IN THE FIELD
Maintenance Magazine 147 – maart 2020
Hoe uw assets beschermen tegen cybercriminelen?
Cybersecurity moet voor elk bedrijf een topprioriteit worden in 2020. (Foto: KrulUA)
Nog vooraleer we naar processen en technologie kijken, moeten we medewerkers bewust maken van de risico’s en de juiste cyberveilige instructies inprenten voor elke taak. (Foto: PN_Photo)
Heinze Uwe Gernhard, hoofd van de VDMA-veiligheidsgroep: “Wat betreft de beschikbaarheid van productietechnologie, moet het management zich een idee gaan vormen wat de gevolgen kunnen zijn van een incident en hoeveel dat kan kosten.” (Foto: Robert Bosch)
Steffen Zimmermann, hoofd van VDMA’s Industrial Security Competence Center: “De operator moet er zich van bewust zijn dat cyberaanvallen een constant risico inhouden.” (Foto: VDMA)
Mirel Sehic: “Je kan nooit alle risico’s uitsluiten, maar je kan wel een efficiënte strategie opzetten die zoveel mogelijk cyberrisico’s uitsluit.” (Foto Honeywell)
Als het voorbije jaar een ding geleerd heeft dan is het dat cybersecurity de focus voor 2020 zal worden. Bij luchtvaartbedrijf Asco liep de schade van een cyberaanval op tot in de miljoenen. Cybercriminelen troffen ook wereldwijd de servers en communicatiesystemen van automatiseringsbedrijf Pilz en weefmachinefabrikant Picanol, om er maar enkele te noemen. Wanneer zelfs grote industriële spelers het slachtoffer kunnen worden en hun productie gegijzeld of platgelegd zien, hoe kan u dan uw assets optimaal gaan beschermen?
Door Valerie Couplez
Cybersecurity moet nu voor elk bedrijf een topprioriteit worden. En dat heeft alles te maken met onze honger naar digitalisering. In 2020 zullen er 31 miljard IoT-apparaten bestaan. Door technologie te gaan connecteren, kunnen er immers gigantische voordelen geplukt worden om de productiviteit, de kwaliteit en de efficiëntie op te drijven of nieuwe diensten te ontwikkelen. Op het vlak van onderhoud, is het net dat wat de stap naar predictief onderhoud zal mogelijk maken. Een enorme stap vooruit, maar een waaraan ook risico’s verbonden zijn. Want in tegenstelling tot informaticatechnologie (IT), zijn klassieke besturingen niet ontworpen met cyberveiligheid voor ogen. “De wereld van operating technology (OT) was er altijd een van een afgesloten circuit op de productievloer. Geen inkijk voor pottenkijkers. Vandaag verbinden we machines en systemen in hoog tempo met elkaar, met de buitenwereld en met de cloud. En dat is niet zonder risico”, geeft Mirel Sehic aan, global director of Cybersecurity bij Honeywell Building Solutions.
Groter bewustzijn aanwakkeren
Dat mocht Pilz vorig jaar aan de lijve ondervinden. Op 13 oktober namen de bewakingssystemen op de webservers van Pilz verdachte activiteit waar. Onmiddellijk na het ontdekken van de aanval schakelde Pilz alle bedrijfsnetwerken en -servers uit, zowel binnen het bedrijf als erbuiten, om een mogelijke escalatie van de aanval te voorkomen. De daders hadden echter al een encryption trojan, bekend als ransomware, gebruikt om de wereldwijde server aan te vallen en een deel van de gegevens te coderen. Managing partner Susanne Kunscher: “De huidige golf aanvallen tegen ons en vele andere bedrijven laten duidelijk zien dat cybercriminaliteit in toenemende mate een ernstige bedreiging vormt voor de rust en welvaart in ons land. We moeten grote inspanningen leveren om te zorgen dat dit soort georganiseerde misdaad beter bekend wordt en dat bedrijven, organisaties, overheid en politiek in de toekomst nauwer samenwerken om te garanderen dat andere bedrijven en instellingen niet hoeven meemaken wat wij hebben meegemaakt.”
65% meer beveiligingslekken
Volgens onderzoek van onderzoeks- en adviesbureau Gartner heeft al 20% van de organisaties met IoT-netwerken met minimaal één IoT-gerelateerde aanval te maken gehad. Het aantal beveiligingslekken is in de afgelopen vijf jaar met 65% toegenomen. Alarmerende cijfers waar elk bedrijf van moet wakker liggen. Heinz-Uwe Gernhard, werkzaam in IT Security and Application bij Robert Bosch en hoofd van de VDMA-veiligheidsgroep vat het als volgt samen: ”Ik vergelijk het graag met de gemotoriseerde voertuigen. De eerste chauffeurs in de jaren 20 van vorige eeuw hadden een volledig ander bewustzijn rond gevaren dan chauffeurs vandaag. Nu moeten we aan veel minder elementen aandacht besteden door de integratie van al die verschillende systemen. Moderne voertuigen rijden vandaag eigenlijk veiliger dan toen. De risico’s rond IT zitten nu op het niveau van 1920. Het vergt bijzonder veel aandacht van gebruikers en zeer veel kennis om cyberveiligheid te garanderen. Een groter bewustzijn creëren rond de gevaren is daarom de eerste stap.”
Cybersecurity is een zaak van mensen
“Om een hoge beschikbaarheid van machines en data-integriteit op alle niveaus te garanderen tijdens de volledige levenscyclus van een asset, moeten de leveranciers van automatiseringsoplossingen en machines, ook de interactie aangaan met de operator. Hij moet er zich van bewust zijn dat cyberaanvallen een constant risico inhouden. Dit betekent dat basisvoorzorgsmaatregelen daar moeten beginnen om de cyberweerstand van operatoren op te bouwen en de impact van een cyberaanval te reduceren”, vertelt Steffen Zimmermann, hoofd van VDMA’s Industrial Security Competence Center. Elk bedrijf, elke machine, elk systeem kan in principe een potentieel slachtoffer zijn. “Cyberveiligheid begint daarom met mensen”, vindt ook Sehic. “Nog vooraleer we naar processen en technologie kijken, moeten we medewerkers bewust maken van de risico’s en de juiste cyberveilige instructies inprenten voor elke taak, zonder hun werk te blokkeren.” Toch zal het risico voor bepaalde toepassingen hoger liggen. “We spreken daarom over ‘risk appetite’. Een luchthaven zal bijvoorbeeld meer in het vizier staan dan een hotel. Hoe hoger het cijfer, hoe meer beveiliging er zal nodig zijn om de risico’s in te dijken. Maar volledig veilig zijn we nooit”, vult Sehic nog aan.
Investeringen optrekken
Om de cyberrisico’s in te dijken zullen bedrijven dus hun geldbeugel moeten openen. Volgens Gartner zal het bedrag dat wordt uitgegeven aan de beveiliging van IoT in 2021 verdubbeld zijn tot 1,9 miljard euro. Er wordt steeds meer aandacht en budget vrijgemaakt voor de verbetering van de digitale basishygiëne en de incidentparaatheid op het gebied van OT cybersecurity. Gernhard: “Dit moet echt op het managementniveau gebeuren. Daar moeten de risico’s, die verbonden zijn aan netwerken, geïdentificeerd en gewogen worden om vervolgens passende maatregelen te definiëren. Wat betreft de beschikbaarheid van productietechnologie, moet het management zich een idee gaan vormen wat de gevolgen kunnen zijn van een incident en hoeveel dat kan kosten. Door de interconnectiviteit van de wereld vandaag is niemand immuun voor cyberaanvallen.” In vergelijking met de impact van een cyberaanval zal de investering in cyberbeveiliging peanuts zijn.
Hoe cyberbescherming opbouwen
Maar hoe moet die bescherming er dan gaan uitzien? Dat zal verschillen voor elke productieomgeving. Toch is er een rode draad te onderscheiden: cybersecurity bestaat uit meerdere lagen. We moeten dus allemaal wat meer ajuin worden als we onze assets optimaal willen beschermen. Sehic:“Je kan nooit alle risico’s uitsluiten, maar je kan wel een efficiënte strategie opzetten die zoveel mogelijk cyberrisico’s uitsluit. De kern bestaat uit eenvoudige, maar doeltreffende gewoontes: een firewall opzetten voor uitgaande verbindingen, nieuwe patches voor systemen en applicaties implementeren en je medewerkers opleiden in basishygiëne. Voor de laag beveiliging daarrond, vertrekken we altijd van een nulmeting. Hoe ver staat het bedrijf al? En hoe hoog zijn de risico’s? Op basis van die antwoorden drijf je de veiligheid op door monitoring te implementeren net daar waar de grootste risico’s zitten. Verder moet je een performant beleid hebben om met usb’s om te gaan. Zo bouw je laag per laag cybersecurity op. De laatste laag bestaat uit paraatheid bij incidenten. Wat als er iets gebeurt? Zorg dat alle medewerkers de juiste procedure kennen en dat er back-ups zijn om naar terug te grijpen. Test geregeld of de back-ups werken en bewaar ook een back-up offline.”
