleiner en stiller worden blijven de meeste illegale dronevluchten simpelweg onopgemerkt.

Mogelijke risico’s

Wat zijn precies de risico’s voor bedrijven? Deze risico’s zijn in twee categorieën op te delen: risico’s als gevolg van onoordeelkundig gebruik van drones door particulieren en risico’s die samenhangen met moedwillig misbruik.

Een drone van iemand die wat mooie luchtfoto’s of videobeelden wil maken lijkt op het eerste gezicht onschuldig. Maar een neerstortende drone kan wel een gevaar opleveren voor mensen op de grond. Daarnaast is het niet ondenkbaar dat een drone die ergens tegenaan vliegt een industrieel proces verstoort of een ander veiligheidsrisico oplevert. Sowieso is het misschien helemaal niet wenselijk dat gedetailleerde beelden van uw bedrijfspand of industrieterrein op het internet belanden.

Bij moedwillig misbruik kunt u denken aan het vanuit de lucht in kaart brengen van de zwakke plekken in uw fysieke beveiliging, of het nagaan van de aan- en afwezigheid van medewerkers en beveiligers ter voorbereiding van een eventuele inbraak. Ook zijn nieuwe vormen van activisme en bedrijfsspionage denkbaar, evenals het binnenbrengen van payloads waarmee aanvallen op draadloze netwerken uitgevoerd kunnen worden. Als het gaat om terrorisme valt niet uit te sluiten dat drones worden gebruikt om kritieke infrastructuur aan te vallen.

Voorbeelden van misbruik

“Het is naïef om te denken dat misbruik van drones in de kinderschoenen staat. Diverse gevangenissen in Nederland zijn inmiddels geconfronteerd met drones waarmee gepoogd werd smokkelwaar binnen te brengen. Rondom luchthavens worden met enige regelmaat ongeautoriseerde drones gemeld. En dat is waarschijnlijk het topje van de ijsberg: de meeste dronevluchten met een malafide karakter zullen niet eens worden opgemerkt”, denkt De Lange.

Tal van bedrijven en organisaties in uiteenlopende sectoren zijn kwetsbaar. Petrochemische industrie, overslagbedrijven, waterzuiveringen, penitentiaire inrichtingen, luchthavens, evenemententerreinen en stadions, elektriciteitsbedrijven, high-tech industrie, beheerders van pijpleidingen en hoogspanningslijnen: eigenlijk overal waar veel mensen samenkomen of waar sprake is van geconcentreerde bedrijfsprocessen en nutsvoorzieningen zijn wel kwetsbaarheden te vinden.

Geofencing geen waterdichte oplossing

De meeste drones zijn tegenwoordig voorzien van een technologie genaamd geofencing. Dit is als het ware een virtueel hekwerk dat ervoor moet zorgen dat drones niet overal zomaar kunnen vliegen. Maar misbruik valt hier niet mee tegen te gaan: lang niet alle gevoelige locaties worden meegenomen in geofencing systemen. Het is bovendien prima mogelijk om zelf een drone te bouwen waar helemaal geen geofencing in zit. Daarnaast kan geofencing omzeild worden.

De Lange: “Geofencing is meer bedoeld om te voorkomen dat goedbedoelende dronegebruikers vliegen op plekken waar dat eigenlijk niet de bedoeling is. Het is geen Haarlemmerolie tegen misbruik. Bovendien zijn lang niet alle drones uitgerust met geofencing, alhoewel hier met de invoering van Europese producteisen per 1 juli 2022 wel verbetering in komt.”

Bewustwording middels aerial pentest

Om bedrijven te helpen om zich beter bewust te worden van de risico’s biedt Skytools een nieuwe dienst aan: de aerial pentest. U moet dit zien als een fysieke penetratietest in de derde dimensie, uitgevoerd met behulp van de modernste drones. In overleg met de opdrachtgever overvliegen we uw bedrijfspand of -terrein met verschillende drones en maken we opnamen van potentieel gevoelige onderwerpen. U kunt ervoor kiezen om uw beveiligingspersoneel bewust niet in te lichten over de pentest, zodat meteen duidelijk wordt of de overvliegende drones überhaupt worden opgemerkt en zo ja, welke actie men dan onderneemt.

Uiteraard vliegt Skytools bij het uitvoeren van een aerial pentest binnen de grenzen van de regelgeving. Aangezien we volledig ROC-gecertificeerd zijn en beschikken over ontheffingen op het gebied van vliegen boven bebouwing en in gecontroleerd luchtruim, zijn er maar weinig locaties te bedenken waar we niet mogen vliegen.

Na afloop van de pentest maken we een rapport op en bespreken we onze bevindingen met de opdrachtgever. Ook kunt u de door ons gemaakte opnamen bekijken. Het is goed om hierbij op te merken dat Skytools ISO 27001 gecertificeerd is, zodat u ervan op aan kunt dat we zorgvuldig omgaan met gevoelige bedrijfsinformatie.

Drone detectie

Een uitkomst van de aerial pentest kan zijn dat u er goed aan doet om te investeren in drone detectie apparatuur. Dat kunnen mobiele of vast opgestelde detectiesystemen betreffen. Een mobiel systeem leent zich bij uitstek voor tijdelijke bescherming van een locatie, zoals ten tijde van een evenement of bij een verhoogd nationaal dreigingsniveau. Een vast opgesteld systeem is ideaal om een terrein 24/7 te bewaken. Een bijkomend voordeel van een vast opgesteld systeem is dat het detectiebereik groter is.

De drone detectie oplossing van Skytools detecteert de meest gangbare soorten drones binnen een straal van een paar tot wel tientallen kilometers. Uw meldkamer of locatiebeveiliger krijgt een signaal zodra een drone opstijgt in het afgedekte gebied en het is mogelijk om precies het vliegtraject en het punt van opstijgen te zien, zodat er gericht actie ondernomen kan worden. Ook worden alle waargenomen vluchten gelogd.

Antenne-installatie van een vast opgestelde drone detector.

Resultaten

Inmiddels heeft Skytools al diverse aerial pentests uitgevoerd bij bedrijven in een industriële omgeving. Daarbij bleek dat geen van de dronevluchten werden opgemerkt door het aanwezige securitypersoneel. Het bleek voor onze piloten mogelijk om zeer gedetailleerde opnamen te maken van zowel kritieke infrastructuur als beveiligingsvoertuigen. In alle gevallen schrokken de opdrachtgevers van de uitkomsten en inmiddels nemen de eerste bedrijven nieuwe maatregelen om drones in een vroegtijdig stadium te kunnen signaleren.

“Ergens is het jammer dat het nodig is, maar we moeten ons als toeleverancier binnen de dronesector ervan bewust zijn dat drones niet alleen maar voordelen met zich meebrengen. Bij de ontwikkeling van een gezonde sector hoort ook het tegengaan van de uitwassen van dronetechnologie. Vandaar dat we vanuit Skytools deze dienstverlening zijn opgestart”, besluit De Lange.