Cybersecurity Ondanks het toegenomen bewustzijn zijn procesbeheerders nog vaak niet bekend met de specifieke risico’s en gevolgen van een mogelijke cyberaanval. “Die procesbeheerders zijn gewend zich te verdiepen in een nieuw type filter, slimme sensoren, of een andere techniek waarmee vaak kosten zijn te besparen”, weet Geurts. “Cybersecurity is iets wat nog relatief nieuw voor ze is.” Geen overzicht Bedrijven die eenmaal zover zijn dat ze maatregelen willen nemen op het gebied van cybersecurity, weten vaak niet waar ze moeten beginnen. “Maar het begint altijd bij het netwerk”, weet Geurts. “Je moet precies weten hoe dat in elkaar zit. In de praktijk blijkt de procesbeheerder dat meestal niet precies te weten. Ze kunnen vaak tot in detail vertellen hoe apparaat X aan het netwerk verbonden is en hoe je daarbij komt, maar er is vaak geen goed overzicht van het complete netwerk. Er zijn vaak alleen detailtekeningen, maar het begint bij het grote geheel: welk apparaat maakt waarvan deel uit, dat is de vraag.” Bij het in kaart brengen van dat netwerk kunnen medewerkers een grote rol spelen. Geurts: “Het is een goed idee om het personeel zoveel mogelijk te betrekken en het bespoedigt het proces aanzienlijk. Dat scheelt niet alleen geld, maar het levert ook veel meer inzicht in het netwerk - en dat is een goede investering.” Hoognodige Als het complete netwerk eenmaal in beeld is gebracht, kan gewerkt worden aan een indeling in zones en verbindingen. Geurts: “Daarbij maak je onderscheid in apparaten die absoluut met elkaar moeten kunnen communiceren en apparaten waarbij dat optioneel is. Je komt soms in situaties waar een machine in een bepaalde afdeling verbinding maakt met een compleet andere afdeling, terwijl daar geen noodzaak voor is. In de operationele technologie hoor je vaak ‘als het werkt, dan werkt het’ en daarmee houdt het op. Bij ons begint het proces daar eigenlijk juist: wij willen die communicatie in het netwerk beperken tot het hoognodige.” Procesautomatiseerders zijn vaak huiverig voor veranderingen in hun OT-domein, meent Geurts. “Er wordt enorm veel tijd gestopt in het optimaliseren van dat proces en dan kan het vervangen van een bepaalde regelklep daar al invloed op hebben. Er wordt daar niet zomaar even ergens een kabeltje uit getrokken. Men is veel te bang dat het proces daarna minder efficiënt wordt. Daarom zie je in het OT-domein dat alle nieuwe apparaten ergens in het bestaande netwerk worden geknoopt, om maar niets te hoeven veranderen. Het resultaat is echter dat na verloop van tijd al die apparaten en installaties op dat grote, platte netwerk zijn aangesloten en dat een geslaagde cyberaanval in dat geval je complete OT-domein bedreigt, niet slechts de applicatie waarop de aanval is binnengekomen.” Niet ingewikkelder De indeling in zones en verbindingen is volgens Geurts vaak een kwestie van goed nadenken en je gezonde verstand gebruiken. “Op basis van het eerder genoemde blokschematisch overzicht kan je samen met de klant heel goed bepalen welke communicatie tussen welke apparaten belangrijk is. Die samenwerking is cruciaal. Je wilt niet dat zo’n klant op een gegeven moment zegt: ‘jullie weten het allemaal zo goed, doe het zelf maar.’ Je moet cybersecurity dus niet ingewikkelder maken dan het is.” Soms zijn complexe firewalls niet eens nodig: een simpele hardwarematige segmentering is vaak al voldoende. Geurts: “Ik neem daarbij als voorbeeld altijd het huis van je opa en oma. Daar zaten vroeger twee zekeringen in de meterkast. Eentje voor beneden, eentje voor boven. Als er dus boven een lampje kortsluiting maakte, had de complete bovenverdieping geen stroom. Veel slimmer is om een segmentering aan te brengen. De wasmachine, de keuken: die krijgen allemaal hun eigen zekering. Zo doen we dat in een netwerk ook. Als je daarbij dan ook nog eens gebruikmaakt van moderne ‘managed switches’ kan het apparaat alleen nog contact maken met dat deel van het netwerk dat jij uitkiest, ook al is er aan de fysieke kabel niks veranderd.” 2G De aanleg van een een cybersecure netwerk gaat idealiter volgens de IEC62443-norm (gericht op continuïteit en digitale weerbaarheid), maar in de praktijk kan dat niet altijd. Zo zijn er waterbedrijven die drinkwater winnen in tamelijk afgelegen (natuur)gebieden. Naar die bron ligt een leiding om het water te verpompen en een stroomvoorziening voor de pomp die ter plekke het water oppompt. Die voorziening dient echter op afstand gemonitord en aangestuurd te worden en in een ideale situatie zou dat bekabeld plaatsvinden. “Het is natuurlijk geen doen om vele kilometers glasvezel door een natuurgebied te trekken, dus dat moet je toch echt draadloos doen”, legt Geurts uit. “Daarbij wordt gebruikgemaakt van 2G-, 3G- en 4G-apparatuur. Voor ons is het een hele uitdaging om dergelijke verbindingen cybersecure te maken. Toch moet dat, omdat juist die afgelegen gebieden kwetsbaar zijn voor aanvallen.” Kosten Een veilig netwerk vergt een bepaalde investering. “Bedrijven willen uiteraard eerst weten wat het gaat kosten. Daarnaast wil men ook weten of het een eenmalige investering betreft of dat er periodiek terugkerende kosten bij komen kijken. In de cybercrimewereld ontstaan bijna dagelijks nieuwe bedreigingen, waarvoor je je klant wilt beschermen.” Uiteindelijk draait het erom dat een installatie blijft draaien. Geurts: “Vaak realiseert men zich pas hoe essentieel een installatie is op het moment dat hij niet meer draait.” Meer info: www.hirschmann.nl/hns WATERFORUM SEPTEMBER 2020 39
40 Online Touch Home