NLFR

Platform over productie- en procesautomatisering
Nieuwe generatie industriële VPN-routers tilt IIoT cybersecurity naar hoger niveau
‘Secrets’, ‘vaults’ en ‘key ceremonies’ zijn belangrijke elementen in de keten om apparaten en installaties tegen cyberaanvallen te beveiligen.

Nieuwe generatie industriële VPN-routers tilt IIoT cybersecurity naar hoger niveau

Cybersecurity moet serieus genomen worden. Uit een studie van Palo Alto Networks blijkt dat maar liefst 98% van het IIoT-verkeer niet gecodeerd is en dat bijna 60% van de toestellen gevoelig is voor cyberaanvallen. Met de Ewon Cosy+ van HMS Networks biedt Bintz Technics een nieuwe generatie industriële VPN-routers die IIoT cybersecurity naar een hoger niveau tillen. Een state-of-the-art beveiliging van de hardware laat de gebruiker toe om vanop afstand op een veilige manier industriële installaties in bedrijf te nemen en te programmeren, of zelfs problemen op te lossen. De gevaren voor cyberaanvallen worden op die manier gevoelig verminderd.

Geconnecteerde apparaten zijn niet meer weg te denken uit onze maatschappij. Als je ziet hoeveel computers en IoT-apparaten, zoals smartphones, smartwatches, camera’s, luidsprekers en domoticasystemen,we vandaag gebruiken, en dat vergelijkt met pakweg drie jaar geleden, dan merk je het meteen. Dat brengt met zich mee dat ook het belang van beveiliging sterk toegenomen is. 

“Terwijl de traditionele IT toch wel een zeker niveau van maturiteit bereikt heeft, blijkt dat door de snelle groei van het IoT het aantal gevallen van verkeerde implementaties van de beveiliging toeneemt. Bij IoT-apparaten moet de beveiliging starten op het moment dat ze ingeschakeld worden”, stelt sales engineer Bram Baetens van Bintz Technics. “Het uitvoeren van een vertrouwde en authentieke code begint met het veilig opstarten van het apparaat. ‘Secure Boot’ zorgt ervoor dat alleen software die door de fabrikant gevalideerd is, uitgevoerd kan worden. Zonder dat proces zou men bijvoorbeeld een aangepast besturingssystemen of gemanipuleerde software kunnen laden als men tussen de verschillende opstartfasen kan interfereren. De nieuwe Ewon Cosy+ industriële VPN router van HMS Networks biedt een volledig veilige opstart-sequentie, waardoor alleen programmacode uitgevoerd wordt die door Ewon goedgekeurd is. De verificatieketen bestaat uit public en private keys, gecombineerd met een digitale handtekening. Pas als deze elementen op elkaar aansluiten, wordt de bootloader geladen. Als deze verificatieketen om de ene of andere reden onderbroken wordt, start het apparaat niet op.”

Dankzij de Ewon Cosy+ met geïntegreerde beveiliging van de hardware zijn installaties beter gewapend tegen cyberaanvallen.

Al twintig jaar eerste keuze

HMS Network is marktleider in het leveren van oplossingen voor de industriële informatie- en communicatietechnologie (Industrial ICT) en ontwikkelt onder meer producten onder de naam Ewon®, al twintig jaar de eerste keuze voor industriële remote access oplossingen. Wereldwijd zijn meer dan 400.000 toestellen via het Talk2M cloudplatform verbonden, wat Ewon met ruime voorsprong tot de nummer één in industriële remote access connectiviteit maakt. Bintz Technics is verantwoordelijk voor de verdeling van de producten in België en Luxemburg.

“Met de Ewon Cosy+, de opvolger van de succesvolle Ewon Cosy 131, introduceerde HMS Networks een nieuwe generatie industriële VPN-routers die IIoT cybersecurity naar een hoger niveau tillen. Naast de prestaties en het gebruiksgemak blinkt deze nieuwe ontwikkeling vooral uit door een ultramoderne beveiliging van de hardware. Deze router werd conform ISO207001 richtlijnen ontworpen. Dankzij een samenwerking met de cybersecurityspecialisten van Nviso kan Ewon een oplossing bieden, die getest werd volgens de strengste IIoT-veiligheidsnormen,” licht Bram Baetens toe. 

“De combinatie van het industriële cloud­platform Talk2M met de Cosy+ en de geïntegreerde beveiliging van de hardware laten gebruikers toe vanop afstand op een veilige manier industriële installaties in bedrijf te nemen en te programmeren, of zelfs fout­diagnoses uit te voeren. Zo wordt stilstand van machines beperkt. Er wordt ook tijd en geld gespaard omdat technici geen onnodige verplaatsingen voor interventies moeten maken. De productiviteit van de technici wordt dan ook gevoelig verbeterd.”

De veiligheid van de producten ligt de specialisten van Ewon nauw aan het hart. Daarom werd in deze nieuwe Cosy+ een ‘Secure Element’ geïntegreerd, waardoor op het niveau van de hardware een extra veiligheid toegevoegd wordt. De zogenaamde ‘Hardware Root of Trust’ is een fundamenteel onderdeel voor een veilige opstartcyclus van het apparaat. Op die manier is de installatie zeer goed gewapend tegen cyberaanvallen.

Met de Ewon Cosy+ introduceerde HMS Networks een nieuwe generatie industriële VPN-routers die IIoT cybersecurity naar een hoger niveau tillen.

‘Secrets’ en ‘vaults’

De stappen die Ewon zet, tonen nog maar eens aan hoe belangrijk cybersecurity wel is voor onze industrie en voor de maatschappij in het algemeen. Cyberaanvallen kunnen bedrijven en andere instanties dagen, zelfs weken volledig lamleggen en dat kost bergen geld. Daarom besteden we in deze reportage ook aandacht aan geavanceerde concepten voor cyberbeveiliging: ‘secrets’, ‘vaults’ en ‘key ceremonies’. 

Bij hardware-gebaseerde beveiliging wordt de lat op het vlak van vertrouwelijkheid, authenticiteit en integriteit nog hoger gelegd door het gebruik van sleutels in de ‘Hardware Root of Trust’, de ‘Secure Boot’ en de ‘Code Signing’ mechanismen. Daarbij moeten echter drie uitdagingen aangepakt worden: de veilige creatie van de ‘secrets’, een veilige opslag, toegang en gebruik ervan, en de veilige provisionering op de apparaten. Als er ‘secrets’ gelekt worden, valt de volledige oplossing in het water.

“In de eerste plaats moeten de keys, nodig om het apparaat te laten werken, tijdens de ontwikkelingsfase aangemaakt worden. De keuze van het type ‘key’ dat in het proces gebruikt wordt, is afhankelijk van de gewenste cryptografische eigenschappen van de key en de grootte ervan. De creatie van zogenaamde ‘secrets’, waarvan de ‘keys’ deel uitmaken, kan (uit veiligheidsoverwegingen) niet door een mens gebeuren. De ‘secrets’ worden op een centrale locatie aangemaakt en opgeslagen in een elektronische ‘vault’”, geeft Baetens aan. “Aangezien de ‘vault’ en ‘secrets’ die erin steken zo gevoelig zijn, moeten we ervoor zorgen dat er niet geknoeid kan worden met de configuratie ervan en de toegang ertoe. We moeten ook zeker zijn, dat de ‘secrets’ volgens de gekozen specificaties gemaakt worden. Bovendien is het cruciaal dat die ‘secrets’ op geen enkel ogenblik voor de buitenwereld zichtbaar worden, vooraleer ze in de ‘vault’ terechtkomen. Daar zorgt de ‘key ceremony’ voor.”

De combinatie van het industriële cloudplatform Talk2M met de veilige Cosy+ laat gebruikers toe vanop afstand op een veilige manier industriële installaties in bedrijf te nemen en te programmeren, of zelfs foutdiagnoses uit te voeren.

‘Key ceremonies’

De ‘key ceremony’ is het proces dat erop toeziet dat alle modaliteiten van het genereren en bewaren van de cryptografische elementen geheim blijven. Enkel een reeks geselecteerde actoren, zogenaamde ‘master keys’, hebben samen de mogelijkheid om de ‘vault’ open te maken en de inhoud ervan te wijzigen. Er is altijd een minimum aantal ‘master keys’ nodig om deze operaties uit te voeren. Eén indivi­duele actor kan niets aanpassen. 

Het ‘key ceremony’ proces verloopt steeds volgens een vastgelegd scenario en alle deelprocessen worden gedocumenteerd. ‘Secrets’ worden in de ‘vault’ bewaard en zijn voor niemand bekend, zelfs niet voor de ‘master keys’. De kleinste mismatch tijdens zo’n ‘key ceremony’ zorgt voor twijfel rond de vertrouwelijkheid en integriteit van de ‘secrets’, waardoor het volledige proces ongeldig is en alles van voren af aan gestart moet worden.

“De toegang tot de ‘secrets’ staat onder een strenge controle van de ‘vault’. Enkel geïdentificeerde processen en toepassingen kunnen tokens, paswoorden, certificaten en encryptiesleutels opvragen. Elke firmware update die voor de Ewon Cosy+ vrijgegeven wordt, wordt aan dit veiligheidsmechanisme onderworpen, vooraleer die vrijgegeven en geïnstalleerd wordt. Het is van het grootste belang dat alle firmware updates voor de Cosy+ eerst bij Ewon ondertekend worden vooraleer ze publiekelijk vrijgegeven worden, en dat ze door het apparaat geverifieerd worden voordat ze geïnstalleerd worden. Bij het ondertekenen wordt een private sleutel gebruikt, die meestal één van de ‘secrets’ in de ‘vault’ is en bij niemand bekend is, maar die wel toegankelijk is om deze actie uit te voeren. Het apparaat zelf beschikt over de publieke sleutel om de handtekening te bevestigen”, stelt de sales engineer van Bintz Technics. 

“De ‘secrets’ die tijdens de ontwikkelingsfase gegenereerd worden, moeten tijdens de productie in de apparaten geïmplementeerd worden zonder de ‘chain of trust’ te breken. Dat gebeurt gewoonlijk door speciale partners, die zorgen voor de pre-provisionering van de ‘secrets’ op beveiligde locaties in het apparaat. Ook hier staat een ‘key ceremonie’ ervoor garant dat de overdracht van de ‘secrets’ van één veilige ‘vault’ naar een andere gebeurt zonder dat ze ook maar één moment zichtbaar zijn.” 

"*" geeft vereiste velden aan

Stuur ons een bericht

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.