Cybersecurity vraagt om gedegen risicoplan

Met de komst van Internet of Things (IoT) beginnen industrieel automatiseerders zich steeds meer zorgen te maken. Machines en apparaten worden bereikbaar van buitenaf. Een verkeerde of kwaadwillige actie kan een complete fabriek lam leggen. Experts geven hun visie op de gevaren van Industry 4.0.

Via een cyberaanval op een staalfabriek kregen indringers toegang tot het kantoornetwerk. Van daaruit werkten ze zich een weg naar de productie en schakelden delen van de installatie uit, waardoor een hoogoven enorme schade leed.
Een voorbeeld uit de praktijk, dat met de steeds hogere graad van digitalisering, ook wel Industrie 4.0 genoemd, een realistisch scenario begint te worden. Steeds meer machines en apparaten krijgen toegang tot de IT-infrastructuur van het bedrijf, waardoor het bedrijf vatbaarder wordt voor fouten en kwetsbaarder voor aanvallen. De praktijk wijst uit dat cybercriminelen blijven zoeken naar nieuwe manieren om bij bedrijfsnetwerken in te breken. Zij profiteren van de slordige of ontbrekende beveiliging bij producenten die zijn aangesloten op het Internet of Things en daarmee malware verspreiden of zombienetwerken creëren. Eigenaren van deze apparaten hebben vaak niet eens door dat ze geïnfecteerd zijn.
Deze cyberaanvallen, die specifiek zijn ontworpen om te penetreren in industriële controlesystemen, vormen een bedreiging voor productiefaciliteiten. Hackers kunnen geïnfecteerde computers op afstand bedienen en gegevens stelen. Andere gekoppelde of ingebouwde apparaten, zoals microfoons, toetsenborden en monitoren, kunnen worden bespioneerd.

Risicoplan
‘Een goed en gedegen risicoplan en -beleid is noodzakelijk’, meent Mike van de Ven, teamleader industrial automation bij de nieuwe fabriek van Danone Nutricia in Haps. ‘Een beleid dat uitgedragen wordt door het management, een risico-inventarisatie en een bijhorend afdelingoverschrijdend beheerplan, want een goede samenwerking en begrip voor elkaars uitdagingen draagt bij aan een positieve aanpak van de risico’s. Op kantoor is de beveiliging van computers en het netwerk vaak goed geregeld, terwijl bedrijven op de werkvloer nog wel eens steken laten vallen. Dat is een van mijn grootste zorgen omtrent Industry 4.0, dat producenten hun achterdeur wijd open zetten. Een supplier die support op afstand kan leveren via een verbinding naar hun machine, moet worden gezien als een potentieel risico. Het is daarom belangrijk om een goed plan op te zetten, bestaande uit meerder beveiligingslagen. Inventariseer waar de gevaren zitten, analyseer de risico’s en onderneem actie.’

Verdedigingslagen
Industry 4.0 houdt in dat een fabriek vol staat met smart devices, die allemaal een eigen ip-adres hebben en dus data kunnen uitwisselen. In 2020 zijn er circa vijftig miljard objecten online. ‘Juist dan heb je een goed security-plan nodig. Wat communiceert met wie?’, zegt Van de Ven. ‘Natuurlijk is industry 4.0 ideaal voor het voor het managen en monitoren van de apparatuur. Via het ip-adres is onderhoud op afstand mogelijk en kun je de life cycle monitoren. Een veilige verbinding met het bedrijfsnetwerk is daarbij essentieel.’
Volgens de automatiseringsspecialist is een defense in depth nodig. Dit is een beveiligingsstrategie waarbij meerdere verdedigingslagen in en rond een te beveiligen machine of fabriek zijn aangebracht. Het falen van één verdedigingslaag wordt daardoor opgevangen door de volgende laag.
‘Daarnaast moet je duidelijke grenzen vastleggen voor de data-uitwisseling. Machines kunnen ontzettend veel data genereren, zoals materiaalverbruik, procesdata, informatieve meldingen, alarmmeldingen, energieverbruik, enzovoort. Die info deel je via een netwerk, maar het is daarbij wel belangrijk dat je hiervoor een goede segmentering hanteert, want je wil niet dat machines van verschillende leveranciers elkaar negatief kunnen “beïnvloeden”, maar wel met elkaar kunnen communiceren.’

Centrale aansturing
Jan Eijkemans, verpakkingstechnoloog bij Aviko Rixona (producent van aardappelgranulaat en -vlokken voor de voedingsmiddelenindustrie) heeft de hele geschiedenis van de automatisering meegemaakt. ‘Toen ik begon bij Aviko, stelde de operator de verpakkingsmachine in door zelf aan de knoppen te draaien. Nu verloopt alles vanuit een centrale pc aan de verpakkingslijn. Het MES-systeem levert de parameters voor de gewenste producten aan alle verpakkingsmachines en randapparatuur zoals printers, labellers in de lijn en het controlesysteem adviseert als er beslissingen moeten worden genomen in geval van storingen. De machinebouwer kan dan op afstand inloggen middels een VPN-verbinding en kijken waar de storing vandaan komt.’
‘Als een machinebouwer vraagt om remote toegang begint het bij mij te kriebelen’, zegt Van de Ven. ‘Ze willen graag service op afstand bieden. Dat kan wel, maar ook hier geldt dat je goede afspraken en protocollen moet opstellen.’
Eijkemans: ‘Bij onze Rovema-machines is dat goed geregeld. De HMI is op verschillende niveaus beveiligd; operator, technische dienst en het management hebben verschillende rechten. Verder zijn er extra beveiligde delen, die via een dongel bereikbaar zijn of met een code die ieder uur verandert.’

Private cloud
Marco Dubbelman van automatiseringsbedrijf Gotogemba adviseert diverse bedrijven op het gebied van cybersecurity. Bedrijven zijn vaak niet bewust van hun kwetsbaarheid, vertelt hij. ‘Onze specialisten komen soms bij grote bedrijven binnen die denken en zeggen dat ze de beveiliging goed voor elkaar hebben. Als onze mensen er dan toch doorheen komen en zeggen: “jullie productie draait mooi”, staan ze raar te kijken.’
Dubbelman zit momenteel midden in de automatisering van sluitingenfabrikant Kornelis, waar diverse maatregelen zijn genomen voor databescherming. ‘Alle data staat op de eigen servers en we zetten bijna niets in de cloud. In de gevallen dat we toch extern data moeten stallen, maken we gebruik van private servers in de cloud.’

Demilitarized Zone
Het dataverkeer dat binnen komt bij Kornelis, zoals e-mail, gaat via een Demilitarized Zone (DMZ). Dit is een zone tussen het interne en externe netwerk, die met firewalls het interne netwerk beschermt. Onderhoudsmonteurs die inbellen of bij een machine moeten inloggen, moeten dat doen via persoonsgebonden, beveiligde en gecertificeerde VPN-verbindingen. Daarnaast maakt Kornelis gebruik van encrypted dataverkeer. ‘USB-sticks vormen ook een potentieel gevaar’, meent Dubbelman. ‘Daarom zijn alle usb-ingangen van de productie-pc’s geblokkeerd. En we streven er naar om geen CD’s te gebruiken.’
Het datanetwerk bij Kornelis is opgedeeld in sub-netwerken. Het ingehuurde bewakingsbedrijf bijvoorbeeld, heeft een eigen netwerk om de data van haar camera’s te versturen. ‘Houd je netwerk gesloten’, is het advies van Dubbelman. ‘Zelfs een eenvoudige printer kan voor een cybercrimineel een ingang zijn. Er zijn immers printers die zelfstandig met de tonerleverancier contact kunnen opnemen als de cartridge leeg is. Verbindingen met dit soort apparaten moet je als eerste dichttimmeren.’
Een ander lekkagevoorbeeld is Mailstreet in Deventer, specialist in direct mail. Deze drukker heeft zonnecollectoren op het dak en toonde de groene resultaten via een separate server op een scherm bij de ingang. Die server bleek bij een penetratietest een mogelijk lek te vormen en is meteen uitgezet. Het advies is dan ook, voorkomen is beter dan genezen.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

KADER
Inbraakscenario’s
Er zijn verschillend scenario’s mogelijk waarbij de cybercriminelen inbreken. De aanvallers kunnen kwaadaardige programma’s installeren en blokkeren daarmee alle productie- en logistieke operaties. Ze bekijken de productie- en capaciteitsgegevens en manipuleren de applicatie- en systeemgegevens. In het ergste geval kan een gemanipuleerde machine fysieke schade aan de omgeving veroorzaken.
De hackers kunnen ook via ingebedde systemen commando’s laten versturen om de productielijnen te saboteren of zelfs de volledige bedrijfs-IT-infrastructuur lam te leggen.
Tot slot kunnen bedrijven te maken krijgen met social engineering. Dit is een techniek waarbij een computerkraker een computersystemen aanvalt door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. Phishing mailtje zijn hier een voorbeeld van.

KADER
Beveiligingsstrategieën
De inbraakscenario’s vragen om het opzetten van een effectief en efficiënt beveiligingsbeheersysteem. Traditionele beveiligingsstrategieën, zoals firewalls, antivirussoftware en netwerkbewakingssoftware beschermen alleen specifieke, kleine delen van de IT-infrastructuur tegen potentiële aanvallen. Aanvallers richten zich daarentegen op nieuwe en onbekende gaten in de beveiliging.
Een brede beveiligingsstrategie gaat dit tegen. Hiervoor is onder meer een correlatie-engine nodig, die een groot scala aan risico-identificatiemodules correleert met miljoenen gebeurtenissen en die constant op zoek blijft naar nieuwe dreigingsscenario's. De resultaten van de correlaties worden vervolgens geanalyseerd door een team van experts met voortdurend bijgewerkte specialistische kennis en vaardigheden. De analyses geven een overzicht van de kritieke informatie en kunnen daarmee een echte aanval onthullen.