Je Industry 4.0 toepassingen beveiligen? Hier moet je aan denken
Industry 4.0 is hot. De kans is groot dat jouw IT-afdeling al door je directie onder druk is gezet om vaart te maken met het op afstand uitlezen van gegevens van machines. Gegevens uit SCADA en MES, maar natuurlijk ook van sensoren, camera’s en andere IoT-toepassingen. Want de business mogelijkheden zijn groot. En de securityrisico's evenzeer.
19 juli 2022 | Blog | Door: Neal Peters
Deel
Peuter budget los met de business-impactbenadering
De IT die deze machines aanstuurt (IT voor OT), is immers niet gemaakt om via het internet te bedienen. Ook zijn deze systemen nooit vanuit een securitygedachte ontworpen. Dat betekent dat je veel maatregelen moet nemen om ze toch via internet te ontsluiten. Omdat mitigerende maatregelen geld kosten en de mensen in boardroom per definitie zuinig zijn met dit soort investeringen, adviseren wij om de business-impactbenadering te hanteren. Je classificeert de risico’s op het niet halen van business-doelstellingen. Dé nummer 1 businessdoelstelling is uptime van de assets. Ga na op welke plekken in de IT voor OT-omgeving kwetsbaarden zitten die gebruikt kunnen worden om de productie volledig stil te leggen en maak een begroting wat het kost om deze risico’s weg te nemen. Op die manier kan de directie een goede afweging maken tussen kosten en opbrengsten van het beveiligen van de IT voor OT.
Begin bij het netwerk
Bij remote assets zoals windmolen- of zonneparken, kassen of waterzuiveringsinstallaties is het netwerk voor hackers vaak de eenvoudigste plek om binnen te dringen. De traditionele gedachte is: we gebruiken alleen dedicated privéverbindingen, zodat we zeker weten dat niemand van buitenaf kan inbreken. Een hele logische gedachte, ware het niet dat je daarmee je opties wel heel erg beperkt. Zeker omdat het vandaag de dag technisch prima mogelijk is om een internetverbinding goed te beveiligen, bijvoorbeeld via een VPN-tunnel.
Verstuur data alleen encrypted
Behalve dat je de verbinding beveiligt, zorg je er natuurlijk altijd voor dat je de data encrypted verstuurt. In geval van one way-communicatie – een IoT-device stuurt alleen maar signalen uit maar kan niets ontvangen – is het zelfs helemaal niet nodig de verbinding te beveiligen. Dan is het encrypten van de data in principe voldoende en kun je je beperken tot het dichtzetten van de poorten voor inkomend verkeer. Maar zelfs als je data terugstuurt naar de IT voor OT, kun je ervoor kiezen om slechts één poort open te zetten voor bijvoorbeeld een heel beperkt aantal IP-adressen van beheerders van de omgeving. Dan is de kans immers minimaal dat er buitenstaanders binnen weten te dringen in de IT voor OT-omgeving.
Containeriseer de IT voor OT
De tweede plek waar hackers proberen binnen te komen, is via de software. Nu bedrijven in het kader van hun digitale transformatie de IT voor OT-omgeving willen vernieuwen, is dit het moment om de software van een extra beveiligingsschil te voorzien. Net als in de IT werken we ook in de IT voor OT met containers. Dat betekent dat een bestaande PLC wordt gecontaineriseerd en wordt voorzien van de juiste integraties en de juiste mate van security.
Security-as-a-code
Waar bij de traditionele manier van software ontwikkelen pas achteraf werd nagedacht over de beveiliging van systemen, wordt security bij de DevOps-manier van werken vanaf het begin af aan meegenomen in de ontwikkeling van de code. We noemen dit ook wel security-as-code. Je let vanaf de eerste fase van de softwareontwikkeling scherp op eventuele kwetsbaarheden in de software die je containeriseert en op zaken als access control en policy management. Op deze manier is security dus geen pleister meer die je achteraf op een open wond plakt, maar het is een werkwijze die voorkomt dat er wonden kunnen ontstaan.
NIST-raamwerk
Bij het containeriseren van OT biedt het raamwerk van de National Institute of Standards and Technology goede handreikingen, beschrijvingen en uitgangspunten voor het beveiligen van de container. De NIST sluit ook goed aan bij de Nederlandse wet- en regelgeving, zoals ISO27001 en branchenormeringen zoals IEC62443. In onze whitepaper ‘Industry 4.0: ontwerp je OT-omgeving vanuit een IT-visie’ gaan we hier dieper op in.
Fysieke toegangscontrole voor assets in het veld
De beveiliging van de IT voor OT-omgeving heeft minder waarde bij assets die ergens in het veld staan en waar een kwaadwillende fysiek kan inbreken om zelf aan de knoppen te gaan draaien. Denk aan windmolenparken of aan bruggen en sluizen. Dat betekent dat objecten in het veld behalve virtueel ook fysiek beveiligd moeten worden. Ontstaat er ergens in die fysieke beveiliging een lek, dan zal de virtuele beveiliging dit onmiddellijk waarnemen, zodat je snel kunt ingrijpen.
Dedicated 24/7 Operations Center voor OT
Tot slot zul je natuurlijk monitoring moeten inrichten vanuit een Operations Center dat 24/7 monitort wat er in de omgeving gebeurt. Omdat IT voor OT-omgevingen heel anders in elkaar steken dan ‘gewone’ IT-omgevingen, worden aanvallen op de OT ook op een andere manier gepleegd. Daarom is het belangrijk om een dedicated IT voor OT Operations Center in te richten, met mensen die verstand hebben van het OT-landschap.
Wil jouw bedrijf fysieke assets via het internet gaan ontsluiten en maak je je zorgen over de beveiliging? En wil je meer weten over onze aanpak? Dan gaan we graag eens met je in gesprek.