Direct naar de content
Dit artikel wordt u aangeboden door Orange Cyberdefense
De redactie van Het Financieele Dagblad draagt voor deze inhoud geen verantwoordelijkheid.

Security in de maakindustrie: een vak apart

Operationele technologie (OT) is wat de maakindustrie draaiende houdt met industriële pc’s, plc’s, sensoren, RFID-tags en veel meer. Ambities voor innovatie en groei inspireren maakbedrijven om hun OT te koppelen aan ICT: meer data, meer inzicht, meer efficiëntie. Maar ook: meer risico’s in cybersecurity. ‘Als bestuurders cybersecurity niet serieus oppakken, doet niemand dit.’ 

In hun streven naar een Industry 4.0 verbinden maakbedrijven steeds meer operationele technologie met informatietechnologie. Meer data en nog meer inzichten geven een mooie basis voor groei en innovatie. Het ERP-systeem stuurt de fabriek aan, een medewerker kan thuis simulaties bekijken op basis van real-time data en de technische man kan onderweg controleren of alle meters nog op groen staan. Echter, de integratie van digitale technologie in productie- en industriële processen verschuift primaire processen naar een online omgeving. Die integratie brengt risico’s met zich mee die niet altijd als zodanig worden gezien, weet Jeroen Wijnands. Hij is Head of OT Security bij Orange Cyberdefense, dienstverlener van end-to-end managed cybersecuritydiensten. 

Windows95-pc’tje 

‘Dat bedrijven het risico niet altijd zien, komt onder andere omdat weinig bedrijven weten hoe omvangrijk hun OT-omgeving precies is’, zegt Wijnands. ‘Laatst sprak ik een klant die dacht dat hij ongeveer drieduizend aangesloten assets had op het fabrieksnetwerk. We hebben ze geteld en we kwamen uit op dertienduizend.’ De plc’s en RFID-scanners worden niet zo snel over het hoofd gezien, maar de moderne gebouwen zitten ook vol veelal kwetsbare sensoren. En aan hetzelfde netwerk hangt ook het toegangscontrolesysteem tot het gebouw en dat eenzame Windows95-pc’tje in het lab dat een peperduur apparaat aanstuurt.  

Generieke tools zijn meestal niet afdoende, omdat sommige oude hardware erg gevoelig is en het laatste dat je wilt is de omgeving verstoren

Jeroen Wijnands
Head of OT Security bij Orange Cyberdefense

Het hele plaatje  

Wat OT zo interessant maakt als vakgebied, en tegelijkertijd zo ingewikkeld om te beveiligen, kan Wijnands als geen ander uitleggen. ‘In de maakindustrie gaat een apparaat twintig of dertig jaar mee voor het wordt afgeschreven. Maar daar hangen industriële pc’s aan voor aansturing en die gaan niet zo lang mee. Die zijn namelijk niet ontworpen om het zo lang vol te houden. Bedrijven hebben daardoor niet altijd inzicht in de staat van die industriële pc’s.’ En dat inzicht is wel nodig voor een gedegen beveiliging. Wanneer Wijnands langskomt voor een eerste assessment stelt hij vragen over elke asset die hij ziet. Wat het doet, welke data het verzamelt, met wie het communiceert en over wat voor (on)beveiligd netwerk die gegevens gaan. ‘Dat kan best confronterend zijn voor de mensen die er werken.’ Met speciale software helpt Orange Cyberdefense een compleet overzicht maken van het netwerk en de systemen die daarop aangesloten zijn. ‘Generieke tools zijn meestal niet afdoende, omdat sommige oude hardware erg gevoelig is en het laatste dat je wilt is de omgeving verstoren.’ 

Beschikbaarheid boven alles   

Een ander groot verschil met reguliere ICT is dat bij OT beschikbaarheid boven alles gaat, terwijl security in ICT het ook draait om vertrouwelijkheid en integriteit. ‘Als gegevens in kantoorautomatisering even niet beschikbaar zijn, is dat vervelend maar slechts zelden echt een vitaal probleem’, legt Wijnands uit. ‘In een OT-omgeving is het andersom. De systemen regelen een fysiek proces en moeten het te allen tijde doen.’ Iedereen die in de maakindustrie werkt, begrijpt dat het catastrofaal kan zijn wanneer de productie plotseling tot stilstand komt omdat de aansturende systemen (digitaal) gesaboteerd zijn. Stel je voor dat de lopende band hapert en alle toevoer zich gaat ophopen. Of dat de robots in de fabriek ermee ophouden. ‘Daarna komt integriteit: de meetgegevens moeten kloppen, anders wordt een proces niet goed aangestuurd.’ Dat is bijvoorbeeld wanneer de robots het wel doen, maar niet met de juiste instructies werken. ‘Vertrouwelijkheid komt op de derde plaats. Veel operationele omgevingen hebben weinig vertrouwelijke data, een recept misschien of een personeelsrooster, maar verder is daar niet heel veel data aanwezig.  

Als bestuurders dit niet serieus oppakken, doet niemand het

Matthijs van der Wel-ter Weel
Strategisch adviseur bij Orange Cyberdefense

12 miljoen naar de schroot 

Collega Matthijs van der Wel-ter Weel is strategisch adviseur bij Orange Cyberdefense. Hij illustreert het verschil met een aansprekend voorbeeld. ‘Stel, ik doe de beveiliging van kantoorautomatisering. Bij een verdachte actie in de pc van een medewerker kan ik die als het nodig is even uitzetten, patchen, en weer aanzetten. Maar wat als ik over een productiestraat ga waar gesmolten plastic doorheen gaat? Als ik vanuit mijn securityrol dat apparaat even uitzet, dan blijft het hete plastic door de straat lopen. Het kan niet verder, wordt hard, en de hele productiestraat van twaalf miljoen kan naar de schroot.’ 
Van der Wel-ter Weel legt uit dat beveiliging van deze essentiële apparaten niet alleen aan de CISO is of aan de operators. ‘Het is aan bestuurders en directieleden om hier het voortouw in te nemen. De beveiliging van OT is geen technische kwestie. Het is risicomanagement en het afdekken van bedrijfsrisico’s ligt bij hen.’ Als er één boodschap is die Van der Wel-ter Weel duidelijk over wil brengen, is dat bestuurders zich daar bewust van zijn. ‘Als zij dit niet serieus oppakken, doet niemand het. En je wilt toch niet het risico lopen niet in controle te zijn van je eigen bedrijfsvoering? Een veilige omgeving is nodig voor verdere groei. Een omgeving waarin gegevens veilig heen en weer kunnen omdat het fundament onder die technologie stevig is.’ 

Purdue-model  

Gelukkig is allang bedacht hoe een veilig netwerk eruitziet. Het Purdue-model is een standaard uit de jaren negentig die nog steeds geldt. Plat gezegd beschrijft dat model een netwerk van vier lagen, met op het laagste niveau de apparaten die het maakproces in beweging houden, en op het hoogste niveau de enterprisesoftware. Wijnands: ‘De crux is controle over de communicatie tussen de lagen. Een laag overslaan is niet verstandig.’ Hij geeft een voorbeeld uit de praktijk. Nog geen vier jaar geleden had Wijnands een gesprek met een directeur die graag wilde weten hoeveel auto’s er op een dag werden geverfd in zijn fabriek. Hij wilde dat ook kunnen zien wanneer hij niet achter zijn bureau zat. Intern regelde hij via een geitenpaadje een verbinding met zijn mobiel. Zo verbond hij de onderste laag van zijn organisatie met de bovenste. ‘Ik heb hem uitgelegd dat hij een achterdeur had gecreëerd naar de fundamentele laag van de organisatie, wat ook nog eens tegen zijn eigen security-beleid inging.’ 

Ga oefenen  

Na bewustwording en overzicht volgt inzicht door oefening. Dat kan op papier. ‘Ga bij elkaar zitten en spreek door wat er kan gebeuren als er iets misgaat en wie waar over gaat’, adviseert Wijnands. Hij vertelt over een gehackte olieraffinaderij in het Midden-Oosten. De veiligheidssystemen waren uitgezet en malware geïnstalleerd zodat de hitte in de ketels steeg en ze zouden exploderen. ‘Dankzij een fout in de malware is er niks geëxplodeerd, maar iemand moest de fabriek in om de veiligheidssystemen weer aan te zetten. Tussen de ketels die wel of niet op springen stonden. Wiens taak is dat?’ 
Maar ook kleine storingen in de OT kunnen genoeg gedoe opleveren. Wat als de slagboom niet meer werkt naar het terrein van het evenement of distributiecentrum? Of het nu vrachtwagens zijn of bezoekers, binnen no-time staan de toegangswegen vol, zijn mensen boos, lopen klanten weg. Van der Wel-ter Weel: ‘Je hoeft je als bestuurder niet druk te maken om elke slagboom in de organisatie, maar je moet wel weten dat die ene slagboom van invloed is op de core processen.’

 

Een plan in het geval van een brand of pandemie is er vaak wel, een plan van aanpak bij een cyberincident ontbreekt vaak

Matthijs van der Wel-ter Weel
Strategisch adviseur bij Orange Cyberdefense

Maak een plan  

De top van het bedrijf moet genoeg informatie hebben om te weten wat de risico’s zijn. De laag daaronder kent zijn eigen omgeving, die gaat oplossen bij problemen, alleen is dat niet altijd vastgelegd. ‘Een plan in het geval van een brand of pandemie is er vaak wel, een plan van aanpak bij een cyberincident ontbreekt vaak’, zegt Van der Wel-ter Weel. ‘Ga ervan uit dat een uur stilstand in de fabriek minstens een ton kost. En dan hebben we het nog niet eens over de imagoschade en de schade die dit ketenpartners aandoet.’ 

Wie zijn de daders?   

Orange Cyberdefensie publiceert ieder jaar de Security Navigator 2024, met daarin in ook onderzoek naar kwaadwillende actoren in cybersecurity. De belangrijkste oorzaak van problemen in de OT zijn het resultaat van hacks of lekken in de ICT. Wijnands: ‘Omdat deze twee werelden onbedoeld direct met elkaar verbonden zijn, raken ze elkaar ook bij cyberincidenten. Dat is de belangrijkste oorzaak. En daarnaast zijn er criminelen die geld wil verdienen. Stel dat iemand de productiestraat met dat hete plastic heeft gegijzeld, die twaalf miljoen kost om te vervangen. Hoeveel losgeld ben jij dan bereid te betalen?’ En dan zijn er nog de statelijke actoren. Nederland is een belangrijke logistieke hub voor Europa, met havens en spoor. ‘Een containerterminal in Rotterdam heeft negentig minuten stilgestaan omdat een systeem ge-reboot moest worden. Honderden vrachtwagens stonden tot op de snelweg te wachten tot ze aan de beurt waren. Alles is ingericht om just-in-time te werken. Je hoeft niet direct geraakt te worden om last te hebben van een aanval.’ 

Neem als bestuurder het voortouw en pak de leiding als het gaat om risicomanagement

Jeroen Wijnands
Head of OT Security bij Orange Cyberdefense

Zonder veiligheid geen innovatie 

Is er iets waar bestuurders nu al mee aan de slag kunnen? Wijnands: ‘Zeker. Neem als bestuurder het voortouw en pak de leiding als het gaat om risicomanagement. Zorg dat risico’s beheersbaar blijven. Scheid bijvoorbeeld de kantoorautomatisering van het productienetwerk. Zet er een firewall tussen. En verder: weet wat je hebt aan assets, weet wat ze doen, weet wat er gebeurt wanneer iets niet meer werkt. Hang alleen het nodige aan het netwerk. Maak aparte verdedigingszones. Zorg voor patches. Security is techniek, processen en mensen. Vooral mensen, zorg dat zij goed geïnformeerd zijn. En doe niet alles zelf. Een gedegen securitypartner met een trackrecord in het OT-domein maakt echt het verschil.’ Wanneer de beveiliging op orde is, ontstaat een stevige basis voor innovatie. Dan kunnen gegevens namelijk veilig worden uitgewisseld tussen systemen. Prognoses en modellen zijn betrouwbaar, omdat de data waarmee ze worden gevoed, betrouwbaar zijn. Meer resources kunnen worden gewijd aan innovatie, omdat er geen veiligheidsbrandjes geblust hoeven worden. Werken in een veilige omgeving geeft rust en stabiliteit, waarmee ruimte ontstaat voor nieuwe ideeën en projecten. 

Cybersecurity in de waterinfrastructuur 

Het Hoogheemraadschap van Rijnland is verantwoordelijk voor het beheer van de waterinfrastructuur en -systemen in de regio, onder meer waterzuiveringssystemen, kanalen en waterkeringen. In samenwerking met Orange Cyberdefense en Microsoft is het hoogheemraadschap gestart om hun OT-omgeving op te nemen in hun IT-beveiligingsarchitectuur. Een groot deel van de infrastructuur is gebouwd om ‘stand alone’ te werken. Een OT-lab werd opgezet met onderdelen van de technologie die het hoogheemraadschap gebruikt. In deze gecontroleerde omgeving worden mogelijke aanvallen gesimuleerd om te leren hoe de kritieke infrastructuur beter kan worden verdedigd. Oplossingen worden getest voor ze in productie gaan. De tests en simulaties in het OT-lab hebben waardevolle inzichten opgeleverd in potentiële bedreigingen en kwetsbaarheden. Op basis waarvan het Hoogheemraadschap van Rijnland nieuwe plannen heeft gemaakt ‘voor het geval dat’.

Deel op social media