VEILIGHEID
Maintenance Magazine 161 – september 2023
Uw productie hackerproof maken

Tijl Deneut: “Als je maar één euro kan uitgeven, investeer die dan in de kennis van je mensen.”(©IC4)

Vincent Haerinck: “De slinger is met de komst van alles IoT van nul openheid doorgeslagen naar te veel openheid. Een leercurve.” (©Savaco)
PreviousNextDe strakke scheiding tussen IT en OT van weleer is niet meer. Dat brengt bijzonder veel potentieel om de productie te optimaliseren, maar zet tegelijk de deur openen voor nieuwe risico’s. Cybercriminelen richten hun vizier immers steeds nadrukkelijker op de industrie. De productie wordt gehackt en pas weer vrijgelaten na het betalen van een flinke som losgeld. Een nieuwe realiteit waar geen enkel bedrijf, tot spijt van wie het benijdt, helemaal veilig voor is. Flanders Make bracht op een studienamiddag experten en inzichten samen.
Vroeger staken enkel papieren documenten de grens tussen de productie en het kantoor over. Vandaag doen datakabels dat. Om gegevens te capteren in de productie en uit te wisselen met bovenliggende systemen, voor meer controle over de productie maar evengoed voor het updaten van de software die assets in productie aanstuurt. Afhankelijk van waar cybercriminelen hun voet door de deur krijgen, kan de schade variëren van het verlies van industriële data over het aanpassen van parameters in de productielijn met alle bijhorende veiligheidsrisico’s tot zelfs het volledig kapen van de productie-installaties. Een veilige, betrouwbare productie zal dus ook naar zijn IT-architectuur moeten kijken en naar procedures uit die wereld (encryptie, VPN-verbindingen ..) om de continuïteit te verzekeren.
Communicatie in netwerk controleren
Luc Deleu, CEO van Ometa benadert cybersecurity vanuit die verhoogde connectiviteit en stelt een centrische benadering voor vanuit de data in een project. “Alles begint met slim communiceren. Door data te linken aan processen, blijven ze altijd op dezelfde plek staan. Kopiëren en synchroniseren zijn verleden tijd. Je beschikt in real-time altijd over de juiste gegevens. Dat is het vertrekpunt. Daarrond bouw je dan veiligheidstechnologie op.” Een van die opties is werken met OData, een open dataprotocol voor het opvragen van data. De OData API levert de data in het machineleesbare bestandsformaat JSON. Er is maar een API nodig op die manier om real-time info van de productie naar bijvoorbeeld ERP-systemen te brengen. De beveiliging berust dan op twee pijlers: authenticatie en authorisatie. “Zodat je ziet wie de informatie opvraagt en controleert of die wel de juiste toegangsrechten heeft. Cybersecurity vergt een aanpak zoals in de Middeleeuwen. Je kan niet elk huis beveiligen, maar wel een omwalling rond de volledige stad bouwen voor een beveiligde digitale werkplaats.”
Gateways essentieel in beveiliging
Een markt waar cybersecurity een prangend item is, is die van de energiebevoorrading. Een sector waar Savaco en team- manager Vincent Haerinck de nodige ervaring in opgebouwd hebben. Hij haalt de ISO27000 aan als de fundamentele beginselen om een cyberbeveiliging op te bouwen. “Begin er vandaag nog mee. Er zullen alleen maar meer regels bijkomen: van leveranciers, van klanten, van overheden. Hoe uitgebreid die beveiliging moet zijn die je opzet hangt af van je eisen. Waar wil je staan op vlak van veiligheid? Is het enkel een kwestie van de verplichtingen na te komen? Of zijn er grote risico’s die om extra bescherming vragen.” Zijn advies: let heel goed op het cybersecurity gehalte van je gateways die data verwerken en doorsturen. Ze zijn cruciaal. “Machines zijn vaak al slim gemaakt. Maar er zijn extra investeringen nodig om ze ook veilig te laten werken.”
Segmentatie voor betere zichtbaarheid
In het offshore windmolenpark Norther in Zeebrugge rekenen ze op e-BO Enterprises om hun energieproductie hackerproof te houden. “Machines zijn vaak een black box. Wil je ze monitoren dan moet je ze verbinden met het eigen netwerk en open je ook de deur voor cyberaanvallen”, vertelt Tijl Deneut. Een goede bescherming begint volgens hem met een goede zichtbaarheid en een duidelijke segmentatie van je netwerk, zoals aangegeven in het Purdue model. Om dat te bereiken wordt het netwerk in verschillende niveaus ingedeeld. Elk niveau groepeert gelijkaardige toestellen. “Sla geen stappen over in het uitbouwen van een referentiearchitectuur. Dan is het zaak een balans te vinden tussen de werkbaarheid voor operatoren en de beveiliging. We brengen daarvoor alle verkeer in het netwerk in kaart en proberen het aantal gateways te beperken om sneller intrusies op te sporen. Als er slechts één interface informatie kan uitsturen, dan voeg je geen extra risico of latency toe. Een extra laagje veiligheid, zonder veel impact op de operationele werking.”
Beveiliging opbouwen in lagen
Waar OT vroeger achter slot en grendel zaten, hebben machines en productieassets steeds vaker een IP-adres. Dirk Van Hecke, lead expert Networking voor Delaware: “We moeten beseffen dat compliance nog niet wil zeggen dat we 100% veilig zijn. Met de shift naar de cloud is data van overal en op elk moment toegankelijk geworden. Maar we moeten ons altijd de vraag blijven stellen, of we de data nu lokaal opslaan of naar de cloud sturen, hoe veilig en hoe toegankelijk alles blijft.” Denk daarom na over de redudantie van je systeem. Zorg dat er geen enkel single point of failure overblijft en bouw verschillende firewalls in. “Een goede beveiliging bestaat uit lagen die elk hun eigen kwetsbaarheden hebben, maar die samen wel een veilig geheel kunnen vormen.”
Menselijke factor
Maar in hoeveel technologie je ook investeert, cybersecurity blijft vooral een verhaal van mensen. Deneut: “We kregen bij het Norther project een melding dat een substation een verbinding naar buiten probeerde te maken. Er werd daarbij gebruik gemaakt van een IP-adres dat op een zwarte lijst stond. Alle alarmbellen gingen af, maar het bleek uiteindelijk een technieker te zijn die zijn laptop had meegenomen op zee en via Popcorm de tijd wilde verdrijven.” Hij pleit dan ook voor meer opleiding. “Als je maar één euro kunt uitgeven aan cybersecurity, investeer het dan in kennis, zodat je medewerkers weten hoe ze de tools die er zijn kunnen gebruiken. Er is gigantisch veel dat je als bedrijf zelf kan configureren en controleren. En zorg ook voor een incidentenplan, zodat iedereen weet wat er in geval van een incident moet gebeuren. Dan heb je die euro snel terugverdiend.”
Terug naar Industrie 2.0?
Zijn we dan niet beter om Industrie 4.0 in de productie volledig terug te draaien? Vroeger ging het toch ook. “Neen”, is Haerinck duidelijk. “De slinger is met de komst van alles IoT van nul openheid doorgeslagen naar te veel openheid. Een leercurve. Je ziet dat bedrijven zich daar bewust van worden en steeds vaker een risk based benadering toepassen: wat zijn de voordelen en hoeveel veiligheid ben ik bereid om daar voor op te geven. Het draait om die balans tussen 100% veilig en 100% gebruiksvriendelijk. De gulden middenweg bestaat. Onderzoek de mogelijkheden, niet te snel en niet te veel ineens, maar introduceer alles geleidelijk om iedereen mee te krijgen in het verhaal. IT is wakker, OT nog niet. Maar het komt. De komst van NIS 2 in 2024 hangt als een gigantische aftelklok boven productiebedrijven. Het zal nu wel moeten komen.”
Door Valérie Couplez