Internet of Things eist degelijke beveiliging

shutterstock_63434137_machinery

De wereld raakt meer en meer verknoopt. Dat heeft veel voordelen; ook voor bedrijven die industriële automatisering toepassen. Want de analyses van gegevens leiden tot efficiëntere bedrijfsprocessen. Maar er zit ook een uitdaging aan vast: goede bescherming van die gegevens. Rockwell Automation heeft samen met Cisco een strategie ontwikkeld die de ‘connected enterprise’ in veilig vaarwater leidt.

Op de website van Vision & Robotics is gevraagd naar de visie op beveiliging van industriële netwerken. De resultaten laten zien dat hier nog een wereld is te winnen. Zo blijkt een groot aantal mensen het er volledig mee eens te zijn dat ‘security in de industriële automatisering zwaar wordt onderschat’. Zij geven aan dat hier een groot gevaar in schuilt.

Een andere groep geeft aan het ermee eens te zijn, maar voegt eraan toe dat er geen budget is om speciale beveiligingstoepassingen voor de fabrieksomgeving aan te schaffen. Denk daarbij aan firewalls, beveiligingssoftware, encryptiemogelijkheden en dergelijke.

De kleinste groep meent dat het allemaal wel meevalt, zolang er maar een goede scheiding is aangebracht en in stand wordt gehouden tussen de administratieve automatisering op kantoor en de industriële automatisering in de fabriek.

Gevarieerd beeld

Patrick Blommaert, business manager bij Rockwell Automation Benelux, herkent de reacties wel. “Het is heel wisselend. Over het algemeen constateer ik dat het onderwerp beveiliging wel op de agenda staat bij de industriële ondernemingen. Maar ik moet toch ook vaststellen dat juist de grotere bedrijven hier bewust mee bezig zijn en hun maatregelen treffen; of dat al hebben gedaan. Maar bij de kleinere ondernemingen kan wel wat meer gebeuren; daar ontbreekt soms het urgentiegevoel.”

Hij vertelt dat Rockwell zelf dit onderwerp regelmatig te berde brengt bij zijn klanten: de OEM’s, maar ook de organisaties die de machines gebruiken. “Dan brengen we de oplossing naar voren die wij samen met Cisco hebben ontwikkeld voor de connected enterprise.”

Internet of Things

De aandacht voor beveiliging van geautomatiseerde systemen is tegenwoordig des te prangender, vanwege de opkomst van het Internet of Things (IoT): een wereld waarin heel veel apparaten via het internet protocol aan elkaar zijn gekoppeld. Zo kun je bijvoorbeeld via een tablet of een smartphone apparatuur in de fabriek regelen. Maar ook de onderlinge verwevenheid tussen fabrikant, afnemer, toeleverancier neemt toe, omdat ze van elkaars systemen gebruik maken. Zo kun je bijvoorbeeld zelf de voorraden bij een leverancier – of bij een klant – in de gaten houden.

We spreken dan van de ‘connected enterprise’. Een organisatie waarbij kantoor- en industriële automatisering verweven zijn; en waarbij digitale banden zijn gesmeed tussen bedrijven die in dezelfde keten actief zijn.

De connected enterprise heeft ontegenzeggelijk voordelen. Maar het vereist een gedegen beveiliging, zodat bijvoorbeeld niet iemand ‘van buiten’ het chloorgehalte in het zwembad gaat regelen, zoals vorig jaar in Nederland is gebeurd.

Een ui

Samen met routerfabrikant Cisco heeft Rockwell Automation een architectuur ontwikkeld die niet-geautoriseerde toegang tot netwerken en apparatuur verijdelt. De grondgedachte is de opstelling van een gelaagde beveiligingsstructuur: als een ui waarbij de rokken de verschillende lagen van defensie vormen.

Want beveiliging raakt het menselijk gedrag (niet overal zomaar op klikken en niet elke usb-stick zomaar in een computer stoppen; sterke wachtwoorden gebruiken, en dergelijke), de fysieke onderdelen, het netwerk, de applicatie en de beveiliging van een apparaat/machine/robot zelf.

Kwaadwillenden gebruiken zwakheden in software om ergens toegang toe te krijgen. Zodra een softwarehuis zo’n gat (een exploit) ontdekt, herstelt het de onvolkomenheden. De ‘stoplap’ wordt rondgestuurd naar de klanten. Het is zaak om deze patches gecontroleerd en tijdig toe te passen.

Gebruik in elk geval beveiligingssoftware, whitelisting, host intrusion-detection systemen en andere oplossingen voor beveiliging van apparatuur.

Verwijder applicaties die niemand nog gebruikt. Dat geldt ook voor protocollen en diensten. En zet alleen de poorten open op routers en switches (de verkeersregelaars van het netwerk) die nodig zijn voor de bedrijfsvoering.

Niet alleen de kantoorcomputers zijn gevoelig voor aanvallen van buitenaf; het is net zo goed op industriële automatisering van toepassing.

De FactoryTalk Security architectuur van Rockwell Automation is erop gericht alle netwerkverkeer te kanaliseren en te beheersen. Die zorgt er bijvoorbeeld voor dat alleen bevoegden toegang hebben tot applicaties; en geeft een signaal als iets onoorbaars gebeurt. Het FactoryTalk AssetCentre systeem maakt hier onderdeel van uit en regelt veilig gebruik van geautomatiseerde fabrieksomgevingen. Het zorgt bijvoorbeeld voor back-up en herstel van configuraties die van belang zijn voor de processen binnen het machinepark.

Tegelijk heeft Rockwell industriële switches en routers in zijn portfolio opgenomen die geschikt gemaakt zijn voor fabrieksomgevingen.

“Je moet niet te snel denken dat je alles al goed hebt geregeld”, zegt Blommaert. “Het is goed om na te gaan welke risico’s je loopt en hoe je die kunt afdekken.”

In tien stappen naar veilige netwerken

  1. Bepaal wie netwerktoegang heeft. Gebruik hiervoor bijvoorbeeld directories die de toegang regelen en apparatuur die poorten kan blokkeren.
  2. Zorg voor robuuste en betrouwbare afhandeling van het netwerkverkeer door toepassing van firewalls, en intrusion detection/prevention.
  3. Gebruik antivirus software en whitelisting (hiermee is aan te geven welke applicaties op computers mogen starten: alleen degene die op de white list staan).
  4. Creëer een bewustzijn binnen de organisatie dat patching (het actualiseren van software nadat een fout is hersteld) noodzakelijk is om over goed werkende software te beschikken.
  5. Spreek met medewerkers beveiligingsprocedures af. Denk aan het hanteren en beheren van sterke wachtwoorden, hoe je omgaat met usb-sticks, en het gebruik van persoonlijke apparatuur (zoals smart phones en tablets) in de zakelijke omgeving.
  6. Blokkeer veranderingen aan de controller door hem in de Run modus te zetten.
  7. Controleer wie gerechtigd is om wát, waar te mogen doen in een toepassing met de FactoryTalk Security architectuur.
  8. Monitor wat er gebeurt in het systeem met de Controller Change Detection en het FactoryTalk Asset Centre systeem.
  9. Bescherm het intellectueel eigendom met Logix Source Protection.
  10. Zorg ervoor dat alle Ethernet-apparatuur onderling verbonden is via standaard protocollen.

Security wordt in de industriële automatisering zwaar onderschat 

  •  Volledig mee eens, hier zit een groot gevaar: 31 stemmen
  •  Mee eens, maar wij hebben geen budget om speciale security-tools voor de fabrieksomgeving aan te schaffen: 17 stemmen
  •  Zolang we een goed scheiding aanhouden tussen de administratieve automatisering op kantoor en de industriële automatisering in de fabrieksomgeving valt het allemaal wel mee: 9 stemmen

tekst: Teus Molenaar

 
Lees ook
Embedded vision en deep learning als katalysator voor een nieuw Internet of Things

Embedded vision en deep learning als katalysator voor een nieuw Internet of Things

Je hoeft tegenwoordig niet veel moeite meer te doen om een visiontoepassing tegen het lijf te lopen. Misschien heb je een gameconsole die je gebaren herkent, een vision systeem dat je helpt je auto te parkeren, of toch op zijn minst een slimme telefoon met een mooie camera en autofocus in je broekzak. Vision heeft nu al een aanzienlijke invloed op ons...

ST Robotics lanceert Workspace Sentry beveiligingssysteem

ST Robotics lanceert Workspace Sentry beveiligingssysteem

ST Robotics lanceert de Workspace Sentry, een oplossing die zeker stelt dat collaboratieve robots veilig kunnen samenwerken met mensen. De oplossing voldoet aan de norm ISO 15066 Robots and robotic devices -- Collaborative robots. Het systeem bestaat uit een kleine module die gekoppeld kan worden aan collaboratieve robots. Deze module stuurt laserstralen...

EUCHNER lanceert nieuwe reeks smalle lichtschermen

EUCHNER lanceert nieuwe reeks smalle lichtschermen

EUCHNER breidt zijn reeks lichtschermen voor toegangsbeveiliging rond machines uit met de smalle lichtschermen van de serie LCA. De schermen zijn beschikbaar in verschillende versies met resoluties van 14mm tot 50mm voor vinger, hand en armbeveiliging. Daarnaast zijn er ook 2, 3 en 4-straals lichtschermen voor inloopbeveiliging beschikbaar. Het productaanbod...