Niemand ontkomt aan netwerkbeveiliging

Beveiliging van computernetwerken staat op de agenda in de directiekamers, zo weet Fred Weggelaar, network engineer en trainer bij Hirschmann Automation and Control. "Ethernet rukt ontegenzeggelijk op en bedrijven moeten beleid ontwikkelen om hun netwerken te beveiligen." Ruud Welschen van Siemens wijst erop hoe lastig het is ‘fabriek' en ‘kantoor' te versmelten. Netwerkbeveiliging komt uitgebreid aan bod op de vakbeurs Industrie & ICT, die tegelijk met Aandrijftechniek & Factory Automation plaatsvindt.

Binnen de procesindustrie zijn mensen gewend aan relaisbesturing, apparatuur met fabriekseigen communicatieprotocollen en analoge signalering. Daar is veelal geen speld tussen te krijgen. Sinds de millenniumwisseling is evenwel de digitale aansturing in de procesindustrie aan een niet te stuiten opmars begonnen. Volgens Fred Weggelaar van Hirschmann is de markt van industrial ethernet voor railgebonden producten in 2009 naar verwachting wereldwijd een kleine miljard dollar groot. Hij baseert zich hierbij op onderzoek van de ARC Advisory Group. "En die groei gaat zich versterkt voortzetten nu industrial ethernet ook doordringt tot het field level."?

Deze ontwikkeling heeft, soms ongemerkt, een aantal gevolgen. Weggelaar: "Ondernemingen zijn vaak gedwongen een deel van hun procesbesturing uit te besteden aan een dienstverlener, omdat ze zelf niet over voldoende deskundig personeel beschikken. Heel vaak worden er dan helemaal geen afspraken gemaakt over de te gebruiken communicatieprotocollen. Dan blijkt de dienstverlener te werken met industrial ethernet, terwijl de onderneming nog helemaal geen beleid heeft ontwikkeld op de beveiliging van het computernetwerk. Het netwerk groeit dan onderhuids. Waar vroeger specifieke veldbussen werden gebruikt voor communicatie, blijken die ineens niet meer te werken, omdat (een deel van) het netwerk ethernet praat."

?Een andere ongewenste ontwikkeling is dat mensen denken een ethernet-switch bij de winkel om de hoek te kunnen halen om in het netwerk op te nemen. Dat zijn evenwel schakelkasten die in een kantooromgeving thuishoren en niet voldoen aan de veel strengere eisen die gelden voor een industriële omgeving. Industrieel ethernet-producten zijn beschermd tegen factoren als warmte, vibratie, EMC, stof en dergelijke.

Basisprincipes?

Wat te doen? Volgens Weggelaar vereist het realiseren van een beveiligd netwerk een planmatige aanpak. Daarbij gelden volgens hem vier basisprincipes. "De eerste is dat je een beleidsplan nodig hebt. Je moet met elkaar bespreken wie toegang heeft tot welke onderdelen van het netwerk; wie toegang mag hebben tot welke gegevens en wie die gegevens mag manipuleren. Je moet ook afspreken wie bepaalde apparatuur mag configureren. Dat beleidsplan moet op managementniveau worden vastgesteld om het ook op te nemen in het kwaliteitssysteem."

?Vervolgens moet je de netwerkarchitectuur definiëren. Als eenmaal de beleidslijnen vaststaan, moet nog op fysiek vlak worden bepaald wie de serverruimte in mag en op technisch vlak moet worden bepaald welke netwerkscheidingen er zijn, welke subnetten of virtuele netwerken.?Voorlichting noemt Weggelaar als derde principe. "Het is noodzakelijk goede voorlichtingssessies te houden voor alle medewerkers om ze te wijzen op de risico's die kleven aan het gebruik van USB-sticks, bezoeker-pc's en dergelijke; én om ze de beleidsregels uit te leggen."?Tenslotte moet er een controlesysteem worden ingericht om continue na te gaan of de beleidslijnen worden nageleefd. "Vertrouwen is goed, controle is beter", aldus Weggelaar.

Nieuwe standaard

Pieter van der Klooster, voorzitter van ISA Nederland, legt uit dat er voor de beveiliging van de kantoor- en procesautomatisering een nieuwe standaard in de maak is: ISA 99. Deze norm voor cyber security is sinds enkele jaren in ontwikkeling bij ISA de Amerikaanse Instrumentation, Systems and Automation Society. Het eerste deel (met de terminologie) is in oktober 2007 goedgekeurd. De drie andere delen volgen snel. Ze gaan over het opstellen van een cyber security plan, de uitvoering van dat plan en de eisen waaraan de hardware en software moeten voldoen.?Van der Klooster: "Een productieafdeling moet zich meer bewust zijn van de gevaren van hackers, virusbesmetting en soortgelijke zaken. IT moet rekening gaan houden met de specifieke eisen die de beveiliging van de productieautomatisering stelt."?Volgens Van de Klooster begint in Nederland  de ISA 99-standaard onder de bedrijven te leven. Vooral DCS-leveranciers, investeren er veel tijd en geld in. Maar bij de productiebedrijven gebeurt nog veel te weinig.

Risicomanagement?

Zelfs bij een goede bereidheid tot samenwerking tussen industriële en bedrijfsautomatisering valt het niet mee elkaars jargon te begrijpen en het systeemgedrag van elkaar in te zien, waarschuwt Ruud Welschen van Siemens Industry. Hij pleit voor bewustwording van beide partijen om tot elkaar te komen, waarbij ISA-99 als hulpmiddel is in te zetten. "Voorts is risicomanagement de enige oplossing om als bedrijf in kaart te krijgen waar de zwakke plekken zitten om daar vervolgens maatregelen voor te treffen."? Welschen vertelt van de verschillende snelheden in beide bedrijfsonderdelen: dure systemen in de fabriek die langer meegaan, goedkopere systemen op kantoor die veel korter meegaan. "Wij hebben verschillende oplossingen gemaakt om die verschillen op een veilige manier te overbruggen."?

Jan Dekker is accountmanager bij Raster IA BV. Hij ziet drie veiligheidsproblemen. In de eerste plaats zijn er steeds meer koppelingen tussen de zogenoemde kantoorkant van een bedrijf en de industriekant. Systemen zijn geschakeld. Remote maintenance en remote monitoring zijn een andere vorm van koppeling. Nu was de industriële zijde altijd minder beveiligd, aangezien de noodzaak er niet was. Ten tweede is ethernet de standaard geworden binnen de volledige automatisering. Meer standaardisatie is goed, maar dat betekent ook dat de beveiliging lastiger wordt. Er hoeft immers nog maar een systeem 'gekraakt' te worden.?Ten derde is er de toename van Windows binnen de industriële automatisering. Niet dat het besturingssysteem van Microsoft persé slechter beveiligd is dan andere OS'en. Als marktleider heb je meer last van cybercrime.

?"Er is helaas te weinig aandacht binnen de industrie voor cybercrime", zegt Dekker. "Er zijn standaard IT-beveiligingen, zoals firewalls, VPN, encryptie en virusscanners. De industriekant werkt vaak volcontinu, updates zijn niet gewenst of introduceren storingen. Redundantie, het dubbel aanleggen van een netwerk en PC's, geeft dan een mogelijkheid deel voor deel up-to-date te houden. Maar het nadeel is dat er wel beveiligingsincidenten zijn, maar dat er niet over wordt gecommuniceerd binnen de industrie." ?Dekker zegt dat bedrijven liever niet de vuile was buiten hangen.

Zo geeft hij een waargebeurd voorbeeld van een stagiair bij een bedrijf die een in een netwerk aanwezige printer updatete met software. Correcte software, maar er bleek een robot in te zitten met dat fout gekozen IP adres. De fabriek heeft daardoor uren platgelegen.?"Zulke incidenten publiceer je niet, maar dit zijn wel tachtig procent van de problemen, onbedoeld en van-binnen-uit. Om dit te voorkomen, moeten industriële bedrijven vaker en vooral regelmatig een risicoanalyse maken. Weet wat de kwetsbaarheid van je gehele automatisering is, en kies de juiste oplossingen."