Cyber Security voor de Industriële sector
Steeds meer technische industriële installaties worden op afstand aangestuurd. De internettechniek speelt hierbij een belangrijke rol, omdat processen efficiënter en veiliger verlopen. Het brengt echter ook potentiële gevaren met zich mee.
Denk bijvoorbeeld aan het hacken van een internetsysteem. Omdat op veel gebieden deze kwetsbaarheid toeneemt, is er behoefte aan een klankbordgroep.
Iedereen die beroepsmatig betrokken is bij industriële installaties geïntegreerd in communicatienetwerken en de laatste normalisatie ontwikkelingen op dit vlak wil volgen, kan deelnemen aan het Industrieel Platform Cyber Security.
Over het platform
Het Industrieel Platform Cyber Security richt zich op de risico’s in de industrie ten aanzien van cybersecurity met het doel deze te beperken. Het platform is interessant voor iedereen die verantwoordelijkheid draagt betreffende de veiligheid van industriële installaties. Door verschillende disciplines samen te brengen op een platform raakt u geïnformeerd en kunt u actief kennis uitwisselen. Als extra voordeel kunt u ook tijdig anticiperen op toekomstige ontwikkelingen. Door deelname blijft u op de hoogte van de laatste stand van normen en kunt u invloed uitoefenen aan de internationale normontwikkelprojecten.
Wat kunt u verwachten van dit platform?
- Een professioneel netwerk en discussiemogelijkheid met collega-betrokkenen en specialisten.
- Nieuwe ontwikkelingen op de voet volgen waardoor het voor de deelnemers mogelijk wordt om te anticiperen op wat gaat komen.
- Invloed uitoefenen via deelname aan de internationale normontwikkel-projecten.
- Twee bijeenkomsten per jaar.
Doelstellingen:
- Uitwisseling van informatie en ervaringen tussen leden binnen het platform
- Vraagbaak voor relevante onderwerpen
- Ondersteuning bij normontwikkeling primair binnen IEC
- Secundair bij overige norminstanties (ISO/ISA/etc)
- Op de hoogte van de laatste stand van normen en techniek
- Bevorderen van de implementatie van cyber security
Over NEC 65
Het Industrieel Platform Cyber Security is een werkgroep van de normcommissie NEC 65 “Industrieel meten, regelen en automatiseren”. Deze normcommissie is binnen Nederland verantwoordelijk voor normen op het gebied van systemen en apparatuur voor besturing en bewaking van productieprocessen en industriële installaties. Deze vinden hun toepassing vooral in de professionele sfeer waaronder industrie, procesindustrie, energieopwekking en – distributie, wegen en waterbouwkundige infrastructuur
Cyber security in de industriële automatisering
Cyber security is de bescherming van computersystemen en netwerken tegen diefstal of schade aan hardware, software of elektronische gegevens. Cyber security wordt steeds belangrijker. Niet alleen vanwege de toegenomen afhankelijkheid van computersystemen. Maar ook omdat deze steeds vaker met elkaar verbonden zijn middels internet en draadloze netwerken zoals Bluetooth en Wi-Fi.
Daarnaast groeit het aantal ‘slimme’ apparaten snel. Denk hierbij aan smartphones, televisies en de verschillende apparaten die het “Internet Of Things” vormen. Vanwege de complexiteit ervan, zowel politiek als technologisch, is cyber security een van de grootste uitdagingen in de hedendaagse wereld.
Een VPN (Virtual Private Network) kan werknemers, die op afstand werken, helpen om een veilige verbinding te maken met het kantoornetwerk. Het stijgende aantal digitale nomaden onder het personeel moet tegenwoordig vaak openbare Wi-Fi-hotspots gebruiken. Zonder VPN kan dit gevaarlijk zijn.
Hackers kunnen gemakkelijk verbindingen tussen openbare Wi-Fi-verbindingspunten en apparaten van gebruikers infiltreren. Daarbij kunnen ze malware verspreiden, waardoor ze toegang hebben tot inloggegevens en andere persoonlijke gegevens. Lees hieronder verder wat een VPN precies inhoudt.
Verder hebben ook steeds meer te maken met IoT-gateways, deze vervullen verschillende rollen in de Internet Of Things-projecten. Naarmate het aantal apparaten, de schaal van de IoT-projecten en de behoefte aan snellere intelligentie, betere beveiliging en meer integratie groeit, groeit ook de behoefte aan IoT-gateways. Lees hieronder verder over IoT-gateways.
Voor een goede cyber security op te zetten zijn er cybersecurity-standaarden, ook wel cyberveiligheidsnormen genoemd. Dit zijn technieken die over het algemeen in gepubliceerd materiaal worden genoemd. Ze proberen de cyberomgeving van een gebruiker of organisatie te beschermen. Deze omgeving bevat gebruikers zelf. Maar ook netwerken, apparaten, alle software, processen, informatie in opslag of doorvoer, applicaties, diensten en systemen die kunnen worden verbonden. Hieronder gaan we dieper op de cybersecurity-standaard ISA-99 in.
Cyber Security en ICS- en SCADA-systemen
De vraag is natuurlijk of bedrijven er wel genoeg op voorbereid zijn om aanvallen op hun ICS- en SCADA-systemen te kunnen pareren. Immers het is voor hen nog relatief nieuw dat deze systemen op bedrijfsnetwerken zijn aangesloten, om de broodnodige data te leveren voor de business-omgeving.
Volgens Applied Risk verschilt dit per organisatie. De eigen klanten zijn natuurlijk proactief, maar Hendriks vindt het moeilijk om een algemeen beeld te schetsen. Wel signaleert hij dat het makkelijker wordt om aanvallen te plegen omdat steeds meer data uit de operationele processystemen naar het business-netwerk vloeit. Dit werkt de kans dat er daadwerkelijk aanvallen worden gepleegd natuurlijk in de hand. Er worden op deze manier steeds meer verbindingen worden gelegd die er vroeger nog niet waren.
Te nemen maatregelen
Belangrijk is dus dat industriële bedrijven zich echt op aanvallen gaan voorbereiden. Bijvoorbeeld door hier al bij de inkoopfase van deze systemen meer rekening te houden met cybersecurity-aspecten. In deze fase kunnen bedrijven al eisen stellen op beveiligingsgebied aan hun leveranciers om zo hun kritieke systemen goed te kunnen beveiligen.
Daarnaast moeten bedrijven, voor zover zij dit niet al hebben gedaan, hun netwerkinfrastructuur opdelen in verschillende lagen. Deze opdeling bestaat uit een laag waarin zich het business-netwerk met de ‘gewone’ gebruikers zich bevindt. Deze wordt gevolgd door de klassieke van firewalls voorziene Demilitarized Zone (DMZ) tussen het business- en operationele procesnetwerk met de databases met historische operationele informatie voor onder meer analytics. Vervolgens komt dan, als het goed zit, een volledig gescheiden laag met daarin alle procesmatige en kritieke componenten.
Kortom, eigenlijk dus een klassieke netwerkbeveiligingsinfrastructuur. Op deze manier is dan, bij een goede implementatie, het operationele netwerk met alle processen en systemen goed gescheiden van het zakelijke netwerk.
Risico’s door behoefte aan data
Applied Risk signaleert wel dat er steeds vaker lijntjes om de DMZ heen worden gebouwd, zodat toch sneller operationele informatie de business bereikt. Steeds meer gegevens vloeien nu vanuit de voorheen vaak gescheiden netwerken naar het zakelijke bedrijfsnetwerk om verschillende redenen, zoals analytics. Op deze manier wordt natuurlijk ook het risico groter dat nu ook de operationele systemen onder vuur van hackers komen te liggen, vergroot. Ook wordt een goede beveiliging van alle systemen hiermee in gevaar gebracht omdat, Hendriks herhaalt het nog eens maar, bedrijven nu iets doen wat vroeger nog niet mogelijk was of behoefte voor bestond.
De specialist wijst hun klanten dan ook op dit gevaar en adviseert hen met klem om een meerlaagse netwerkstructuur aan te leggen, bijvoorbeeld ook met een aparte laag voor zogeheten Safety Instrumented Systems (SIS) controllers die industriële in plaats van fysieke systemen gebruiken voor veiligheidstoepassingen. Applied Risk heeft hiervoor al enige tijd specifieke aanvallen gezien die er echt op waren gericht deze systemen onbruikbaar te maken.
Proactieve houding echt gewenst
De securityspecialist vindt dat bedrijven voor de beveiliging van hun industriële en kritieke systemen echt een proactieve houding moeten aannemen. Onder meer door hiervoor internationale standaarden te volgen, zoals de internationale IEC 62443-standaard. Deze specifieke standaard zorgt ervoor dat bedrijven en organisaties, de beschikbaarheid de integriteit en de vertrouwelijkheid van onderdelen of complete systemen voor automatisering en controle binnen de industrie volledig worden gewaarborgd.
Daarnaast moeten bedrijven die meerdere vestigingen hebben, en vaak nog allemaal losstaande netwerken hebben of soms wel met elkaar verbonden zijn, stuk voor stuk al deze netwerken gaan controleren en aanpassen naar de laatste security-toepassingen. Iets waarbij de specialisten van Applied Risk natuurlijk goed van dienst kunnen zijn.
Flinke kluif
Allemaal mooi en wel die proactieve houding die bedrijven moeten aannemen, maar het goed voorbereiden van het industriële bedrijfsleven gaat nog een flinke kluif worden. Binnen de industrie zijn veel (operationele) systemen erop gericht een levensduur van tussen de twintig en vijfentwintig jaar te hebben. Vergeleken met de levensduur van IT-systemen, gemiddeld twee tot vier jaar, dus een hele lange periode. Dit betekent onder meer dat veel huidige gebruikte systemen nog niet ingericht zijn om zich op cyberaanvallen te kunnen voorbereiden. Voor de gebruikte communicatieprotocollen van deze systemen is nog nooit nagedacht over cybersecurity en voeren bijvoorbeeld nog geen checks uit op authenticatie of identiteit. Zaken die tegenwoordig in de huidige IT-wereld gewoon zijn.
Het zou natuurlijk mooi zijn als bedrijven dan actief deze systemen gaan beveiligen, maar dat is volgens de specialist van Applied Risk ook geen sinecure. De betreffende bedrijfssystemen zijn vaak legacy-systemen die niet zomaar even kunnen stil worden gelegd. Altijd beschikbaar zijn, is voor deze bedrijven het belangrijkste. Dit levert dan vooral problemen op voor patch management.