IT-security in Industrie 4.0: wat u moet weten.

Al in 2016 heeft Angela Merkel gezegd: „Data zijn de grondstof van de 21ste eeuw“. En zo is het maar net: data zijn een bron van inzicht wat betreft gaten in de markt, wensen van klanten, kansen voor het optimaliseren van bedrijfsprocessen en nog veel meer. Data worden in het tijdperk van de digitalisering steeds belangrijker, doordat bedrijven onderling in hoge mate verknoopt zijn geraakt via IT. Kenmerkend voor een Smart Factory is in dit verband dat er een combinatie van innovatieve technologieën wordt gebruikt, zoals het Internet of Things, cyber-fysieke systemen, big data en de cloud.Voor alle informatie die van mens naar machine gaat, en vice versa, worden daarbij gegevens gegenereerd, beschikbaar gemaakt, overgedragen (al dan niet draadloos) en opgeslagen. Dat betekent dat gegevensbescherming en informatiebeveiliging in Industrie 4.0 een volstrekt nieuwe betekenis krijgen. 

Maar wat voor gegevens zijn dat precies, die in bedrijven door machines worden verzameld en beveiligd moeten worden? Één voorbeeld zijn persoonsgegevens, zoals aanmeldgegevens. Bepaalde machines verzamelen deze. Dit soort gegevens is onder meer handig als een bedrijf een onderhoudshistorie wil aanleggen. Aan de hand van de aanmeldgegevens kan namelijke precies worden vastgesteld wie op welk moment aan een bepaalde machine gewerkt heeft. Daarbij moet een bedrijf er wel rekening mee houden dat persoonsgegevens onder de nieuwe Algemene verordening gegevensbescherming (AVG) vallen en dat er met deze gegevens zeer zorgvuldig moet worden omgegaan. Om aan de AVG te kunnen voldoen moet een bedrijf dus nagaan of het systemen heeft die persoonsgegevens verzamelen. Is dit het geval, dan moet worden gecontroleerd of deze gegevens wel verwerkt mogen worden en moet er zo nodig toestemming voor worden gevraagd. (Een gids van de VDMA voor de omgang met persoonsgegevens in Industrie 4.0 vindt u hier.)

Behalve persoonsgegevens verzamelen de in Industrie 4.0 gebruikte slimme machines ook nog allerlei product- en procesgegevens, die een belangrijke basis kunnen bieden voor de keuzes die bedrijven maken. Met behulp van procesgegevens kunnen bijvoorbeeld de staat en de efficiëntie van een machine nauwkeurig worden geanalyseerd – een belangrijke bron van gegevens voor onder meer proactief onderhoud! 
Maar waarom een bedrijf goed op de beveiliging van deze gegevens moet letten, leest u in de volgende paragraaf.

De cybercriminaliteit neemt toe

Zoals eerder gezegd, is er bij een sterk geautomatiseerde productie sprake van grote hoeveelheden data. Veel bedrijven vragen zich daarom af, hoe veilig hun soms uiterst gevoelige gegevens zijn wanneer deze worden uitgewisseld binnen cyber-fysieke systemen of wanneer machinegegevens worden verwerkt en opgeslagen in de cloud en daarbij in een extern datacenter terechtkomen. 

Dit zijn terechte zorgen, want informatiebeveiliging wordt als gevolg het groeiende aantal cyberaanvallen steeds meer een issue. Immers, machines die rechtstreeks met de cloud verbonden zijn vormen, in combinatie met apparaten die deel uitmaken van uiterst complexe netwerken, een doelwit voor cybercriminelen. Ook kunstmatige intelligentie en IoT-sensoren, die in de industrie worden gebruik voor het verbeteren van de automatisering en voor snellere processen, zijn in dit opzicht kwetsbaar. Ook deze worden steeds meer een doelwit voor cybercriminelen.

In een onderzoek van de Duitse telecom- en IT-brancheorganisatie Bitkom en de Duitse binnenlandse veiligheidsdienst komt de huidige situatie duidelijk naar voren: in 2015 had 51 % van de geënquêteerde bedrijven in Duitsland te maken met cyberaanvallen (diefstal van gegevens, sabotage en bedrijfsspionage) betroffen, maar in 2019 was dit al 75 %. Een doelwit dat bijzonder geliefd was bij de hackers was het Duitse midden- en kleinbedrijf. Alleen al in 2019 moesten de informatiebeveiligers van Siemens 1000 cyberaanvallen per maand afslaan. 
Informatiebeveiliging is dus een onderwerp dat door bedrijven serieus moet worden genomen. In principe bestaat er bij het verwerken van gegevens altijd een zeker restrisico. Dit risico kan echter sterk worden gereduceerd door beveiligingsprotocollen in acht te nemen of door samen te werken met betrouwbare partners die aantoonbaar over de juiste beveiligingscertificaten beschikken. 

Veiligheid van gegevens is ook machineveiligheid

Machineveiligheid was lange tijd enkel en alleen een kwestie van „safety“, met andere woorden: van klassieke arbo-veiligheid. Daarbij worden functionele en technische veiligheidsmaatregelen genomen, zoals beveiligingsinrichtingen en afschermingen, om de mens tegen de machine te beschermen. Met de komst van de Smart Factory met zijn uiterst complexe machines en robots werd het nodig om ook het aspect „security“ in de veiligheidsmaatregelen op te nemen: Informatiebeveiliging, cybersecurity en het beveiligen van besturingssystemen tegen aanvallen.

Het doel van deze „security“-maatregelen is het voorkomen, herkennen en indammen van aanvallen van hackers, spionage en productpiraterij. Waar „safety“ dus de mens tegen de machine beschermt, beschermt „security“ de machine tegen schade of aanvallen van buiten. Machineveiligheid moet in Industrie 4.0 integraal van aard zijn en hoort vandaag de dag beide aspecten van veiligheid te dekken: zowel safety als security.

De Vereniging van Duitse machine- en installatiebouwers (VDMA) beveelt aan om altijd de volgende maatregelen te nemen op het gebied van informatiebeveiliging bij machines: 

• Voer een risicoanalyse uit: bij welke componenten en informatie moet er voor beveiliging gezorgd worden? 
• Verdeel uw machines, componenten en informatie in groepen waarvoor eenzelfde mate van beveiliging nodig is onder.
• Let goed op de authenticatie en autorisatie van gebruikersaccounts. Zorg dat u de toegangsrechten beheert en wijzig regelmatig uw wachtwoorden. 
• Beperk bij draadloze communicatie het bereik en wijzig ook hierbij regelmatig uw wachtwoorden.
• Let bij de overdracht van gegevens via internet op veiligheidsnormen en serverlocaties (bij gebruik van de cloud).
• Zorg voor een uitgebreide monitoring, waarmee u de genoemde maatregelen regelmatig controleert
• Maak verder back-ups, zodat u, als een aanval succes heeft, uw gegevens kunt herstellen.
• Wijs eventueel een verantwoordelijke aan voor het plannen, opzetten en permanent controleren van een veilig netwerk.

Een volledige gids voor security in Industrie 4.0 van de VDMA vindt u hier.

KSB geeft het goede voorbeeld op het gebied van veiligheid

Hoe u zeker kunt zijn van een afdoende informatiebeveiliging laat de pomp- en afsluiterfabrikant KSB zien met onder meer KSB Guard, de digitale oplossing voor het bewaken van pompen en andere roterende machines. Deze slimme bewakingsoplossing geeft continu de op de machine gemeten gegevens door, zodat beginnende schade vroegtijdig kan worden herkend met behulp van een trendanalyse. Dankzij een cloudverbinding kunnen de meetwaarden altijd en overal via de KSB Guard-webportal of de app worden ingezien. 

Om de veiligheid van deze gegevens te waarborgen stelt KSB zeer hoge eisen, die veel verder gaan de criteria van de AVG en de adviezen van de Duitse Autoriteit voor informatiebeveiliging (BSI). 

Veiligheid begint bij KSB Guard al met het feit dat het systeem volledig autonoom werkt en niet in verbinding staat met het eigenlijke netwerk van de klant. Hierdoor is van buitenaf binnendringen in het netwerk van de klant praktisch onmogelijk. Maar ook bij het verwerken van de gegevens zelf zorgt KSB voor maximale veiligheid: zo worden alle gegevens, nadat ze door de KSB Guard-sensoreenheid zijn verzameld, door de zend- en batterij-eenheid van KSB Guard onder inachtneming van de strengste veiligheidsnormen versleuteld volgens TLS 1.2 en naar de KSB Guard-gateway doorgestuurd via het toepassingsprotocol MQTT-SN. 

TLS (Transport Layer Security) is een encryptieprotocol dat zorgt voor een veilige communicatie via computernetwerken. Door TLS 2.1 te gebruiken voor de versleuteling wordt voorkomen dat informatie tijdens de overdracht door onbevoegden kan worden opgevangen of gemanipuleerd. Concreet houdt dit in dat elke keer dat er verbinding wordt gemaakt, er een tijdelijke sleutel vastgesteld wordt die na het verbreken van de verbinding weer ongedaan word gemaakt. Zo kunnen zelfs de bezitters van de privésleutels de verbinding achteraf niet meer ontsleutelen, ook niet als ze de sleutel hebben genoteerd. Met het gebruik van TLS 2.1 voldoet KSB volledig aan de veiligheidsnorm voor encryptie die is vastgesteld door de Duitse Autoriteit voor informatiebeveiliging (BSI). 

MQTT is een netwerkprotokol voor communicatie van machine tot machine (M2M) dat ervoor zorgt dat tussen twee apparaten gegevens kunnen worden uitgewisseld. MQTT vertoont bij het verzenden van gegevens naar een bepaalde client vrijwel geen aanvalsvectoren, doordat clients de verbinding met de broker uitsluitend zelf initiëren en er geen verbindingen van buitenaf tot stand gebracht kunnen worden. Zodoende ontstaat er geen risico bij het gebruik van network address translation (NAT), iets wat bijvoorbeeld vaak wordt gedaan bij lokale netwerken.

Als de gegevens zijn versleuteld en via MQTT naar de KSB Guard-gateway zijn verzonden, dan zet deze de gegevens via het beveiligde draadloze netwerk in de KSB-cloud. Ook hierbij laat KSB als het om veiligheid gaat niets aan het toeval over en vertrouwt op een van de grootste cloudaanbieders ter wereld. Met reden: deze cloudaanbieder worden goede ervaringen opgedaan, vooral op het gebied van veiligheid. Alle gegevens van KSB Guard worden opgeslagen op Duitse servers waarvan de beveiliging voldoet aan de hoogste eisen, conform ISO 27001. Andere veiligheidseisen zijn bijvoorbeeld C5, CSA of PCI. 

Verder is de cloudaanbieder waar KSB mee samenwerkt zodanig georganiseerd dat de personeelsleden gescheiden van elkaar elk voor hun eigen specialisme worden ingezet. Dit betekent dat niemand tegelijkertijd toegang kan krijgen tot de servers, de databases of de diensten waar gegevens worden verwerkt. Tegelijk kan dit naar specialisme ingedeelde personeel zich telkens volledig bezig houden met de beveiliging en het betrouwbaar laten functioneren van één afzonderlijk stuk hard- of software. Tot slot: toegang tot de gegevens in de cloud is alleen mogelijk met persoonlijke aanmeldgegevens via https (SSL-versleuteling). Hiermee is KSB Guard een volledig betrouwbaar en veilig product! 

Conclusie

Safety en IT-security zijn essentiële voorwaarden voor de digitale transformatie. Wordt er geen rekening mee gehouden en er niet competent mee omgegaan, dan is het ook niet mogelijk om Industrie 4.0 te realiseren. Een duurzame strategie voor informatiebeveiliging is daarom onmisbaar. Met combinaties van intelligente beveiligingsoplossingen wordt uw bedrijfsinterne informatiebeveiliging verbeterd en wordt het risico van aanvallen door hackers duidelijk geminimaliseerd. KSB Guard biedt in dit verband een eenvoudige, maar uiterst veilige manier om gegevens op te slaan en mobiel beschikbaar te maken. 
 
Heeft u nog vragen? Neem gerust contact met ons op: KSB heeft een uitgebreide expertise op het gebied van digitalisering van installatiecomponenten en kan ook uw bedrijf toerusten voor Onderhoud 4.0!