Cybersecurity is een kritieke kwestie

Niet alleen voor IT maar ook voor OT

De eerste IT-virussen werden ontwikkeld in de jaren 70 en werden via Floppy Disks verspreid. Met de introductie van het internet kwamen nieuwe wegen om computers te besmetten. Jaren lang waren industriële computers en PLC’s gelukkig gevrijwaard van deze ellende, maar onverlaten wisten op een gegeven moment ook hier binnen te dringen. Met de komst van IoT, IIoT en Industrie 4.0 zijn hun wegen om in industriële computers te komen aanzienlijk toegenomen, wegen die afgesloten moeten worden met de juiste middelen om schade en ellende te voorkomen.

Hoewel IT-incidenten veel vaker voorkomen, zijn OT-incidenten destructiever. Een inbreuk op de beveiliging in een industrieel of infrastructuursysteem kan tot zoveel meer leiden dan alleen financiële schade. De stroomuitval in Oekraïne (december 2016) en de mislukte poging om het chloridegehalte in de watersystemen in Israël (juni 2020) of Florida (februari 2021) aan te passen, maken duidelijk wat de gevolgen van een hack van een industriële installatie kunnen zijn.
Wanneer IT naar OT kijkt, zien ze een onbekende wereld: de gebruikte componenten zijn vaak schermloos (machines, PLC’s), ze communiceren via industriële protocollen op IT-netwerken (bijvoorbeeld PROFINET, Ethernet/IP, EtherCAT, etc.), ze missen beveiligingstools (firewalls, antivirus), worden zelden gepatcht en ze worden zelfs anders geprogrammeerd of onderhouden.
Aan de andere kant beseft OT niet dat ze onderdeel zijn geworden van een IT-omgeving. Ze zien protocollen zoals MQTT of OPC UA als eenvoudige verbindingen naar één of andere serverlocatie en zijn zich er niet direct van bewust dat ze hun infrastructuur voor de wereld hebben geopend.

Wat te doen
Om de beveiliging te verbeteren, moeten binnen OT-systemen dezelfde beveiligingseisen gebruikt worden als binnen de IT-wereld. We worden ertoe gedwongen omdat over niet al te lange tijd alles met alles verbonden is. Met IoT geldt dat huishoudelijke apparaten, de deurbel, de verlichting en de energiemeters beveiliging vragen. Dit vraagt om (andere) regelgeving zoals de Californische IoT-beveiligingswet die alle fabrikanten van apparaten die direct of indirect verbinding maken met internet, dwingt om een basisset van beveiligingsmaatregelen te implementeren, zoals geen standaardwachtwoord. Deze wet kan enige impact hebben op de consumentenmarkt, maar we hebben een beperkte impact gezien op industriële apparaten.
Betekent dit dat de industriële beveiliging tegenwoordig vooral wordt gedreven door de markt:

• betekent dit dat de eisen voor hogere beveiliging moeten worden gepusht en afkomstig moeten zijn van grotere eindklanten?
• of gedreven door innovatieve fabrikanten die streven naar veiligheid als concurrentiedifferentiatie?

Gezien de voordelen die interconnectiviteit kan bieden – en gedreven door initiatieven zoals Industrie 4.0 – streeft de markt ernaar industriële machines aan te sluiten op het IT-niveau om onderhoud, analyse en productie-effectiviteit te verbeteren. Dit betekent dat een snel groeiend aantal industriële machines niet meer volledig geïsoleerd zal zijn van de buitenwereld. In de toekomst moet een fabriek overwegen om geselecteerde toegangspunten op verschillende niveaus te openen.

Zijn de huidige fabrieken gesloten systemen en wat wil men zeggen dat de toegang van buitenaf wordt geweigerd? Het antwoord daarop hangt af van hoe we ‘gesloten’ definiëren. Als er absoluut geen verbinding met internet is, dan is er inderdaad een hogere bescherming tegen externe bedreigingen. Een fabriekseigenaar moet echter rekening houden met beveiliging op verschillende niveaus. Zelfs als er geen koppeling met internet is, kunnen mensen die de fabriek binnenkomen, beveiligingsfouten maken waarmee rekening moet worden gehouden. Voorbeelden kunnen zijn:

1. Een externe onderhoudsmonteur, van uw leverancier, sluit zijn laptop aan op uw machine voor diagnostische doeleinden. Via deze verbinding wordt u blootgesteld aan onnodige risico’s en bedreigingen – zoals virussen of toegang tot interne vertrouwelijke documenten en gegevens
2. Een pc die is aangesloten op een ongebruikte netwerkpoort op een industrieel Ethernet-netwerk, waar alleen communicatie met de machine is toegestaan.
3. Er wordt onjuiste firmware gedownload naar een machine.
4. Een werknemer die onbedoelde configuratiewijzigingen aanbrengt via tools, internet of andere omgevingen die geen authenticatie vereisen.
5. Iemand, ofwel een interne werknemer of een externe aannemer, die een niet-beveiligde USB-geheugenstick met een virus naar een fabriek brengt. Na verbinding te hebben gemaakt met een interne computer of poort, maakt het virus zelf de installatie ervan mogelijk.

Er zijn waarschijnlijk nog tal van andere voorbeelden. Dit is slechts een shortlist die enkele bedreigingen illustreert. De eventuele gevolgen kunnen echter sterk variëren van downtime en systeemfalen tot het risico dat virussen/malware uw systeem binnendringen, wat leidt tot onvoorspelbaar gedrag, kwaliteitsproblemen en zelfs mogelijk letsel bij mensen. Aan de andere kant dwingt de toenemende complexiteit van productiemachines het lokale team al om vaak met hun leveranciers te communiceren via oplossingen voor externe toegang die, indien niet volledig beveiligd en beheerd, extra toegangspunten tot de fabriek creëren.

Rekening houden met
Iedereen zal uiteindelijk rekening moeten houden met beveiligingsaspecten in zowel nieuwe als oude installaties en vervolgens systemen op verschillende niveaus moeten bouwen door verschillende delen van een fabriek te segmenteren om een hoger beveiligingsniveau te creëren. We zullen ook moeten zorgen voor co-existentie met oudere producten/installaties die gebruik maken van oudere netwerken. Naast alle tot nu toe gestelde vragen is er een andere interessante vraag, namelijk kunnen fabrikanten van apparaten vertrouwen op de technologie van iemand anders om het daadwerkelijke beveiligingsgedeelte op te lossen? In veel gevallen zal dit mogelijk zijn en zelfs de voorkeur hebben. Voor machinebouwers en eindgebruikers zal het gebruik van communicatieoplossingen met ingebouwde beveiligingsfuncties hen helpen om sneller en efficiënter de beveiliging op orde te hebben. Zo kan een fabrikant van automatiseringsapparatuur voldoen aan de installatievereisten van zijn klanten met betrekking tot beveiliging, maar zonder de kopzorgen en investeringen die nodig zijn om dit zelf te doen.

Verantwoordelijkheid
Is het de verantwoordelijkheid van de fabrikant van het apparaat om de beveiligingsvereisten in een fabriek op te lossen? Het snelle antwoord is nee, maar als u uw apparaten wilt verkopen op een internationale markt met een grote variatie aan gebruiksscenario’s, moet u voldoen aan de beveiligingsvereisten met behulp van beveiligingsprotocollen en functies die in uw product zijn ingebouwd.
Een veilige infrastructuur is gebaseerd op diepgaande beveiliging, die zelf is gebouwd op verschillende verdedigingslinies – tot op componentniveau. Als fabrikant heb je geen controle over het specifieke beveiligingsbeleid binnen een fabriek. Daarom is het aan te raden om het apparaat zo te maken dat hij elke situatie aan kan. Het helpt immers om betrouwbaardere beveiligingsprestaties te bieden, ongeacht de installatieomstandigheden.
Beveiliging hangt ook af van acceptatie door gebruikers die al een sterke focus op beveiligingsbeheer hebben. Als een fabriek bijvoorbeeld eist dat zijn webpagina’s toegankelijk zijn op het netwerk, kunnen alleen producten met HTTPS (beveiligd webprotocol) worden geaccepteerd. Dit betekent op zijn beurt dat de (apparaat)fabrikant deze veilige functionaliteit in zijn product moet ondersteunen, anders riskeert hij de bestelling en toekomstige zaken te verliezen.

Wet en regelgeving
Zoals eerder gezegd, is er (nog) geen wetgeving, maar de beste manier om veiligheid te bereiken, is door te voldoen aan internationale normen. Het standaardisatieaspect van de cyberveiligheid is iets geavanceerder met enkele gevestigde normen zoals ISO27001 en IEC 62443.
ISO27001 is standaard gericht op het beschermen van de IT-beheersystemen. Het is een volwassen standaard, aangestuurd en geaccepteerd door IT-mensen, bewezen in gebruik met hoog beschikbare technologie zoals TLS-codering, VPN-connectiviteit, X.509-certificaten enzovoort. In industriële toepassingen is deze standaard vooral relevant voor die systemen die zijn aangesloten op IT-omgevingen zoals IIoT en cloudgebaseerde communicatie, waar informatie-uitwisseling cruciaal is en waar IT-beveiliging de algemene vereiste is.
IEC 62443 – Is een opkomende norm voor industriële besturingstoepassingen – gericht op de robuustheid en veiligheid van een productietoepassing waarbij het determinisme van de communicatie de sleutel is voor de betrouwbaarheid.
Beveiliging voor ICS is een nieuw concept in een markt die de control loop van de applicatie beïnvloedt. Hij is bedoeld voor situaties waar speciale industriële communicatieprotocollen zoals PROFINET worden gebruikt die een extra beveiligingsmechanisme vereisen en momenteel geen sterke veiligheidscultuur of -processen hebben.

Seminar
Op 20 mei aanstaande zal over het onderwerp embedded security door HMS Networks een webinar gehouden worden met als titel ‘How to get Secure Industrial Ethernet and IIoT without using stacks’.
HMS is actief in een aantal domeinen als het gaat om beveiliging. Het gaat hier om activiteiten zoals deelname aan de ontwikkeling van grote open industriële netwerken en certificeringsprocesen voor veilige producten (IEC62443). Niet voor niets dat de specialisten van dit bedrijf het nodige te vertellen hebben over dit onderwerp. Het seminar dat die dag begint om 10.30 uur is online te volgen en gratis voor iedereen die te maken heeft met de beveiliging van industriële netwerken. Meer informatie over dit seminar, alsmede de mogelijkheid om u aan te melden is te vinden op www.hms-networks.com/iiot2021

Auteur: Kurt van Buul, OEM Project Manager, HMS Networks