/ the right development

Industriële apparatuur online:zo doet u het veilig

1 INLEIDING 3

2 SCHADE IS OP VELE TERREINEN MOGELIJK 4

3 MEEST VOORKOMENDE RISICO’S 6

4 STAPPENPLAN VOOR VEILIGE VERBONDEN APERATUUR 8

5 OPLOSSINGSRICHTINGEN 12

6 CONCLUSIE 15

Met het stappenplan kunt u risico’s identificeren en oplossingen ontwerpen.

INHOUD

2

De aansturing van industriële apparatuur is verregaand gedigitaliseerd. Dat heeft de afgelopen jaren de deuren geopend voor tal van innovatieve toepassingen, meestal gebaseerd op (online) onderlinge verbindingen: industrie 4.0 of smart industry. De nieuwe toe- passingen bieden veel voordelen om de efficiëntie, toepasbaarheid en betrouwbaarheid van industriële apparatuur te vergroten, maar brengen ook risico’s met zich mee.

• Besturing op afstand is voor veel industriële apparatuur de standaard. Het grote voordeel is dat de apparatuur vanaf één centrale plek kan worden bediend. Voorzien van bepaalde opties, kunnen dergelijke machines ook vanaf het internet worden benaderd. In het slechtste geval niet alleen door de operator, maar ook door een vijandige hacker.

• Door analyse van logbestanden wordt daarnaast het functioneren van steeds meer apparatuur bewaakt

en geoptimaliseerd. De logs bevatten waardevolle informatie over de toestand, productiviteit en werking van de apparatuur. Bedrijfsgevoelige informatie die erg interessant kan zijn voor concurrenten van zowel leverancier als gebruiker.

• Remote support en beheer van apparatuur is in opkomst. Op afstand kan bijvoorbeeld de configuratie van machines worden veranderd of uitgebreid. Maar kwaadwillenden kunnen de apparatuur via deze weg ook saboteren.

Alle dergelijke toepassingen vergroten uw kwetsbaar-heid voor gijzeling, sabotage en diefstal van gegevens. Doordacht beveiligen is noodzaak om uzelf en uw klanten te beschermen. Hoe u dat doet en waar u begint, leest u in deze whitepaper. Met ons praktische stappenplan in hoofdstuk 4 kunt u – al dan niet met onze hulp – de risico’s gestructureerd identificeren en passende oplossingen (laten) ontwerpen.

INLEIDING

3

4

Wanneer continu verbonden apparatuur veel voordelen biedt voor leveranciers en gebruikers, sneeuwen zich de risico’s die hiermee gepaard gaan dikwijls onder. Het enthousiasme voor alle nieuwe kansen en mogelijkheden zorgt er simpelweg voor dat er weinig aandacht aan wordt besteed. Ten onrechte, want de gevolgen kunnen dramatisch zijn wanneer er iets misgaat. Naast directe kosten in de vorm van schade, productieverlies en misschien zelfs losgeld, zien we dat bedrijven vaak te maken krijgen met hoge kosten om de kwetsbaarheden (tijdelijk) te verhelpen, schadeclaims, juridische gevolgen en bovenal: grote reputatieschade.

MET WELKE ACTOREN HEBT U TE MAKEN?Bedreigingen van uw systemen en industriële apparatuur kunnen uit allerlei hoeken komen en ook verschillende achtergronden hebben. Veel bedreigingen komen voort uit criminele motieven. Het doel is meestal geld verdienen: via de verkoop van geheime data aan bijvoorbeeld uw concurrenten of via de gijzeling van uw apparatuur en/of processen.

Ook actie- en pressiegroepen (soms zelfs individuele activisten) kunnen gebruikmaken van kwetsbaarheden. Zij streven naar beïnvloeding van besluitvorming of zelfs de sabotage van productie. Middelen zijn bijvoor-beeld het openbaar maken van bedrijfsinterne gegevens, bedreiging, of manipulatie en sabotage van uw apparatuur.

Toenemende aandacht is er voor statelijke actoren en individuen of organisaties die worden gesteund door (buitenlandse) overheden. Hun doelen lopen uiteen van het versterken van de eigen economie (bijvoorbeeld door uw intellectuele eigendommen te delen met een concurrent in het betreffende land), tot aan strategi-sche defensieve of aanvallende maatregelen (zoals spionage, manipulatie en sabotage van apparatuur).

Ook terroristische groeperingen kunnen een dergelijk doel nastreven. Het spreekt voor zich dat de aard van het risico en de kans dat dit zich voordoet, erg afhangen van de branche en het verzorgingsgebied waarin u actief bent.

SCHADE IS OP VELE TERREINEN MOGELIJK

Internationale rederij ligt tien dagen stil

Een aanval met zeer geavanceerde ransomware legde de internationale rederij Maersk volledig plat. Orders konden niet worden verwerkt en alleen extreem belangrijke transporten werden uitgevoerd met ‘handmatige’ administratie. De IT-afdeling van het bedrijf had tien dagen nodig om alle systemen weer veilig online te brengen en de schade bedroeg meer dan 250 miljoen dollar. Ook andere bedrijven werden getroffen. De totale schade zou rond de anderhalf miljard dollar bedragen.

Bron: WIRED / Tweakers

Omvormer zonnepanelen gehackt

Een installatie met zonnepanelen heeft vaak een omvormer die draadloos contact maakt met de wifi-router van de gebruiker voor het doorgeven van de gebruiksgegevens. De omvormers van een bepaald merk waren onvoldoende beveiligd, waardoor een hacker toegang wist te krijgen tot de digitale telefoonlijn van een gebruiker. De gebruiker ontving een rekening van meer dan € 7000 voor een lange reeks internationale telefoongesprekken die hij nooit had gevoerd.

Bron: AG Connect / Tweakers

Geldautomaat wordt jackpot

Een hacker slaagde erin om losstaande geldautomaten van bepaalde merken geld te laten uitspugen. De hack, die ‘jackpotting’ wordt genoemd, leverde een crimineel kartel waarschijnlijk enkele miljoenen op.

Bron: RTL Nieuws / Reuters

“As a service” verschuift verantwoordelijkheid naar leverancier

Steeds meer leveranciers van industriële apparatuur kijken naar bedrijfsmodellen waarbij de apparatuur wordt geleased door de gebruiker of waarbij het aantal door de apparatuur te produceren eenheden als dienst wordt afgenomen. De kosten voor de gebruiker zijn hierbij gebaseerd op online monitoring en analyse van de productie- gegevens. In dit “As a Service” of XaaS-model ligt de verantwoordelijkheid voor calamiteiten, bijvoorbeeld productieonderbrekingen, datalekken en bedrijfsspionage bijna altijd bij de leverancier van de apparatuur.

5

MEEST VOORKOMENDE RISICO’S

Aanval op netwerk vanuit onlineapparatuurOnlineapparatuur kan worden gebruikt om het netwerk van de gebruiker aan te vallen. Wanneer de apparatuur is verbonden met een cloud buiten het systeem van de gebruiker, bestaat het risico op ongeautoriseerde toegang van buitenaf. De apparatuur kan in deze situatie worden misbruikt als een zogenaamde ‘stepping stone’: een poort die toegang geeft tot het netwerk.

Diefstal van bedrijfsgevoelige informatieBedrijfsgevoelige informatie, zoals productiecijfers en -methoden en andere organisatiegegevens, kan via onlineapparatuur of via de cloud worden gestolen en/of gemanipuleerd.

Uitval van apparatuurWanneer de onlineapparatuur voor de juiste werking

afhankelijk is van een verbinding met de cloud, bestaat het risico op uitval van de apparatuur - en dus productie- onderbreking - als de verbinding met de cloudapplicatie wegvalt.

Manipulatie van apparatuurWanneer bediening op afstand is geïntegreerd in de apparatuur, kan deze bij onvoldoende beveiliging van buitenaf worden gemanipuleerd door kwaadwillenden. Dit kan ernstige gevolgen hebben.

Niet alleen kan de productie worden verstoord of onder- broken; er kunnen zelfs fysiek onveilige situaties ontstaan voor personen, bijvoorbeeld wanneer men van buitenaf controle krijgt over bewegende onderdelen van machines. Op deze manier kan mogelijk ook blijvende schade aan apparatuur worden toegebracht.

Bij industriële apparatuur zijn er vaak risico’s mogelijk voor twee partijen: voor de gebruiker van de apparatuur, maar ook voor de leverancier, aangezien de apparatuur vaak verbonden is met de netwerken van beide. De kansen en impact van de meest voorkomende risico’s moeten in ieder geval deel uitmaken van elk assessment.

Voor de gebruiker

De volgende risico’s doen zich voor in de omgeving van de gebruiker/afnemer van industriële apparatuur.

6

Aanval op apparatuur vanuit netwerk van klantVanuit het netwerk van de klant (gebruiker) kunnen online toegangsmogelijkheden van industriële apparatuur worden misbruikt om het functioneren van de apparatuur te manipuleren (insider threat).

Lekken van IP-gevoelige informatieHardware- en softwarematige componenten van apparatuur bevatten doorgaans intellectuele eigen-dommen. Wanneer de apparatuur online kan worden benaderd, bestaat het risico dat deze informatie in verkeerde handen valt.

Manipulatie van cloudapplicatiesWanneer een apparaat wordt overgenomen, kunnen de gekoppelde cloudapplicaties worden gemanipuleerd vanuit gehackte apparatuur. Dit kan ook gebeuren zonder de apparatuur over te nemen, via de internet- verbinding.

Manipulatie van afrekenmodellenWanneer de producent/leverancier werkt met een XaaS-model (dienstenmodel), is het afrekenmodel doorgaans gebaseerd op gegevens van de apparatuur die via een online verbinding worden gecommuniceerd. Deze gegevens kunnen worden gemanipuleerd.

Voor de producent / leverancier

De volgende risico’s doen zich voor in de omgeving van de producent en/of leverancier van industriële apparatuur.

7

STAPPENPLAN VOOR VEILIGE VERBONDEN APPARATUUR

Nieuwe ontwikkelingen gaan gepaard met nieuwe risico’s en elke situatie is anders. Daarom is een security- oplossing voor industriële apparatuur altijd maatwerk. Een gestructureerde en methodische benadering zorgt ervoor dat u risico’s niet over het hoofd ziet en de zaken tegelijk niet onnodig complex maakt.

Overzicht security-aspecten

Om te beginnen is het belangrijk om te bepalen welke security-aspecten een rol spelen in de context van de apparatuur. De onderstaande lijst biedt een overzicht van security-aspecten waarover moet worden nagedacht bij de ontwikkeling, de implementatie en het gebruik van onlineapparatuur.

8

Opmerkingen

Is het intellectueel eigendom voldoende beschermd (bijvoorbeeld door vastgelegde patenten) tegen inbreuk en kopiëren door concurrenten? Denk aan embedded software, namaken van machines en/of functionaliteit, misbruik van software etc.

Kan de identiteit van een apparaat met zekerheid worden vastgesteld bij remote communicatie? Van belang bij alle vormen van communicatie: support, datatransport, remote control, etc.

Kunnen gebruikers, monteurs, beheerders en supportmedewerkers met zekerheid worden geïdentificeerd voordat zij mogen interacteren met de apparatuur?

Is de ontvangen data afkomstig van een vertrouwd apparaat? Als de data via een open netwerk wordt verzonden, gebeurt dit via een beveiligde verbinding? Kunnen de integriteit en juiste afkomst van data worden vastgesteld?

Is het verbreken van de verbinding met het internet of de cloud een ‘showstopper’? Is het acceptabel dat apparatuur wordt uitgeschakeld als de onlineverbinding wegvalt? Welke maatregelen zijn hiertegen genomen?

Als de onlinecommunicatie met/door apparatuur via meerdere apparaten loopt (bijvoorbeeld gateways), hoe worden deze dan geïdentificeerd?

Een auditor heeft vaak hele specifieke toegangseisen. Hoe wordt hieraan voldaan en wat zijn hiervan de gevolgen voor de beveiliging van de apparatuur en gekoppelde software?

Krijgt de software van apparatuur automatische updates? Kan de authenticiteit van de software afdoende worden geïdentificeerd om te voorkomen dat deze door kwaadwillenden wordt gewijzigd?

Wanneer afrekening en licentiëring zijn gebaseerd op data die door de apparatuur wordt gegenereerd en online verzonden, is dit systeem dan afdoende afgeschermd tegen ongeoorloofde manipulatie van de data?

Security aspect

Intellectueel eigendom

Identificatie van apparatuur

Identificatie en autorisatie van personen

Datatransport

Auditing

Lokale software

Backofficesoftware

Software signing

Licentiëring/afrekenmodellen

9

Stappenplan risico-inventarisatie en maatregelen

Met de hiervoor genoemde security-aspecten in het achterhoofd wordt het mogelijk om een grondige risico- inventarisatie te maken en te bepalen welke maatregelen moeten worden genomen, om industriële apparatuur te beveiligen. Het is aan te bevelen om u hierbij te laten ondersteunen door een partner, die expertise in huis heeft op het vlak van beveiliging en op het vlak van embedded software en hardware.

1. BRENG DE OMGEVING IN KAARTBekijk het overzicht met security-aspecten. Welke verbindingen zijn er tussen de apparatuur en de buitenwereld? Welke interne of externe systemen of entiteiten kunnen tot bedreigingen leiden? Deze stap verschaft een zo volledig mogelijk beeld van de online- en offlineomgeving van de apparatuur.

2. BEPAAL DE RISICO’SStel voor alle verbindingen uit stap 1 vast welke risico’s eraan zijn verbonden, zowel voor de apparatuur als voor de omgevingen waarmee de apparatuur is verbonden. Dit kunnen bedrijfsrisico’s voor de gebruiker van de apparatuur zijn, maar ook risico’s voor de leverancier, voor consumenten en andere partijen die met de apparatuur te maken hebben.

10

4. MAATREGELEN Verschillende soorten.

Kosteneffectiviteit?

2. RISICO-INVENTARISATIE Bedrijfsrisico’s. Risico’s voor derden.

3. RISICOBEOORDELING Acceptabel?

• Preventie

• Detectie

• Herstel

VOLGENS CIA-MODEL:• Confidentiality Vertrouwelijkheid van gegevens• Integrity Integriteit van systemen en gegevens• Availability Beschikbaarheid van systemen

Waarschijnlijkheid x Impact

5. INVENTARISATIE Nieuwe risico’s door maatregelen? Restrisico’s na invoering?

6. RISICOBEOORDELING Soll-situatie acceptabel?

1. OMGEVINGSANALYSE Bronnen van dreiging? Verbindingen met buitenwereld?

NEE

JA

7. IMPLEMENTATIE

3. BEPAAL DE AANVAARDBAARHEID VAN DE RISICO’S Wat zijn de gevolgen wanneer de vastgestelde risico’s uit stap 2 zich daadwerkelijk voordoen? Bepaal de kans dat een risico zich voordoet en vermenigvuldig deze met de verwachte impact. Voor welke risico’s moeten zeker maatregelen worden genomen?

4. BEPAAL DE BENODIGDE MAATREGELEN Definieer de maatregelen die nodig zijn om de onaanvaardbare risico’s te voorkomen. Maak hierbij een afweging tussen de kosten van de maatregel en de schade die zou ontstaan wanneer het betreffende risico zich voordoet. Is de maatregel kosteneffectief?

5. BEPAAL WELKE RESTERENDE EN NIEUWE RISICO’S ER ZIJNStel vast welke risico’s uit stap 2 zijn overgebleven en welke eventuele nieuwe risico’s worden geïntroduceerd met de maatregelen uit stap 4.

6. HERHAAL ZO NODIG STAPPEN 3 T/M 5Herhaal stappen 3 tot en met 5 zo vaak als nodig is, totdat alle nog resterende risico’s aanvaardbaar zijn.

7. IMPLEMENTEER DE MAATREGELENDe laatste stap is het uitwerken, realiseren en invoeren van alle maatregelen die zijn gedefinieerd. Meestal zal hiervoor een project moeten worden gedefinieerd, waarbij het geheel van maatregelen binnen een gefaseerde planning wordt ingevoerd.

11

OPLOSSINGSRICHTINGEN

Alomvattende standaard beveiligingsoplossingen voor industrie 4.0 bestaan helaas niet. Daarvoor is de diversiteit aan systemen en configuraties te groot. Gelukkig bestaan er wel veel bouwblokken in de vorm van bewezen (open source) methodes en componenten. Het gebruik hiervan zorgt voor een snelle implementatie en voorkomt afhankelijkheid van één leverancier. Zo behoudt u ook de flexibiliteit die u nodig hebt om uw systeem in de toekomst verder te laten evolueren.

SLEUTELOPSLAG (KEYSTORE)Door sleutels in een keystore op te slaan, kunnen deze alleen door het apparaat zelf worden gebruikt. De beveiliging voorkomt dat de sleutels kunnen worden gekopieerd en gebruikt door derden.

PUBLIC KEY INFRASTRUCTUREEen Public Key Infrastructure (PKI) gebruikt digitale certificaten en private sleutels voor de authenticatie van apparaten en gebruikers. Ze voorkomt dat derden zich kunnen voordoen als de door u vertrouwde apparaten en gebruikers.

VIRTUAL PRIVATE NETWORKMet een Virtual Private Network (VPN) beveiligt u de verbinding tussen verschillende locaties. De communicatie wordt gecodeerd overgedragen, waardoor het afluisteren en de manipulatie van gegevens wordt tegengegaan.

NETWERKDIODESNetwerkdiodes compartimenteren het systeem. Ze garanderen dat data slechts in één richting vloeit, zodat bij een infectie niet het hele netwerk wordt blootgesteld.

SECURE BOOTEen Secure Boot-toepassing controleert tijdens het opstarten of het apparaat vrij van infecties is en veilig tot het netwerk kan toetreden.

ACTIVE DIRECTORY Door ook voor industriële apparatuur gebruik te maken van een Active Directory, kunnen gebruikers en apparatuur centraal worden beheerd. Het actueel houden van autorisatieprofielen wordt hierdoor vergemakkelijkt. Meestal wordt een Active Directory-oplossing gekoppeld aan twee-factorauthenticatie in combinatie met single sign-on (éénmaal inloggen voor de verschillende applicaties).

SOFTWARE SIGNINGDigitale handtekeningen gaan malafide software-updates tegen. Het apparaat en de beheerder kunnen hiermee de herkomst van de update verifiëren.

12

We werken een fictief voorbeeld uit voor een fabrikant van industriële robotstofzuigers, in een transitie naar industrie 4.0. Zijn klanten hebben behoefte aan een gecentraliseerde bewaking en aansturing van de stofzuigers en meer data voor procesverbeteringen en efficiëntieverhoging.

Om de groeiende concurrentie voor te blijven, wil de fabrikant ontwikkelingsprocessen versnellen, service- prestaties verbeteren en nieuwe verrekenmodellen introduceren (‘betalen per gebruik’). Een digitaal ecosysteem en connectiviteit beantwoorden aan al die behoeftes, maar hoe richt je dat veilig in?

Voorbeeld Implementatie

13

ITProductieR&D Testen Facturatie

Update distributiePlanning en besturingData Analyse

RobotNetwerk

TrendsRisicoOplossing

Op locatie

Cloud-diensten

Fabrikant

Onderhoud Bediening

Updates& Settings Monitoring

Analyse

Manipulatie van afrekenmodellen

Manipulatie op afstand

Aanval van robot naar klantnetwerk Uitval apparatuur

Uitlekken van IP

Verbindingen tussen locaties beveiligen met VPN

Gebruikersauthenticatie en -autorisatie met Single Sign-On

Updates voorzien van een digitale handtekening

Sleutels opslaan in veilige opslag

Data-transport zonder weg terug

Digitale certificaten gebruiken voor authenticatie van apparaten en personen

Op de gebruikslocaties worden de stofzuigers centraal gemonitord door de klant. De robotstofzuigers worden ondergebracht in zijn omgeving en infrastructuur. Bij storingen of bijvoorbeeld obstakels op de rijroute krijgt bedienend personeel een signaal, zodat kan worden ingegrepen. Een netwerkdiode wordt geïmplementeerd om te voorkomen dat data vanuit het klantnetwerk naar de stofzuigers kan vloeien. Mocht een robotstofzuiger geïnfecteerd raken, dan worden de data en andere apparatuur van de gebruiker niet blootgesteld. Een veilige opslag voorkomt dat onbevoegden via het klantnetwerk toegang krijgen tot de sleutels van de apparatuur.

De centrale beheerder van de klant kan de apparatuur ook bedienen en uitlezen met apparaten buiten het klantnetwerk, zoals smartphones en tablets. Werk-zaamheden kunnen op afstand worden toegewezen en data kan worden geanalyseerd. Om beïnvloeding van de data en besturingsopdrachten door derden te

voorkomen, worden digitale certificaten ingezet voor de authenticatie van apparaten en personen.

Via gateways communiceren de stofzuigers ook met backofficeapplicaties in de cloud van de fabrikant. Zo kan de fabrikant de oorzaak van problemen vaststellen, storingen oplossen en updates installeren. Digitale handtekeningen stellen zeker dat de update legitiem is.

De fabrikant analyseert ook gebruiksdata. De analyses worden gebruikt voor de ontwikkeling en het testen van nieuwe apparatuur en functionaliteiten, voor kwaliteits-bewakingsdoeleinden en voor facturatie op basis van gebruik. Beveiligde VPN-verbindingen voorkomen dat buitenstaanders inzicht krijgen in vertrouwelijke data. De autorisatie en vaststelling van de identiteit van gebruikers vindt plaats door middel van single sign-on-techniek. Zo kan worden voorkomen dat gebruikers of derden afrekengegevens kunnen manipuleren.

14

Industriële apparatuur krijgt steeds meer software- elementen, die onder meer worden ingezet bij de besturing, bewaking en diagnose van de mechanische onderdelen. De functionaliteiten van deze software worden vaak online toegankelijk gemaakt. Zelfs afrekenmodellen op basis van onlinefunctionaliteiten worden meer en meer toegepast.

De connectiviteit creëert nieuwe kwetsbaarheden en beveiligingsrisico’s. Elk online-element op een machine biedt immers een potentiële ingang voor ongewenste indringers. Omdat industriële apparatuur meestal zowel met het netwerk van de gebruiker als met dat van de leverancier verbonden is, ontstaan aan beide

zijden risico’s. Langdurig productieverlies door besmetting met malware is geen uitzondering meer. En ook diefstal van intellectuele eigendommen en bedrijfs-gegevens komt steeds vaker voor.

Een doordachte beveiliging is noodzaak. Die begint bij het nauwgezet in kaart brengen van de omgeving en het inventariseren van de risico’s. Door de kans dat een risico zich voordoet te vermenigvuldigen met de impact wanneer dat gebeurt, kan de aanvaardbaar-heid van dat risico worden bepaald. Een partner die expertise op het vlak van beveiliging en op het vlak van embedded software en hardware in huis heeft, kan u bijstaan bij dit proces.

CONCLUSIE

15

OVER TECHNOLUTION

Wilt u ook de zekerheid dat het werkt? Neem contact met ons op voor een vrijblijvend gesprek. We komen graag naar u toe.

TECHNOLUTION B.V.Burgemeester Jamessingel 1P.O. Box 20132800 BD GOUDAThe Netherlands

T +31(0)182 59 40 00E info@technolution.nl I www.technolution.nl/apm

Wanneer u industriële apparatuur online wilt brengen, bent u bij ons aan het juiste adres. Wij beschikken over een jarenlange, multidisciplinaire ervaring in hightech en industriële automatisering.

Met open-sourcetechnieken, embedded software en elektronica komen we gegarandeerd tot een IIOT-oplossing die werkt én veilig is. Niet voor niets voldoen onze meest geavanceerde securitybouwblokken aan de strengste eisen van de Nederlandse overheid en de Europese Unie.

16