Waarom cybersecurity top of mind moet zijn voor machinebouwers

4 min. leestijd | Auteur: Dylan Eikelenboom | Laatste update: 17-11-2021

Het risico van cyberaanvallen groeit wereldwijd doordat steeds meer apparatuur op het internet wordt aangesloten en door de toenemende complexiteit van machinesoftware. Machinebouwers moeten hun klanten en zichzelf beschermen om ernstige gevolgen te voorkomen. 

Aangezien we ons steeds verder in de verbonden wereld van Industrie 4.0 wagen, neemt de kans op beveiligingslekken en cyberaanvallen en de schade die ze veroorzaken exponentieel toe. Als je je niet bewust bent van de beveiligingsrisico's, is de kans op een cyberaanval zelfs nog groter. 

Cyberaanvallen die hun oorsprong vinden in OT apparatuur kunnen desastreus zijn voor de fabriek en grote imagoschade veroorzaken voor jou als machinebouwer. Het aantal cyberaanvallen dat leidt tot operationele verstoring in de industriële sector neemt drastisch toe.  Machines of zelfs hele fabrieken worden platgelegd, data wordt gestolen en in het ergste geval raken mensen gewond. En dat allemaal door bijvoorbeeld een simpele klik op een link in een spam mail.

Trends in cyber security versus trends in machinesTrends in cyber security versus trends in machines

Je wilt geen zwakke schakel zijn, dus het is tijd om je te verdiepen in je cybersecurity en die op orde te brengen. Wat moet je weten over cybersecurity? Hoe kun je je verantwoordelijkheid nemen en wat mag je van je partners verwachten of vragen?
 

Toenemende vraag van klanten naar cybersecurity

Eindklanten, met name fabriekseigenaren, worden zich steeds bewuster van de risico's die zij lopen wanneer zij hun apparatuur met het internet verbinden. Dit leidt ertoe dat zij meer van jou verwachten op het gebied van cybersecurity. Je moet weten hoe je connectiviteitsoplossing werkt en je bewust zijn van de risico's die verbonden machines met zich meebrengen. Ook moet je weten hoe je jouw klant kunt beschermen en ondersteunen en moet je antwoord kunnen geven op eventuele vragen.

Machinebouwers bieden echter relatief weinig service level agreements (SLA's), en meestal is er weinig aandacht voor onderhoud en monitoring van machines na garantie. De grootste focus ligt op het optimaal laten draaien van de machines en ervoor zorgen dat ze fysiek veilig zijn. Dat is niet langer voldoende, want een gebrek aan expertise over veiligheidsmaatregelen verhoogt de risico's.

Dat is veel extra verantwoordelijkheid in een, voor veel machinebouwers, compleet nieuw vakgebied.
 

Informatie delen over je veiligheidsbeheer

Het is duidelijk dat machinebouwers een grote verantwoordelijkheid hebben ten opzichte van klanten als het gaat om de cyberveiligheid van hun aangesloten systemen. Je krijgt waarschijnlijk vragen over de toegevoegde waarde van je connectiviteitsoplossing en hoe deze invloed kan hebben op hun fabrieksnetwerk. Je wint meer vertrouwen als je communiceert en transparant bent over hoe beveiliging, gebruikerstoegang en bijvoorbeeld open netwerkpoorten zijn geregeld. 

Om vragen te beantwoorden, is het belangrijk om te weten wie waarvoor verantwoordelijk is in het cybersecurity landschap.
 

Gedeelde verantwoordelijkheid voor cybersecurity

Cybersecurity is een breed onderwerp, en de verantwoordelijkheid om te zorgen voor een veilig verbonden machine wordt gedeeld door verschillende belanghebbenden. Onbeantwoorde vragen over wie waarvoor verantwoordelijk is, leiden tot lekken of aanvallen. Je moet weten wie betrokken moet zijn bij het veilig houden van apparatuur, en wat van wie kan worden verwacht. De verantwoordelijkheid voor cybersecurity wordt gedeeld door:

  • Machinebouwer
  • Eindklant (gebruiker van de machine)
  • Aanbieder van connectiviteitsoplossingen

Wanneer de machine naar de fabriek gaat, neemt de invloed van de machinebouwer af, terwijl de veiligheidsrisico's juist toenemen.Wanneer de machine naar de fabriek gaat, neemt de invloed van de machinebouwer af, terwijl de veiligheidsrisico's juist toenemen.

Verantwoordelijkheden van de machinebouwer

De machinebouwer is degene die beslist dat hij zijn machine gaat verbinden met een bepaalde connectiviteitsoplossing. Hij moet ervoor zorgen dat de gekozen connectiviteitsoplossing veilig is en geen schade kan toebrengen aan de aangesloten systemen en het OT netwerk. Om de risico's tot een minimum te beperken, moet je ook:

  • Kennis delen die is opgedaan bij het monitoren van de beveiliging van je machine;
  • Informatie over je beveiligings- en privacybeleid delen;
  • Machinecomponenten beveiligen tegen blootstelling aan externe factoren met een robuuste firewall en de nieuwste firmware;
  • De gebruikerstoegang en -rechten binnen de connectiviteitsoplossing beheren.
     

Verantwoordelijkheden van de eindklant 

De eindklant moet zijn eigen netwerk en apparaten beveiligen, bijvoorbeeld:

  • Hun eigen IT infrastructuur en gegevens beschermen;
  • Apparaten, zoals pc's, tablets en mobiele telefoons beveiligen met sterke wachtwoorden;
  • De identiteit van de infrastructuur van de connectiviteitsoplossing in de gaten houden;
  • De toegang en rechten van gebruikers binnen de connectiviteitsoplossing beheren.
     

Verantwoordelijkheden van de aanbieder van connectiviteitsoplossingen

De door jou gekozen connectiviteitsoplossing moet robuust zijn en moet functies bevatten die de aangesloten systemen veilig houden, zoals:

  • Een geavanceerd gebruikersbeheersysteem om de toegang en rechten van gebruikers te beheren;
  • Twee factor authenticatie;
  • Sterke encryptie;
  • Back-ups;
  • Robuuste firewalls.

In de volgende paragraaf gaan we dieper in op wat je als machinebouwer in de praktijk kunt doen.

 

De belangrijkste veiligheidsmaatregelen die elke machinebouwer moet nemen

Om de veiligheid van je aangesloten machines te maximaliseren, moet je rekening houden met verschillende veiligheidsaspecten op verschillende niveaus. Wanneer je aan de slag gaat met cybersecurity, wil je de volgende 3 onderwerpen aanpakken:

  • Interne organisatie
  • Intern fabrieksnetwerk
  • Inkomende verbindingen

Security by design

De interne organisatie beveiligen

Als we het hebben over de interne organisatie, bedoelen we alle medewerkers aan zowel de kant van de machinebouwer als de eindklant. Aangezien de meeste cyberhacks worden veroorzaakt door menselijke fouten, moet elke werknemer hackerbestendige wachtwoorden gebruiken. Medewerkers moeten zich bewust zijn van de gevolgen en de maatregelen die ze kunnen nemen, bijvoorbeeld door middel van een cybersecurity training. Daarnaast kunnen risicoanalyses, incidentbeheer en gebruikersbeheer helpen om de risico's te beperken.

Het intern fabrieksnetwerk beveiligen

Je machine zal worden geïnstalleerd in het interne fabrieksnetwerk van de eindklant. Allereerst is het belangrijk om te zorgen voor een veilige installatie in de fabriek door middel van netwerkscheiding. Zorg ervoor dat je machines beschermd zijn tegen ongewenste inkomende verbindingen door een strikte firewall, zodat ze zelfs zonder regelmatige firmware updates afgeschermd zijn.

De machine beveiligen tegen inkomende verbindingen

Wanneer je je machine met het internet verbindt, moet je ervoor zorgen dat alle verbindingen tussen je machine en de buitenwereld beveiligd zijn. Je moet sterke encryptie (HTTPS) gebruiken en het is goed om regelmatig pentests uit te laten voeren of voortdurend te controleren of je inkomende verbindingen beveiligd zijn. Robuuste gebruikersauthenticatie, zoals 2FA, tijdens het inloggen op afstand kan het risico van ongeoorloofde toegang verminderen.
 

Beveilig zowel IT als OT

Informatietechnologie (IT) richt zich op alles wat met computertechnologie te maken heeft, terwijl operationele technologie (OT) betrekking heeft op hardware en software die wordt gebruikt om fysieke apparaten en processen te monitoren en controleren. OT apparatuur bestuurt de fysieke wereld en IT systemen beheren data.

OT omgevingen worden tegenwoordig steeds afhankelijker van IT. Hierdoor wordt een geïntegreerde aanpak van cybersecurity belangrijk, omdat aanvallers nu ook OT kunnen bereiken via het internet. De eindklanten richten zich al op IT, maar aan de OT kant valt er nog veel te winnen. Zowel machinebouwer als eindklant moeten weten hoe OT beveiliging is geregeld in een connectiviteitsoplossing, want daar vinden veel incidenten plaats.

Denk aan Shodan, bekend als een populaire zoekmachine voor hackers, die wordt gebruikt om blootgestelde kwetsbare IoT apparaten te ontdekken, zoals routers, SCADA en smart home installaties. Door gebruik te maken van massa's van deze onbeschermde apparaten kunnen aanvallers grootschalige aanvallen uitvoeren, zoals spamming, phishing en DDoS, wat een enorme impact kan hebben op jou en je klant.

Incidenten met cyberaanvallen nemen dramatisch toe (bron: Sectigo Store)Incidenten met cyberaanvallen nemen dramatisch toe (bron: Sectigo Store)

Isolatie van zowel IT als OT is een must. Aan de OT kant moet je machines afzonderlijk van elkaar isoleren, zodat de ene machine de andere niet beïnvloedt in geval van besmetting en om haperingen in het proces door vreemde netwerkactiviteit te voorkomen. De machinebouwer kan dit beïnvloeden door de toegang tot de OT kant van de fabriek voor de buitenwereld te blokkeren met een firewall.
 

De voordelen en risico's van connectiviteit tegen elkaar afwegen

Dit alles kan je aan het denken zetten: "Is het wel de moeite waard om een connectiviteitsoplossing te laten installeren?". Een goede vraag die je jezelf telkens moet stellen als je een machine met het internet verbindt. Wegen de risico's op tegen de voordelen, en heb je alle nodige voorzorgsmaatregelen genomen om het risico zoveel mogelijk te beperken? 

Elk extra aangesloten systeem verhoogt het risico op inbreuk op de beveiliging. Om te bepalen of dit het geval is, kun je de risico's inschatten door de kansen tegen de impact af te wegen. Door uit te leggen waarom de voordelen opwegen tegen de risico's, kun je de klant ervan overtuigen waarom connectiviteit voor hem toegevoegde waarde heeft.

Maak een risico-afweging tussen de impact en kans om te bepalen hoe groot het risico isMaak een risico-afweging tussen de impact en kans om te bepalen hoe groot het risico is

Als de COVID-pandemie ons iets heeft geleerd, dan is het wel de immense waarde van toegang op afstand tot en controle over je apparatuur. Jij bent degene met kennis over de machine en mogelijkheden om problemen op te lossen. Door je machines op het internet aan te sluiten voeg je waarde toe door toegang op afstand tot je machines en de data ervan te gebruiken om aan de servicebehoeften van je klant te voldoen. 

Je hoeft alleen maar te weten wat de zwakke punten zijn in je oplossing zodat je de risico´s zoveel mogelijk kunt beperken. Beperk de risico's met de grootste kans of impact en blijf verbeteren, want er duiken regelmatig nieuwe risico's op.
 

Risico's beperken door te voldoen aan beveiligingsnormen

Beveiligingsnormen zijn krachtige hulpmiddelen om ervoor te zorgen dat je beveiliging, en die van gebruikte tools, goed geregeld zijn. IEC 62443 en ISO 27001 zijn uitgebreide industrienormen, gemaakt om bedrijven te helpen bij het ontwerpen van veilige oplossingen. De IEC 62443 norm beschrijft eisen voor het maken van veilige machinecomponenten en hoe je als machinebouwer moet zorgen voor veilige verbindingen. Als je met een clouddienst werkt, is de ISO 27001 een sterk aanbevolen certificaat om na te streven, omdat het een sterke beveiligingsfocus op de vertrouwelijkheid van data garandeert.

Je kunt ervoor kiezen om ernaar te streven om zelf aan deze normen te voldoen, maar je zou op zijn minst moeten werken met apparatuur en bedrijven die al aan deze normen voldoen.

 

Verzeker je klanten van een veilige oplossing

Het is duidelijk geworden dat een sterke samenwerking tussen machinebouwer en eindklant van groot belang is op het gebied van cyber security. Bescherm zowel je klanten als jezelf door te investeren in kennis over cybersecurity, maar focus ook sterk op het hebben van de juiste (connectiviteits)partners die je op weg helpen.

Een goed georganiseerd IIoT platform kan veel beveiligings zorgen wegnemen. Bij IXON hebben we beveiliging in onze basis ingebouwd en een framework ontwikkeld om machinebouwers te helpen. Cybersecurity is top of mind in de hele organisatie. Alles is geregeld:

  • Geavanceerd gebruikersbeheersysteem;
  • Twee factor authenticatie;
  • Sterke encryptie, back-ups en robuuste firewalls;
  • Toegewijde beveiligingsmedewerker;
  • Uitgebreid beheersysteem voor informatiebeveiliging; 
  • ISO 27001 en IEC 62443 gecertificeerd;
  • Interne beveiligingstraining.

Een veilige verbinding van machine naar cloudEen veilige verbinding van machine naar cloud

Profiteer van alles wat een connectiviteitsoplossing te bieden heeft, zoals geoptimaliseerde machines, hogere uptime, betere service en waardevolle inzichten, zonder dat je je zorgen hoeft te maken over de beveiliging ervan.  Aangezien het jouw verantwoordelijkheid is om te zorgen voor een veilige connectiviteitsoplossing en te voorkomen dat aangesloten systemen en het OT netwerk schade oplopen, valt hiermee al een last van je schouders. Het enige wat je nog hoeft te doen, is je machine voorzien van veilige componenten, de gebruikerstoegang en -rechten beheren en kennis en informatie over de beveiliging van je machine delen met klanten.

In onze security white paper lees je welke beveiligingsmaatregelen IXON heeft getroffen om machinebouwers en hun klanten te ondersteunen. Heb je hulp nodig bij het realiseren van je beveiliging? Neem contact op met onze security officer om te bespreken hoe je ervoor kunt zorgen dat je machines veilig zijn.

Plan een gesprek

 

Gerelateerde topics

Posted: 15-11-2021 10:23:22 by Sharon Scheepers | with 0 comments