Hoe blijven uw productie-assets cyberveilig?

De wereld van IT en OT mogen dan wel steeds meer convergeren, in termen van beveiliging doet u er goed aan twee aparte netwerken te behouden. Om u te helpen een veilige en toch werkbare topologie op het getouw te zetten van shopfloor tot topfloor en terug, kan u een beroep doen op de producten en diensten van Siemens. Een gespecialiseerd team kan voor elk bedrijf en elk budget de roadmap naar cyberveiligheid helpen uitstippelen.

Uit een onderzoek van adviesbureau BDO dat in januari gepubliceerd werd bleek dat hackers gemakkelijk kunnen binnendringen in bijna één op de vijf websites van bedrijven en overheden. Maar dit is slechts het tipje van de ijsberg. Want ook voor de productie dreigen er reële gevaren. Geert De Coninck, Business Unit Manager Factory Automation: “Het bewustzijn bij bedrijven rond cyberveiligheid is de voorbije jaren gelukkig flink gestegen. Dat steeds meer incidenten de pers halen, heeft daar veel mee te maken. Ze zijn zich bewust van het gevaar, maar toch is het geen sinecure om een sluitende oplossing te vinden, omdat de wereld van IT- en OT-netwerken net zo verschillend is. De verantwoordelijke van de productievloer kijkt naar de IT-manager om beveiligings‑gaten te dichten en omgekeerd. Nieuwe profielen zoals Chief Information Security Officers, die de cyberveiligheid van alle assets moeten bewaken, tonen dat er verandering in komt.” 

Maar hoe maak je je bedrijf cyberveilig, want een digitale fabriek kan ook niet zonder een krachtig communicatienetwerk? “Alles begint met een goede segmentatie”, opent Johan Van den Eede, sales specialist Industrial Networks. “Een netwerk in de productie, waar flexibiliteit en uptime de sleutelwoorden zijn heeft volledig andere eisen en responstijden dan een netwerk op kantoor dat om transparantie draait. Dat er een aparte certificering rond bestaat, respectievelijk IEC 62443 (voor industrie) en ISO 27000 (reeds gekend in IT), maakt duidelijk dat de uitdagingen wel dezelfde zijn maar de oplossingen verschillen.” Twee netwerken dus, die gescheiden van elkaar blijven door een zogenaamde gedemilitariseerde zone, maar waar een krachtige firewall zoals Palo Alto Networks NGFW wel een veilige brug tussen beide werelden legt.     

Daarmee is de kous niet af wat betreft segmentatie. Van den Eede: “Ook de productievloer kan met de SCALANCE S switches nog verder in cellen opgedeeld worden, die dan een ringtopologie meekrijgen. Hiermee kan de swapping time onder de 300 ms blijven. Een eenvoudige firewall tussen de verschillende cellen of zelfs per cel (afhankelijk van cyberrisk versus impact) volstaat dan om alles muurdicht te houden.”

Investeren in een centraal monitoring- en managementsysteem zoals SINEC NMS is een interessante volgende optie. “Het gaat er om te weten wat er allemaal op een netwerk draait. Configuratiebeheer, foutbeheer, performance, veiligheid … alle assets, ook randapparatuur worden meteen bewaakt”, geeft Van den Eede aan. Tools uit de IT-wereld hebben niet diezelfde robuustheid en eigenschappen die nodig zijn in een industriële omgeving. Een netwerkmanagement-systeem zoals SINEC NMS zal ook typische Profinet diagnoses kunnen uitvoeren.” Wie conform de normering wil werken zal tevens een centraal systeem voor gebruikers- en toegangsbeheer nodig hebben. Dat maakt duidelijke welke profielen welke taken op welk deel van het netwerk mogen uitvoeren. Belangrijk is ook om patches en back-ups op een gestructureerde manier te implementeren. “Voor gebruikers is het niet evident om te weten wat de gevolgen zijn van de toepassing van zo een patch. Een team van Siemens adviseert daarom welke patches kunnen en wanneer een alternatief interessanter is.” Om een netwerk helemaal te beveiligen, doet men er ten slotte goed aan de assets te testen op hun kwetsbaarheid. Van den Eede: “Siemens heeft dat al zelf gedaan voor 63.000 componenten. Je kan via SINEC NMS controleren welke patches en firmware jouw assets nodig hebben. Andere zaken die men nog kan toevoegen aan de beveiliging zijn anomalie opsporing en system hardening, meer geavanceerde technieken.” 

Wat er precies nodig is aan beveiliging, zal in elk bedrijf verschillen. “Cyberveiligheid moet altijd vertrekken vanuit een assessment”, geeft De Coninck aan. “Enerzijds om te weten hoe aantrekkelijk je bedrijf is als doelwit voor hackers. Anderzijds om de kroonjuwelen – die machines of installaties waar je je geen stilstand in kan permitteren –  in het productieproces zelf te identificeren.. Daar mag de beveiliging dan sowieso wat opgetrokken worden.” Hoezeer technologie ook kan bijdragen tot het ‘dichten’ van gaten in de beveiliging, toch is de factor ‘mens’ cruciaal in dit verhaal. “Cyberveiligheid is en blijft een evenwichtsoefening tussen een zo veilig en zo werkbaar mogelijk geheel creëren. Zorg dat iedereen van het personeel doordrongen is van de juiste, veilige manier om met assets om te gaan. De meeste hacks gebeuren door onvoorzichtigheid. Daarom is het ook zo belangrijk om een brug te slaan tussen IT en OT en cyberveiligheid als een totaalbenadering te zien”, besluit De Coninck.