Zogenaamde DDoS aanvallen (Distributed Denial of Service) roepen honderd tot duizend computers, smartphones en tablets op om de controller te bombarderen met simultane verzoeken.

02:45
14-07-2020

Cyberveiligheid voor industriële sturingssystemen

Om data te transfereren van de machine naar de cloud is er een internetverbinding nodig. Dit zal u machine echter ook blootstellen aan mogelijke cyberaanvallen. Daarom hebben machines met cloudconnectiviteit speciale bescherming nodig. Daarom heeft B&R zijn Site manager geïntroduceerd. Hij staat in voor alle taken in verband met cyberveiligheid, zodat uw data veilig naar de cloud kan.

Voor het Industrieel Internet of Things (IIoT) bestond, hoefden controllers enkel met elkaar te communiceren of met bovenliggende systemen binnen het bedrijfsnetwerk. Een directe verbinding met het internet was uiterst zeldzaam. “Maar dat is nu aan het veranderen”, legt Andreas Hager uit. Hij is B&R’s productmanager voor sturingssystemen. IIoT-oplossingen gebruiken industriële pc’s en andere hardware als edge apparaten met een rechtstreekse verbinding met het internet. Hierdoor worden ze potentiële doelwitten voor hackers. Zij kunnen controllers en dus ook volledige machines stilleggen door ze bijvoorbeeld te overweldigen met verkeer. Deze zogenaamde DDoS aanvallen (Distributed Denial of Service) roepen honderd tot duizend computers, smartphones en tablets op om de controller te bombarderen met simultane verzoeken. Hij kan de belasting niet aan en de machine komt tot een halt.

Hager: “De SiteManager waakt erover dat alle data die getransfereerd worden tussen de machine en applicaties buiten het bedrijf beschermd worden tegen ongeoorloofde toegang en cyberaanvallen.”

 

Open poorten

Om data naar de cloud te sturen moeten er poorten op de controller geopend worden. “Zolang het communicatiekanaal tussen de controller en de cloud gateway open staat, vormen deze poorten een open toegang voor hackers”, verduidelijkt Hager. Maar dat is niet het enige probleem. Apparaten die in rechtstreekse verbinding staan met het internet moeten ook op regelmatige basis een update krijgen om nieuw ontdekte gaten in de beveiliging te dichten. “Veel machines draaien echter weken of zelfs maanden volcontinu”, merkt Hager op. Updates kunnen maar geïnstalleerd worden in stilstand en een update kan zelfs om een aanpassing van de toepassing vragen. Gelukkig is er een eenvoudigere oplossing: het isoleren van de sturings- en communicatiefunctionaliteiten. Op die manier kan een DDoS aanval nooit diep genoeg penetreren om de machinesturing te raken. “In het ergste geval verlies je de communicatie met de cloud, maar de machine zelf kan blijven opereren”, benadrukt Hager.

De B&R SiteManager is beschikbaar in drie varianten in functie van de internetverbinding: LAN, WLAN of met mobiel netwerk.

 

Cyberveilig aan de slag

Daarom heeft B&R de SiteManager ontwikkeld. Dit apparaat beschikt over een geïntegreerde firewall en voert alle taken uit die nodig zijn om uw applicatie cyberveilig te houden. Dat gaat onder meer om het up-to-date houden van cloudcertificaten of het installeren van patches om kwetsbaarheden in de beveiliging weg te nemen. Als de controller zijn data naar de cloud wil brengen, connecteert hij met de SiteManager via OPC UA. Tijdens de configuratie bepaalt de gebruiker welke data kan worden verzonden. Configuratie komt eigenlijk neer op het aanvinken van vakjes in de webgebaseerde gebruikersinterface in de SiteManager. Over de updates van certificaten of patches hoeft de operator zich geen zorgen te maken. De SiteManager downloadt en installeert alle updates zonder de werking van de machine te beïnvloeden. Zo kunnen de veiligheidsaanbevelingen van cloudproviders altijd strikt opgevolgd worden en zijn potentiële veiligheidsinbreuken snel gedicht.

Door de sturings- en communicatiefunctionaliteiten te isoleren, kan een DDoS aanval nooit diep genoeg penetreren om de machinesturing te raken.

 

Ook voor remote maintenance

“Omdat de veiligheidsvereisten voor remote maintenance gelijkaardig zijn, kan de SiteManager ook deze taak perfect op zich nemen”, aldus Hager. Met het apparaat kunnen techniekers verbinding maken met de machinesturing via een veilige VPN-verbinding en zoeken naar fouten. Een gebruikersbeheersysteem zorgt dat er duidelijk en veilig afgebakend wordt tot wat de techniekers toegang krijgen. “Met een technieker op het terrein kan men dan werk maken van een zeer gericht troubleshooting proces”, vertelt Hager. “De SiteManager waakt erover dat alle data die getransfereerd worden tussen de machine en applicaties buiten het bedrijf beschermd worden tegen ongeoorloofde toegang en cyberaanvallen.”    


Drie varianten

De B&R SiteManager is beschikbaar in drie varianten in functie van de internetverbinding: LAN, WLAN of met mobiel netwerk. Elk ervan is uitgerust met een geïntegreerde firewall. Om conflicten te vermijden met firewalls binnen uw bedrijf, gebeurt de communicatie met het internet via firewall compatibele gecodeerde webprotocollen.

Er bestaat ook een softwareversie die het mogelijk maakt om de machinecontroller en SiteManager te combineren in één toestel. Via B&R Hypervisor kunnen twee sturingssystemen geïnstalleerd worden op een industriële pc.

Een besturingssysteem in real-time voor de aansturing van de machine en een Linux of Window systeem voor de Site­Manager. Ze werken dan beide onafhankelijk van elkaar. Zelfs wanneer de SiteManager geblokkeerd zou worden door een aanval of wanneer het algemene besturingssysteem zou crashen, kan de sturing van de machine ongestoord verder werken.

Tekst Valérie Couplez | Beeld B&R

Abonneer u op onze nieuwsbrief

Lees ons « Privacy statement » voor nadere informatie.

Lees meer over: B&R , cloudconnectiviteit , IIOT

Over B&R Industriële automatisering

Industrial Automation partners