Hoe zorgt u voor cyber-veiligheid in een Smart Factory

We leven in het tijdperk van Industry 4.0, de vierde industriële revolutie. Een tijd waarin de Smart Factory in opkomst is: fabrikanten maken gebruik van ‘connected’ machines en apparaten, die via een netwerk met de buitenwereld verbonden zijn.

Jan Vestbjerg Koch, Global Head of Industry Sales bij Lenze, legt uit hoe machinebouwers en operators een risk-based aanpak kunnen gebruiken om connected machines te beschermen tegen cyber-aanvallen.

Industriële cybercriminaliteit

Sommigen beweren dat veiligheidskwesties de doodsteek kunnen betekenen voor de vierde industriële revolutie. En inderdaad, een snelle zoekopdracht op internet levert tal van angstaanjagende verhalen op. Ze beschrijven een wereld vol met kwaadwillende lieden: schimmige, door overheden gesteunde groepen en georganiseerde criminele bendes, die bereid zijn om in te breken in industriële controlesystemen om geheimen te stelen, de productie te verstoren of zelfs terreurdaden te plegen.

Nu is industriële cybercriminaliteit een reëel gevaar: er zijn verschillende goed gedocumenteerde gevallen van succesvolle cyberaanvallen tegen industriële infrastructuren, en er gaan geruchten dat er nog nog veel meer zijn. Ook zijn er industriële bedrijven die slachtoffer zijn geworden van breder opgezette aanvallen met virussen of ransomware.

Maar al die ophef over cybercriminaliteit is in feite alleen maar goed voor bedrijven die beveiligingsproducten en -diensten verkopen. Wat machinebouwers en OEM’s werkelijk nodig hebben, is een manier om de juiste beslissingen te nemen over welke technologieën en processen ze in hun industriële systemen gebruiken. Dat vraagt om een genuanceerde aanpak, eentje die is gebaseerd op de kans dat een veiligheidsincident zich voordoet en de impact ervan. Er bestaat een aantal standaard benaderingen, zoals de IEC 62443 normen. Deze bieden een robuuste, gestructureerde methodologie voor de analyse en beheersing van beveiligingsrisico's in automatiserings- en besturingsapparatuur.

Risk-based aanpak

Bedrijven in een productieomgeving moeten beginnen met het vaststellen van de mogelijke directe en indirecte gevolgen van een succesvolle cyberaanval:

1. Wat zou er kunnen gebeuren?
2. Hoe vaak kan dit voorkomen?
3. Hoeveel tijd is nodig om bedrijfsactiviteiten opnieuw op te starten?
4. Welk effect heeft dit op klanten?
5. Wat zijn de kosten?

De antwoorden op deze vragen zullen verschillend zijn voor elke machine en voor elk bedrijf. Door deze te beantwoorden is een organisatie in staat een onderbouwd budget vast te stellen voor aan cyber-beveiliging gerelateerde activiteiten, en kan zij dat budget toewijzen aan de meest gevoelige delen van haar netwerken en activiteiten.

Beveiligingsstrategieën

Wat beveiligingsstrategieën betreft, moet elk beveiligingsbeleid een combinatie zijn van verschillende technologieën en aanpakken. Hieronder vindt u enkele van de meest voorkomende opties.

Isoleren

Een apparaat installeren zonder verbinding met een netwerk strookt niet met Industry 4.0, maar deze aanpak kan in bepaalde omstandigheden nog steeds wenselijk zijn. Een voorbeeld zijn de computers die worden gebruikt voor het genereren van de master keys van beveiligingscertificaten. Deze zijn soms fysiek gescheiden van het netwerk en alleen toegankelijk onder strikte beveiligingsprotocollen, bijvoorbeeld doordat de aanwezigheid van meer dan één personeelslid vereist is wanneer er een master key wordt gemaakt.

Encryption

Standaard encryptietechnologieën kunnen worden gebruikt om dynamische datastromen te beschermen door deze te coderen - bijvoorbeeld met een VPN (Virtual Private Network) of een SSH-verbinding (Secure Shell). Statische data in databases en op harde schijven kan ook worden gecodeerd. De codering van programma's en apps biedt bescherming tegen 'reverse engineering', dat kan worden gebruikt voor de diefstal van intellectueel eigendom en om mogelijke 'exploits' bloot te leggen.

Structurele scheiding

Een firewall aan de buitengrenzen van de eigen netwerken van een organisatie is niet langer voldoende. De meeste bedrijven, vooral zij die 'connected' apparatuur gebruiken of gevoelige data verwerken, zullen ook verschillende delen van hun interne netwerken willen partitioneren en beschermen met firewalls en toegangscontrole. Dergelijke maatregelen bieden bescherming tegen ongeautoriseerde toegang door mensen binnen de eigen organisatie. Daarnaast beperken ze de schade als een buitenstaander ondanks alles toch toegang krijgt tot een deel van het netwerk.

Fysieke bescherming

Voor veel vormen van cyberaanvallen is directe fysieke toegang tot een computer of computersysteem nodig. Daarom is ouderwetse fysieke beveiliging nog altijd van groot belang. Denk hierbij aan een passend beveiligingssysteem voor de toegang tot gebouwen en aan sloten en toegangscodes op schakelkasten en bedieningspanelen.

Training en procedures

Mensen zullen altijd een kritieke zwakke schakel in cyberbeveiliging zijn. Zo maken 'phishing'-aanvallen gebruik van naïeve gebruikers om hun wachtwoorden te achterhalen of om malware te installeren. Om dit te voorkomen, moeten gebruikers getraind worden in een goede beveiligingsaanpak. Ook moet de training regelmatig worden geüpdatet en moet deze worden getest met gesimuleerde aanvallen.

Onregelmatigheidsdetectie

Analytische technieken en kunstmatige intelligentie vormen een steeds belangrijker onderdeel van het arsenaal dat beschikbaar is voor cyber-beveiliging. Zogenoemde Deep Package Inspection (DPI-) engines en andere controlesystemen zijn in staat om het netwerkverkeer voortdurend te monitoren. Daarbij gaan ze op zoek naar verdachte activiteiten, zoals logins van systeembeheerders of grote hoeveelheden dataverkeer buiten reguliere kantoortijden. Omdat sommige van deze systemen 'leren' hoe normaal gegevensverkeer eruit ziet, kunnen ze ook 'Zero Day-exploits' herkennen - beveiligingskwetsbaarheden die voorheen onbekend waren.

Best-practices delen

Cyberbeveiliging is een dynamisch proces dat voortdurend verandert. Bedrijven moeten samenwerken met klanten, toeleveranciers en aanbieders van technologie om inzicht te krijgen in de manier waarop bedreigingen zich ontwikkelen en in hoe de beveiligingsaanpak verbeterd wordt. 'Connected' systemen moeten regelmatig worden geüpdatet en gepatcht, omdat voortdurend nieuwe kwetsbaarheden worden ontdekt - en gelukkig ook worden opgelost. Ook kan het nodig zijn om trainingen en procedures aan te passen. In industriële omgevingen zijn dat betekenen dat er een wezenlijk cultuuomslag nodig is, want bedrijven in die sector zijn er vaak niet happig op om te sleutelen aan gevoelige systemen die kritiek zijn voor de productie.

Testen, testen en nog eens testen

Door regelmatig en voortdurend aanvalsscenario's te testen, kunnen systeemkwetsbaarheden worden geïdentificeerd en gerepareerd. Tegelijkertijd worden gebruikers en ontwikkelaars dankzij de tests getraind in een goede beveiligingsaanpak. Het testen kan op meerdere manieren, waaronder penetratietesten door gespecialiseerde bedrijven en geautomatiseerde testplatforms met een functionaliteit voor kwetsbaarheidstesten.

Conclusie

Een steeds groter deel van de waarde van bedrijven in de maakindustrie zit in digitale, 'connected' systemen. Dit betekent dat cyber-beveiliging een cruciaal onderdeel moet worden van de systemen voor kwaliteitsborging en risicobeheersing van deze bedrijven. Cyber-beveiliging is een complexe en voortdurend veranderende uitdaging. Fabrikanten in de maakindustrie doen er verstandig aan moderne apparaten, platforms en tools te gebruiken. Als zij vervolgens ook nog een systematische aanpak volgen, kunnen machinebouwers en eigenaren van apparatuur een gezond evenwicht vinden tussen de kosten en de risico's.