Skip naar inhoud

Wilt u deze bijdrage aanbevelen? Dat kan via:

Industry 4.0 is hot. Waar het begon met het op afstand monitoren van machines en andere assets, willen industriële bedrijven nu de volgende stap zetten: machines op afstand aansturen. De aansluiting van machines op internet brengt risico’s met zich mee. Wat deze bedrijven zich niet of nauwelijks realiseren, is dat de operationele technologie (ot) nooit vanuit een securitygedachte is ontworpen en dat er derhalve specifieke maatregelen nodig zijn om de omgeving veilig te krijgen.

Wat is het probleem? De levensduur van machines is al snel dertig tot veertig jaar. Dat betekent dat de programmeerbare logische sturing (plc) die de machines aanstuurt, ook dertig tot veertig jaar meegaat. Een machine-aansturing die begin jaren negentig is ontworpen, is uiteraard niet bedacht op de securityrisico’s die we vandaag de dag kennen. Toch willen we machines, die nooit zijn ontworpen om op afstand te bedienen, vandaag de dag wel op afstand uitlezen en aansturen. Dat leidt in de praktijk tot veel ongewenste situaties. Denk aan slecht beveiligde vpn-verbindingen naar assets in het veld, firewalls die al jarenlang geen update hebben gekregen of machines die worden aangestuurd door pc’s die nog draaien op Windows XP of Windows 7.

Gescheiden werelden

“Waar de it-wereld al heel lang doordrongen is van de securitygevaren van internet, hoefde de ot-wereld hier nooit over na te denken”

Dat bedrijven hier tot nu toe nauwelijks aandacht voor hadden, komt doordat it en ot van oudsher gescheiden werelden waren. Waar de it-wereld al heel lang doordrongen is van de securitygevaren van internet, hoefde de ot-wereld hier nooit over na te denken. Dat doen ze nu pas, nu Industry 4.0 zijn intrede doet en bedrijven hun machines en andere assets verbonden willen maken.

Security-incidenten met grote gevolgen

En dat terwijl de impact van securityincidenten in de ot-wereld veel grotere gevolgen kunnen hebben dan in de it-wereld. Dat komt doordat ot fysieke processen aanstuurt die onmiddellijk stoppen als er een systeem down gaat. Vrijwel iedereen herinnert zich nog wel dat de containerterminals van Maersk in de Rotterdamse haven werden platgelegd door het NotPetya-virus. Volledige supply chains vielen stil doordat schepen niet geladen en gelost konden worden. Ot stuurt processen aan in het hart van onze samenleving; van de energie die uit je stopcontact komt tot de bos bloemen die via de veiling zijn weg vindt van de teler naar de klant. Waar de gevolgen van processen die stilvallen al groot zijn, wordt de consequentie nog groter als hackers doelbewust fysieke veiligheidsrisico’s creëren door een fabriek als wapen te gebruiken voor een terroristische aanval of logistieke processen zo in de war te sturen dat er ongelukken gebeuren.

Beveiliging van meerdere lagen

“De oplossing is een schil om de ot heen”

De oplossing is een schil om de ot heen die er in eerste instantie voor zorgt dat er een heel strenge selectie plaatsvindt wie er naar binnen mogen. En die vervolgens het gedrag van iedereen in die beveiligde omgeving tot in detail monitort om te zien of er geen verdachte gedragingen gebeuren. De schil lijkt op die van een kokosnoot: aan de buitenkant is hij keihard met slechts een heel klein gaatje waar verkeer pas na heel strenge authenticatie doorheen mag. Aan de binnenkant zit een nog veel dikkere maar zachtere laag die het gedrag monitort. Lukt het een kwaadwillende om via de superstrenge ‘grenscontrole’ binnen te komen, moet hij nog drie niveaus door totdat hij op het niveau van de machine zelf komt en een klep open kan zetten die dicht hoort te blijven. Tegen die tijd is door het gedrag allang ontdekt dat het om een ongewenste gast gaat.

Fysieke toegangscontrole voor assets in het veld

Dit concept heeft minder waarde bij assets die ergens in het veld staan en waar een kwaadwillende fysiek kan inbreken om zelf aan de knoppen te gaan draaien. Denk aan windmolenparken of aan bruggen en sluizen. Dat betekent dat objecten in het veld behalve virtueel ook fysiek beveiligd moeten worden. Ontstaat er ergens in die fysieke beveiliging een lek, dan zal de virtuele beveiliging dit onmiddellijk waarnemen, zodat je snel kunt ingrijpen. Op deze manier zijn omgevingen die nooit ontwikkeld zijn om via het internet met de buitenwereld te communiceren, toch op een veilige manier op afstand te ontsluiten met iot.

Auteur: Neal Peters, it-architect.

Lees ook:

Wat wil en wenst de ontwikkelaar?

In een krappe ict-arbeidsmarkt is het voor werkgevers interessant te weten wat er onder ontwikkelaars leeft. Bedrijven die de juiste tools bieden, hebben een streepje voor. Een internationaal onderzoek onder ruim zeventigduizend ontwikkelaars uit de Stack Overflow-community geeft inzicht in de trends. Dit rapport is bij recruiters dan ook niet onopgemerkt gebleven. Ze krijgen zo een beeld van hoe developers leren en meer kennis vergaren, welke tools ze gebruiken en waaraan ze behoefte hebben.

TNO: Europa kan tech-overmacht VS en China doorbreken

Zet vol in op de ontwikkeling van 6G, maak Gaia-X volwassen, loop voorop met edge computing en omarm open technologie. Dit zijn enkele aanbevelingen van TNO om in Europa de overheersing van Big Tech en Chinese (5G-)bedrijven te doorbreken.

Subpostmaster campaigning forces government to set up compensation scheme and make interim payments

Subpostmaster campaign group is a step closer to achieving what it was originally set up to do as government launches compensation scheme for its members who did not receive fair payouts

Advies: wacht met 3,5 GHz tot Inmarsat weg is

Het duurt waarschijnlijk tot eind 2023 voordat de 3,5-GHz-frequentieband beschikbaar komt voor openbare mobiele-communicatiediensten. Er is weliswaar veel vraag naar extra frequentieruimte, maar op de daarvoor afgesproken 3,5-GHz-band kan dat storen met noodoproepen van de lucht- en zeevaart. Het ministerie krijgt het advies te wachten totdat satellietbedrijf Inmarsat is verhuisd van het Friese Burum naar Griekenland.

Na sase komt sse (security service edge)

Security service edge (sse) is de evolutie van het sase-framework van Gartner. Door de letter ‘A’ (voor ’access) te verwijderen, wordt duidelijk dat het netwerk niet langer wordt beschouwd als onderdeel van een beveiligingsoplossing. Het is slechts het mechanisme dat de datastromen naar het security- en controleplatform transporteert.

UK tech has 2.8% gender ‘wage gap’, says Hired

The wage offered to women for tech jobs in the UK is 2.8% less than offered to male counterparts – a larger gap than in the US and Canada, says Hired

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”