When IT meets OT … safety first

AI, IIoT, OEE, OPC-UA, MQTT … Wie zich wil verdiepen in Industrie 4.0 wordt met de nodige afkortingen om de oren geslagen. De twee belangrijkste? Die staan misschien zelfs nog niet in dat rijtje. Want wat we met Industrie 4.0 nu echt willen bewerkstellingen, één geconnecteerde fabriek, draait helemaal om het verbinden van informatietechnologie (IT) met besturingstechnologie (OT). Pas dan kan data vrij gaan stromen tussen processen om die beoogde winst in efficiëntie, kwaliteit, productiviteit … te realiseren. Met één groot aandachtspunt: cyberveiligheid. De NIS 2 wetgeving verplicht productiebedrijven immers om zich voldoende te wapenen. En dat vraagt om experten met kennis van zaken van beide werelden.

In een IT omgeving draait alles al jaren om cyberveiligheid. Het gebruik van firewalls, antivirussoftware, encryptie … timmert de boel stevig dicht, zodat indringers minder kans krijgen. Kost het daarom een seconde langer vooraleer je die mail in je inbox hebt, geen haan die ernaar kraait. Copy paste naar de productieomgeving? Helaas niet. De continuïteit van de productie staat in deze omgeving voorop. Daar moet communicatie net in real-time verlopen, maar dat brengt net meer cyberrisico’s met zich mee. Hoe moet je er in godsnaam aan beginnen om die twee werelden met elkaar te verzoenen? “Vanuit de hardware”, opent Marnix Snijers, IT netwerkspecialist bij APS, dochterbedrijf van ATS Groep. “We bouwen al jaren de netwerken om al die automatiseringsprocessen mogelijk te maken, diep in de productie. Samen met de klant kijken we welke communicatie hij wil en wat er nodig is om die veilig op te zetten, van eenvoudige tot complexe netwerken, van kantoor tot de productie. Altijd met behoud van de nodige scheidingen tussen netwerken.”

Kennis van automatiseringslaag nodig

De BU Automation van ATS voegt daar nog zijn kennis van automatiseringsprocessen aan toe. “Omdat het bovenal werkbaar moet blijven voor iedereen op de productievloer. Als OT uit ligt, is het wel gedaan met produceren en geld verdienen. En daarvoor heb je voldoende kennis van de automatiseringslaag nodig. Een nieuwe machine of installatie? In het verleden werd die gewoon in het netwerk bij ingeplugd, zodat ze kon communiceren met andere machines. Efficiënt, ja, cyberveilig, neen”, legt OT netwerkspecialist Sammy Van den Meersschaut uit. “Dat er nood is in de productie aan meer cyberveiligheid, daar zijn productiebedrijven zich stilaan bewust van. De verhalen die de media haalden over hoe hackers erin slaagden om bepaalde bedrijven volledig lam te leggen, tonen dat het anders moet. Dat er een scheiding moet zijn, fysiek of virtueel. Het Cyberfundamentals Framework met de NIS 2 richtlijnen zijn vandaag beschikbaar bij het Centre for Cyber Crime Belgium https://ccb.belgium.be.  Dit is een wake-up call, het wordt wet per 17 oktober 2024. Het is van moeten nu.”

NIS 2 in een notendop

Van den Meersschaut vat de belangrijkste krachtlijnen van deze richtlijn samen. “In eerste instantie moet je het verkeer en de deelnemers van je netwerk in kaart brengen. Daarna analyseer je wat dat verkeer precies inhoudt en welke acties eraan gekoppeld moeten zijn. Ten slotte heb je ook een plan nodig om, als het toch misloopt, te kunnen terugkeren naar een veilige situatie?” Een aanpak die in principe bekend is, maar waar nu (financiële) verantwoordelijkheid aan gekoppeld wordt. “De zaakvoerder van een bedrijf moet kunnen aantonen dat hij er alles aan gedaan heeft om de risico’s op een cyberaanval in te dijken. Daar wordt zelfs een cijfer op geplakt: De boetes kunnen 1,4% van de totale omzet bedragen.” Hoewel de schaalgrootte van een bedrijf bepaalt of het moet voldoen of niet, voorspelt Van den Meersschaut dat iedereen mee het bad in zal getrokken worden. “Ze zullen dezelfde compliance opleggen aan toeleveranciers en partners.”

Samenwerken

Beter terug naar Industrie 3.0 dan? “Er zijn nog veel klanten die stand-alone opereren, los van het netwerk. Maar naast de meerwaarde die het slim gebruik van data kan opleveren in je productie, wordt het ook een tendens bij machineleveranciers om meer openheid te vragen. Ze zetten hun ingenieurs liever niet zo snel meer op het vliegtuig voor herstellingen en eisen om via remote access toegang te maken. Een situatie die in cyberveiligheidstermen alle alarmbellen doet afgaan”, vertelt Automation BU manager Bert Deslee. “We zien dat de lijn tussen IT en OT steeds dunner wordt. Ze lopen nog net niet door elkaar. Maar dat wil zeggen dat de verantwoordelijke voor de productie en van de IT-afdeling zullen moeten samenwerken om tot een cyberveilige productie te komen. Elke omgeving heeft zijn eigen eisen en hardwareoplossingen. Als ATS en APS helpen we samen onze klanten een veilige architectuur opzetten voor een performante en toekomstbestendige OT-IT-omgeving.”

Segmentatie voor veilige connectiviteit

In zo een cyberveilige omgeving is het sleutelwoord segmentatie. “We moeten af van zogeheten flat networks. Het IT en OT netwerk van elkaar scheiden is een goed begin. Maar dat wil niet zeggen dat er geen communicatie tussen beide mogelijk mag zijn. Integendeel, maar het moet op een gecontroleerde, beveiligde manier gebeuren”, aldus Snijers. En dan komt net die kennis van en de IT-laag via APS en de OT-laag via ATS van pas. “We weten bijvoorbeeld hoe SCADA, MES en ERP systemen technisch met elkaar verbonden zijn, welke protocollen er in een PLC aanwezig zijn. Met andere woorden, we weten wat er nodig is voor een veilige connectiviteit”, vult Deslee aan. Hetzelfde verhaal moet dan doorgetrokken worden in de productie zelf. “Hoe meer systemen er gescheiden kunnen worden van elkaar, hoe minder impact een penetratie van buitenaf kan hebben. Switches en firewalls kunnen dan het verkeer tussen de verschillende segmenten controleren. Zo bouw je stap voor stap, laag voor laag een veiligheidsarchitectuur op”, vertelt Van den Meersschaut.

Technisch beste oplossing

De juiste hardware legt het fundament, software zorgt dan voor een cyberveilige regeling van het verkeer. Een van die producten waarmee APS en ATS werken is Claroty. Snijers: “Het brengt het netwerk in kaart, visualiseert het, zodat het ook makkelijker wordt om anomalieën en niet geautoriseerde toegang op te sporen. Om een gecentraliseerde oplossing voor remote access op te zetten. Of om updates, patches en firmware af te toetsen.” De technologie is er dus vandaag om IT en OT te verzoenen, maar alles begint met het vergroten van het bewustzijn. “Pas als de klant beseft wat één cyberaanval hem kan kosten, zal hij bereid zijn er de nodige middelen voor vrij te maken. In de OT-wereld kunnen systemen misschien wel twintig jaar blijven draaien. In IT is software na vijf jaar al gedateerd. Cyberveiligheid is ook een kwestie van bijblijven en dat vraagt om een goede partner. Techneuten die geen software of hardware proberen te verkopen, maar die mee op zoek gaan naar de technisch beste oplossing. En dit is voor elke klant uniek”, besluit Deslee met een knipoog.

Your partner in electrical installation & network infrastructure

Benieuwd wat APS voor uw bedrijf kan betekenen?