IT-security in de industrie: gezond verstand en de juiste oplossingen

Katern voor scholing, her- en bijscholing

69

Een uitgave van Intech Elektro en ICT en otib januari 2013

inHoud 1

IT-security in de ­industrie: gezond ­verstand en de juiste oplossingen

5

Otib-nieuws

5

Cursussen

5

Fotowedstrijd

IT-security in de industrie: gezond verstand en de juiste oplossingen ‘it-security in de industrie’ krijgt steeds meer aandacht vanwege het toenemende gebruik van Ethernet in deze sector. Een belangrijk aspect daarbij is de verhoging van het bewustzijn wat betreft de gevaren én het antwoord op de vraag waarom de oplossingen vanuit de wereld van kantoorautomatisering niet in de industrie voldoen. En dan natuurlijk de hamvraag: hoe moeten we binnen de industrie wél beveiligen? Tekst: ing. Marjolein de Wit - Blok Fotografie: Industrie Nog geen twintig jaar geleden werden producten voor het overgrote deel ontwikkeld met het oog op een lange levensduur. Inmiddels is zowel de consument als het bedrijfsleven gewend geraakt aan het relatief snel inwisselen van producten. Bijvoorbeeld omdat deze nog sneller, zuiniger, mooier of efficiënter zijn. Deze trend heeft belangrijke consequenties voor de maakindustrie. Om binnen de gewenste termijn een nieuw model op de markt te kunnen zetten, is het van belang dat de ontwikkelings- en testfase sneller worden doorlopen én dat de nieuwe modellen vervolgens snel en efficiënt kunnen worden geproduceerd. Kortom: er moet efficiënter worden gewerkt.

Transparante communicatie

Om efficiënter te kunnen werken, is een transparante communicatie van groot belang. Deze communicatie loopt doorgaans via de zogeheten automatiseringspiramide (figuur 1). Hij start bovenaan met de kantoorautomatisering (engineering, inkoop, verkoop) en loopt door naar de fabriek waar de eerste laag een overkoepelend besturingssysteem betreft (plc’s) en de onderste laag de afzonderlijke componenten, zoals frequentieregelaars. Vaak is ook nog een Mes-laag (manufacturing execution system) aanwezig tussen kantoor-it (erp – enterprise resource planning) en control netwerk (plc’s). Om de communicatie zo transparant mogelijk te maken is het van belang dat de systemen op de werkvloer met het kantoor kunnen communiceren. Dit is lastig, omdat de kantoorom-

1. De automatiseringspiramide start bovenaan met twee lagen kantoorautoma-

MIS

bedrijfsniv

ERP

managementniv

MES

supervisienie

tisering en loopt door naar de fabriek waar de eerste laag een overkoepelend besturingssysteem betreft en de onderste laag de afzonderlijke componen-

controleniv

Scada/PLC

ten, zoals frequentieregelaars. Vaak is ook nog een mes-laag

aanwezig tussen

sensors, actuatoren

veldniv

professionele e

kantoor-it (erp) en control netwerk (plc’s). 69 1

IE01 Impuls 69.indd 1

08-01-13 10:25

it-security in de industrie: gezond verstand en de juiste oplossingen

kunnen beslissen of ze fysiek langs moeten gaan of niet. Zo ja, dan is waarschijnlijk al duidelijk welke gereedschappen (hard- en software) hij mee moet nemen.’

Open verbinding

2. Integratie van kantoor en productievloer zorgt voor een efficiënte productie.

Met de integratie van kantoorautomatisering en productievloer kan er efficiënter worden geproduceerd. Er is echter wel ‘een maar’: de fabriekshal is daarmee plotseling óók met de buitenwereld gekoppeld. En zonder de juiste maatregelen heeft deze buitenwereld vervolgens ook toegang tot de productievloer. Dit betekent enerzijds dat de buitenwereld vrij spel heeft voor het achterlaten van virussen, trojan horses en wormen, anderzijds kan de buitenwereld informatie verzamelen rondom een bepaald netwerk, bijvoorbeeld ip-adressen, openstaande tcp/udp-poorten, besturingssystemen en actieve servers. De criminele activiteiten kunnen hierbij gericht zijn tegen personen, eigendommen en organisaties of tegen elektronische communicatienetwerken en informatiesystemen. Een veel gebruikte methode is een zogeheten Dos Attacks. Dos staat voor ‘denial of service’ en is een situatie waarin een computersysteem niet langer in staat is te functioneren. Bijvoorbeeld door netwerkvervuiling (hierbij worden grote hoeveelheden data op het netwerk gegenereerd), Syn Flood (hierbij wordt een groot aantal connecties aangevraagd bij een server) of het versturen van random data naar specifieke poorten.

De praktijk 3. Niet alleen kantoren, maar ook productielocaties en moeten worden beschermd tegen ‘aanvallen’ van buitenaf. Het gevaar is groter dan menig bedrijf vermoedt.

geving van oudsher met systemen werkt die grotendeels zijn gebaseerd op Ethernet (open systeem), en de werkvloer vooral met gesloten bussystemen. Om dit te verhelpen is er de afgelopen jaren een trend op gang gekomen waarbij Ethernet terrein wint in de industriële omgeving. Inmiddels is Ethernet al doorgedrongen tot de derde laag van de automatiseringspiramide (plc-niveau), maar nog lang niet overal tot op het onderste niveau. Volgens Harm Geurink, productmanager automation systems bij Phoenix Contact, is dit wel het niveau waar de hele industrie naartoe moet.

‘Wij zijn inmiddels zover dat praktisch al onze apparaten op het vierde niveau via Ethernet kunnen communiceren. De praktijk leert dat plc’s vaak wel zijn voorzien van een Ethernet-interface, maar geen Ethernetprotocollen, zoals tcp/ip, snmp, rstp, ftp of lldp ondersteunen. Dit is echter wel noodzakelijk om relevante informatie te kunnen doorsturen naar bijvoorbeeld de onderhoudsafdeling, de afdeling planning of de kwaliteitsmanager. Vooral monteurs profiteren van het feit dat ze hiermee op afstand kunnen inloggen, eventuele storingen kunnen bekijken en op basis van deze gegevens

Veel bedrijven zien nog altijd niet het probleem. Vaak zijn ze ervan overtuigd dat de kantoorautomatisering – die zich op communicatieniveau tussen de fabriekshal en de buitenwereld bevindt – voldoende bescherming biedt tegen deze buitenwereld. Daarnaast denken ze dat de buitenwereld er geen enkel belang in heeft in te loggen op hun productiemachine en hier gegevens over productiesnelheden of andere instellingen te bekijken of te manipuleren. Op zich zijn het geen onlogische gedachten, maar de praktijk leert anders. Enkele willekeurige koppen uit de krant geven dit aan: ‘Hackers stelen 114.000 mailadressen iPad-gebruikers via at&t’, ‘Beleg-

69 2

IE01 Impuls 69.indd 2

08-01-13 10:25

it-security in de industrie: gezond verstand en de juiste oplossingen

gingsrekeningen gekraakt voor koersmanipulatie’ of ‘Slammer-worm zorgt voor netwerkcrash kerncentrale Ohio’. De Europese commissie waarschuwde al in 2007 voor een toename van ‘cybercrime’ en gaf hierbij aan dat de internationale georganiseerde misdaad via internet aanvallen initieert op bedrijven voor financieel gewin, chantage of terroristische aanslagen. Natuurlijk zijn de meeste productiebedrijven niet van die grootte of importantie, zoals een kerncentrale, energiecentrale of drinkwaterbedrijf, dat er met cybercrime bepaalde zaken kunnen worden afgedwongen, maar er zijn legio verhalen van ontslagen medewerkers, concurrenten of ‘grappenmakers’ die illegaal op het netwerk van een productiebedrijf terechtkomen en hier de nodige schade aanrichten. Wat de bescherming van de kantoorautomatisering betreft: die houdt zeker indringers tegen die via het kantoor de productieomgeving willen bereiken. Een ander verhaal wordt het wanneer de servicemonteur van een leverancier met zijn laptop inlogt op het netwerk om bepaalde storingen uit te lezen. Is zijn laptop wel vrij van virussen? En hoe zit het met de usb-stick die een medewerker heeft gevonden of een usb-stick waarop zijn vakantiefoto’s heeft opgeslagen? Een ander aspect zijn de Scada-systemen. Deze systemen hebben in sommige gevallen een continue open verbinding met de buitenwereld en worden om die reden nogal eens gebruikt voor het uittesten van een virus of worm. Een dergelijke ‘aanval’ heeft dan niets met het betreffende bedrijf te maken, maar deze ervaart uiteindelijk wel de nadelen.

4. Een kleine communicatiestoring kan de productie uren stilleggen.

De gevaren zitten in kleine hoekjes, en wanneer virussen zich op het netwerk van een productielocatie nestelen, is het niet ondenkbaar dat volledige processen stil komen te liggen. Eén van de verantwoordelijke taken van een installateur om klanten hierop te wijzen. Kortom: wie streeft naar efficiënte automatiseringsoplossingen, doet er verstandig aan om een transparante communicatie te baseren op gecontroleerde openheid.

Beveiligen

Bijzonder genoeg ligt de wijze van beveiligen lang niet alléén in technische oplossingen. Sterker nog, zoals ook bij de beveiliging van machines zal er in eerste instantie zoveel mogelijk een veilige situatie moeten

worden gecreëerd. Dus: componenten die geen netwerkverbinding nodig hebben ook niet op het netwerk aansluiten en kasten met netwerkcomponenten fysiek afsluiten. Alle gevaren die daarna over blijven, moeten vervolgens eerst door alle betrokkenen worden erkend. Bewustwording is een sleutelwoord als het ‘security’ betreft. Want wie begrijpt wat virussen kunnen aanrichten in een productieproces, zal nooit zomaar een usb-stick insteken en zal ook niet zomaar iemand toegang verlenen tot het netwerk zonder eerst te controleren of dit veilig is. Tevens moeten er procedures worden opgesteld wat betreft beveiliging en pas dáárna komen de technische oplossingen in beeld. De verschillende beveiligingstechnieken die beschikbaar zijn voor kantoorautomatise-

mGuard

Een voorbeeld van een industriële firewall/router-oplossing is mGuard. Hiermee zijn decentraal verdeelde automatiseringssystemen individueel te beveiligen. Een belangrijke eigenschap aangezien een centrale firewall – die het complete netwerk beveiligt – geen bescherming biedt tegen intern uitgevoerde schadelijke handelingen. De modules van mGuard zijn speciaal ontwikkeld voor industriële omgevingen en worden als zelfstandig systeem in het netwerk geïntegreerd. Eén van de kenmerken van deze modules is het feit dat zij de mogelijkheid bieden verschillende subnetten aan elkaar te koppelen waarbij op alle subnetten eenzelfde ip-adressering wordt gehanteerd (1:1 Nat). Daarbij hoeven geen bijkomende routes in het bedrijfsnetwerk te worden gedefinieerd. Verder is deze component via de ‘stealth mode’ (zonder wijzigingen in de ip-adressen) achteraf ook in te zetten in een bestaand netwerk. Tevens voorziet de module in een unieke techniek om periodiek te controleren of zich in de verschillende automatiseringscomponenten wijzigingen hebben voorgedaan.

69 3

IE01 Impuls 69.indd 3

08-01-13 10:25

it-security in de industrie: gezond verstand en de juiste oplossingen

5. Bescherming van fabrieksautomatisering begint bij het afsluiten van kasten en het beveiligen van kabelverbindingen en gaat dan over naar it-oplossingen, zoals firewalls en routers.

ring zijn doorgaans niet te gebruiken voor het beveiligen van een productienetwerk. Dit heeft te maken met het feit dat er belangrijke verschillen zijn tussen beide domeinen. Zo staat bij kantoorautomatisering de betrouwbaarheid van de gegevens voorop, gevolgd door integriteit en beschikbaarheid. In de industriële wereld is het juist andersom: een machine moet te allen tijde beschikbaar zijn en daarna volgt de rest. Daarbij zijn de eisen die aan het netwerk worden gesteld duidelijk verschillend. Binnen de productieautomatisering is realtime communicatie en een snelle respons van groot belang, terwijl de ‘throughput’ vaak lager mag zijn. Bij het kantoor is juist de responstijd van minder groot belang. Ook over de betrouwbaarheid van het netwerk wordt anders gedacht. Daar waar in een kantooromgeving veel problemen worden opgelost door een systeem te herstarten en wijzigingen vrijwel ongepland kunnen gebeuren, is dit bij productieautomatisering niet denkbaar vanwege het continue karakter van de processen. Bovendien gaan mensen er in de industrie vanuit dat alles is getest vóór implementatie, en dat er geen zogeheten bèta-testen ter plaatse nodig zijn. Moet er wel wat worden aangepast, dan is er bij fabrieksautomatisering een formele certificatie verplicht. Tot slot zijn in de verschil-

lende automatiseringsnetwerken andere ideeën over kritische reactietijden op menselijke interventies: het bedienen van een noodstop mag bijvoorbeeld niet worden belemmerd door wachtwoordbeveiligingen. Niet alleen zijn de werelden verschillend, er zijn nog meer redenen waarom de veelal softwaregebaseerde oplossingen uit de kantoorautomatiseringstechniek, zoals firewalls en antivirussoftware, niet geschikt zijn voor productieautomatisering. Deze software is bijvoorbeeld niet toe te passen op de (leverancierseigen) besturingssystemen van industriële controllers, zij functioneert niet op systemen die oudere technieken gebruiken en bovendien is er geen ondersteuning meer voor oudere softwarematige beveiligingen (denk aan een robot nog altijd perfect werkt op basis van Windows 95).

Oplossingen

Wie de beveiliging systematisch wil aanpakken (aan te bevelen) kan gebruikmaken van het stappenplan in isa 99. Hierin staan bijvoorbeeld richtlijnen voor het uitvoeren van een risico-inventarisatie, het opstellen van een ‘cyber security’-beleid en het uitvoeren ervan. Hierbij gaat het om bescherming tegen sabotage en aanvallen door op verschillende niveaus binnen de automatiseringspiramide te beveiligen

(‘defense-in-depth’) en/of door mogelijke aanvallers het leven zuur te maken. Een eerste logische stap wat betreft de technische oplossingen (na de bewustwordingsfase) zijn mechanische toegangsbeveiligingen: zorg, via speciale elementen, dat kabels niet zomaar zijn te ontkoppelen en dat ongebruikte interfaces zijn afgedekt. Een logisch begin aangezien menselijke fouten een eerste bron zijn van onveilige situaties. Een tweede stap is toegangsbeveiliging met zogenoemde managed switches. Dergelijke switches voegen uitgebreide monitorings-, diagnose- en beveiligingsmogelijkheden aan het netwerk toe. Een derde stap biedt maximale beveiliging voor de industriële sector en betreft de toepassing van speciale industriële routers en firewalls om productiecellen afzonderlijk te kunnen beveiligen. Deze firewalls zijn te beschouwen als combinaties van hard- en software waarmee het dataverkeer tussen de deelnemers van één of meer netwerken is te controleren. De softwarefirewalls worden als aparte software op een pc geïnstalleerd, de hardware-firewalls zijn aparte apparaten. Daarbij is ook een onderscheid te maken in de werking. De ene soort richt zich blindelings op ip-adressen en poortnummers (stateless pakketfilter), terwijl de ander kijkt naar de opvolging van verbindingen (‘stateful inspection firewall’). Hiervoor zijn verschillende industriële oplossingen op de markt, zoals Byers Tofino, Emerson delta V firewall, Hirschmann Eagle mGuard, Phoenix Contact mGuard, Siemens Scalance S en Weidmüller ie.

VPN

Om een veilige communicatie tussen twee eindpunten mogelijk te maken, bijvoorbeeld de machineleverancier en de besturing van de machine, wordt veelal gebruikgemaakt van een ‘virtual private network’ (vpn). Door gebruik te maken van onder andere encryptie, authenticatie en ‘integrity control’ (waarbij wordt gecontroleerd of de data tijdens verzending niet is gewijzigd) is met vpn een beveiligde communicatie mogelijk over een publieke en onbeveiligde netwerkinfrastructuur, zoals internet.

69 4

IE01 Impuls 69.indd 4

08-01-13 10:25

cursussen

Cursussen

IT-beveiliging

Logistiek

Security en Internet

Logistiek medewerker

Wie: Magazijnmedewerkers, logistiek medewerkers, warehouse-medewerkers. Informatie: www.edunoord.nl.

Basisopleiding logistiek en kwaliteit

Wie: Iedereen. Informatie: www.doc.nl, www.isbw.nl/balk.

Inkoop, beheer en transport van installatiemateriaal Wie: Inkopers, logistiek medewerkers, magazijnbeheerders. Informatie: www.cursusloket.nl.

fotowedstrijd

Wie: Personeel it-beveiliging. Informatie: www.mijnkenteq.nl.

CCNA Nederlandstalige praktijktraining

Wie: Systeembeheerders, netwerkbeheerders. Informatie: www.dirksen.nl.

CCDA

Wie: it-medewerkers. Informatie: www.2sides.nl.

Cursus introductie informatiebeveiliging

Wie: Iedereen die de beginselen van de informatiebeveiliging en risicobeheersing wil begrijpen. Informatie: www.cibit.nl.

Certified information security manager (isaca)

Wie: Personeel IT-beveiliging, managers, systeembeheerders. Informatie: www.icttrainingen.nl.

Masterclass cloudcomputing

Wie: Netwerk- en telecom-professionals. Informatie: www.dirksen.nl.

Wie: Systeemontwikkelaars, systeembeheerders, informatiemanagers, projectmanagers. Informatie: www.ises.nl.

IPv6 in gebruik

Masterclass mobile computing

Implementatie IPv6

Wie: Installateurs. Informatie: www.dirksen.nl.

Wie: Informatiemanagers, it-managers. Informatie: www.ises.nl.

Fotowedstrijd ‘Zo moet het niet’ Onder het motto ‘Zo moet het niet’ zoekt de redactie van Intech Elektro en ICT naar duidelijke voorbeelden van slecht of foutief uitgevoerde installaties. Inzenders van wie de foto’s worden geplaatst winnen een Isso-handboek ter waarde van 245 euro. De foto’s (van goede kwaliteit), vergezeld van een korte beschrijving en naam en adres van de inzender, kunnen – o.v.v ‘Zo moet het niet’ – worden gemaild naar [email protected], of per post naar Intech Elektro en ict, t.a.v. redactie, postbus 188, 2700 AD Zoetermeer.

Prijswinnaar van de maand

Deze maand gaat het Isso-handboek naar Hans Smits van Smits Elektro Installatie in Best.

Eind vorig jaar kreeg hij een telefoontje over het vernieuwen van een zekeringenkast. De klant vertelde erbij dat hij de voorbereidingen alvast zelf had gedaan. ‘Zeker niet de gebruikelijke gang van zaken, maar je gaat er dan toch van uit dat meneer weet waar hij mee bezig is. Nu had hij ons nodig voor de ‘finishing touch’. Met zes groepen was de man tevreden. Enkele dagen later waren we ter plaatsen om de meterkast te vernieuwen. Wat we daar aantroffen…!’ ‘Om te beginnen ontbrak de zekeringenkast. Waar deze was gebleven, geen idee. Daarbij kwam ook nog eens dat de leidingen niet meer waren geaard.’ De klant was zo behulpzaam geweest om de hoofdzekeringen en Kwh-meter zelf al vast los te halen zodat hij een achterwand kon bevestigen. Niet ‘echt’ de juiste werkwijze. Smits: ‘We hebben een meterkast geplaatst en de hoofdzekeringen eruit gehaald. Tot slot hebben we contact gehad met de kabelleverancier. Deze is langs geweest voor een controle en heeft de kast gezekerd.’ Het Isso-handboek is inmiddels onderweg. Namens de redactie: van harte gefeliciteerd.

Kijk voor meer foto’s van slecht uitgevoerde installaties op www.intechei.nl, ‘Zo moet het niet’.

69 5

IE01 Impuls 69.indd 5

08-01-13 10:25