mogelijk geïsoleerd wordt van de rest van het netwerk.” SAT Ook de implementatie van het netwerk is een onderwerp waar Geurts zich intensief mee bezighoudt. “Daar moet je heel transparant in zijn. Ook al doe je al het voorwerk tot in de perfectie, toch is het goed om een duidelijk tijdsvenster met je klant af te spreken waarin de productie mogelijk stil komt te liggen. Het is in een OT-domein namelijk niet een kabeltje erbij prikken en hopen dat het goed gaat.” Henk Geurts van Hirschmann Network Solutions: “Cyber security is geen rocket science. Met gezond verstand kom je al een heel eind.” en installaties op dat grote, platte netwerk zijn aangesloten en dat een geslaagde cyberaanval in dat geval je complete OTdomein bedreigt, niet slechts de machine waarop de aanval is binnengekomen.” Niet ingewikkelder De indeling in zones en conduits is volgens Geurts vaak een kwestie van goed nadenken en je gezonde verstand gebruiken. “Cybersecurity wordt door allerlei bedrijven nog wel eens als een soort black box gepresenteerd, waardoor de klant zelf nauwelijks wordt meegenomen in het proces. Op basis van het eerder genoemde blokschematisch overzicht kan je samen met die klant heel goed bepalen welke communicatie tussen welke apparaten belangrijk is. Die samenwerking is cruciaal. Je wilt niet dat zo’n klant op een gegeven moment zegt: ‘jullie weten het allemaal zo goed, doe het zelf maar.’ Je moet cybersecurity dus niet ingewikkelder maken dan het is.” VLAN Ook de indeling in zones en conduits is niet altijd zo complex als de klant soms denkt. Soms zijn complexe firewalls niet eens nodig: een simpele hardwarematige segmentering is vaak al voldoende. Geurts: “Ik neem daarbij als voorbeeld altijd het huis van je opa en oma. Daar zaten vroeger twee zekeringen in de meterkast. Eentje voor beneden, eentje voor boven. Als er dus boven een lampje kortsluiting maakte, had de complete bovenverdieping geen 30 | nummer 3/4 | 2020 stroom. Veel slimmer is om een segmentering aan te brengen. De wasmachine, de keuken: die krijgen allemaal hun eigen zekering. Zo doen we dat in een netwerk ook. Als je daarbij dan ook nog eens gebruik maakt van moderne managed switches kan je een apparaat aan een ander VLAN toewijzen, zodat het apparaat alleen nog contact met maken met dat deel van het netwerk dat jij uitkiest, ook al is er aan de fysieke kabel niks veranderd.” 2G De aanleg van een een cybersecure netwerk gaat idealiter volgens de IEC62443 norm, maar in de praktijk kan dat niet altijd. “Soms brengt het consequent doorvoeren van die norm zeer hoge kosten met zich mee en moet je jezelf afvragen of het risico dermate groot is dat het die kosten rechtvaardigt”, licht Geurts toe. Stel, een papierfabriek op een afgelegen locatie heeft buiten de plant een waterpomp geïnstalleerd die via een 2G modem wordt aangestuurd. “Mooier is natuurlijk een glasvezelkabel naar die pomp, maar als je die achteraf in de grond moet aanleggen, kost dat tienduizenden euro’s. Dat is veel meer dan het risico dat je loopt. We zorgen er in dit geval dus voor dat die pomp zo goed Planning is dus belangrijk. Geurts heeft er sterk de voorkeur voor om direct na de implementatie een complete Site Acceptance Test (SAT) te doorlopen. “Het kan namelijk zo zijn dat na de implementatie het proces prima lijkt te lopen, maar als ‘s avonds de CIP/CIS aan de gang gaat, blijkt ineens dat bijvoorbeeld de pompen het niet meer doen. Dat wil je liever direct bij de implementatie al weten.” Updaten Een secure netwerk vergt een bepaalde investering. “Bedrijven willen uiteraard eerst weten wat het gaat kosten. En daarnaast wil men ook weten of het een eenmalige investering betreft of dat er maandelijkse of jaarlijkse terugkerende kosten bij komen kijken. In de cybercrime wereld ontstaan bijna dagelijks nieuwe bedreigingen, waarvoor je de klant wilt beschermen. Het interval waarbinnen je het systeem zou moeten updaten, hangt af van de risico’s die het bedrijf loopt en de kosten van het updaten. Een IT-netwerk hangt per definitie altijd aan het internet en is daardoor kwetsbaarder dan een OT-netwerk dat niet altijd met internet is verbonden. Een netwerk dat met internet is verbonden is daarentegen wel weer makkelijker op afstand te updaten.” Commodity Uiteindelijk draait het erom dat een fabriek blijft draaien. “Vaak realiseert men zich pas wat die fabriek per uur opbrengt op het moment dat hij niet meer draait. Het OTdomein wordt nog wel eens als een soort commodity gezien, terwijl uiteindelijk daar toch echt het geld wordt verdiend.” Meer info: www.hirschmann.nl/hns Er wordt daar niet zomaar even ergens een kabeltje uit getrokken. Men is veel te bang dat het proces daarna inlevert op efficiency...
31 Online Touch Home