IT Security in tijden van digitalisering

Met de toenemende digitalisering wordt ook security een steeds belangrijker thema in industriŽle automatisering. Op de jaarlijkse general meeting van Namur werd het thema verder uitgediept, met een aantal concrete aanbevelingen om te komen tot een Security by Design filosofie.

Digitalisering was het centrale thema op de general meeting van Namur dit jaar. Namur is de vereniging van gebruikers van automatiseringstechnologie in de procesindustrie. Digitalisering is een onvermijdelijke trend, zo stelt men, en dus is er ook geen ontkomen aan de nood om zich verder te verdiepen in security. Het heeft ook geen zin om veiligheidsrisicoís te blijven inroepen als reden om die digitalisering tegen te houden.

Security Ė voor alle duidelijkheid Ė is het beschermen van systemen tegen ongeoorloofd gedrag als diefstal, spionage en manipulatie maar ook tegen onopzettelijke menselijke fouten.

Naast alle mogelijke bedreigingen moet ook gekeken worden naar mogelijke schade. Die kan gaan van dataverlies of productieverlies tot zelfs ernstige bedreigingen voor de gezondheid of de omgeving indien de beveiliging van processen in het gedrang kan komen.

Security niet enkel zaak voor IT

Hiermee wordt meteen ook duidelijk dat security in automatisering een thema is dat veel verder reikt dan de klassieke IT-wereld van firewalls en paswoorden. Het zal dus ook niet volstaan om security over te laten aan de jongens en meisjes van de IT-afdeling.

Namur onderscheidt drie domeinen waarin gewerkt moet worden.

Vooreerst is er uiteraard inzicht nodig in de systemen en de componenten die gebruikt worden. Hier is het zaak van na te gaan waar het allemaal mis kan gaan en wat er afgeschermd moet worden. Het doel is om te komen tot Security by Design Ė het principe dat bij elk nieuw systeem security van bij het opzet wordt meegenomen in het ontwerp, eerder dan systemen te bouwen en er nadien beveiliging aan toe te voegen.

Even belangrijk is het om inzicht te verwerven in de mogelijke consequenties. Men moet met andere woorden nagaan hoe ver de invloed van een bepaald IT-systeem reikt. Zo weet men ook, als er een inbreuk wordt vastgesteld, waar die allemaal invloed op zou kunnen hebben.

Een derde domein is het opstellen van een noodplan. Eens men weet wat er allemaal mis zou kunnen gaan en welke gevolgen dat zou kunnen hebben, kan men voor elk van die scenarioís vastleggen wat er gedaan moet worden om de fout te herstellen of de invloed te beperken.

Automation Security 2020

In 2015 heeft Namur de principes van Security by Design vastgelegd in haar aanbeveling NE 153: Automation Security 2020 Ė Design, Implementation and Operation of Industrial Automation Systems. Namur heeft in een van haar werkgroepen ook een checklist uitgewerkt die leden in staat stelt om systemen te auditen.

In de beveiliging van een IT-systeem onderscheidt men 7 aspecten.

Een eerste is patching, of het up to date houden van software. Leveranciers stellen meestal patches ter beschikking zodra een fout of veiligheidsrisico in een software vastgesteld wordt. Patch management houdt in dat men voor elk systeem garandeert dat alle gekende bugs aangepakt zijn.

Segregation is een van de meest elementaire principes in IT-security. Het houdt in dat men via firewalls beheert welke toepassingen op een netwerk met elkaar contact mogen maken door regels vast te leggen voor IP-adressen en poorten.

Een ander elementair principe is authenticatie wat in de meeste gevallen neerkomt op het gebruik van paswoorden. Key management beheert wie er toegang krijgt tot een systeem en zorgt ervoor dat iedereen die zich aanmeldt, geÔdentificeerd kan worden.

Authorisatie breidt dat principe verder uit door in een user management te definiŽren wie wat mag doen.

Cruciaal in deze vier aspecten is dat ze actief beheerd moeten worden om doeltreffend te zijn. Al te vaak worden er in IT-systeem users bijgemaakt en nieuwe regels toegevoegd aan een firewall zonder elementen die niet meer van toepassing zijn te verwijderen. Zo ontstaan er mogelijkheden tot misbruik zonder dat iemand zich van die risicoís bewust is.

Detectie van pogingen tot hacking

De eerste vier aspecten beschrijven het beveiligen van een systeem. Eens dat gebeurd is, moet er ook een bewaking aan toegevoegd worden zodat anomalieŽn meteen gedetecteerd kunnen worden.

Met network monitoring houdt men alle connecties die in een netwerk gemaakt worden, in de gaten.

Event monitoring kijkt naar de acties die ondernomen worden.

Beide aspecten zouden in staat moeten zijn om alle mislukte pogingen tot hacking te detecteren zodat de regels van firewalls, bijvoorbeeld, verscherpt kunnen worden. Uiteraard is het belangrijk dat ook gelukte pogingen gedetecteerd worden zodat men eventuele schade kan analyseren en herstellen.

Version management is de sleutel in dat herstel. Van elk systeem moet men snel kunnen terugkeren naar de niet gecompromitteerde versie van software, configuratie en data.

Het beheer van dit alles vergt volgens Namur een aanpak die nog onvoldoende ingeburgerd is. Een van de cruciale opdrachten van procesingenieurs is het garanderen van safety. De security wordt nog te vaak als een taak voor IT beschouwd. Met de convergentie van IT en automatisering, die door de digitalisering tot stand komt, zullen ook de kennis en verantwoordelijkheden rond security samengebracht moeten worden.

© Productivity.be, 27/11/2017


Feel free to share

Newsletter Process Automation

Start To Make Smarter

Op 7 en 8 februari ontvangt het MTMS Network Event in Kortrijk Xpo een 3000-tal bezoekers uit metaal- en kunststoffentransformatie, subcontractors, OEMís en machinebouwers om te netwerken met 165 technologie- en componentenleveranciers.
Het event omvat kleine partnerstanden, netwerkrecepties en de Ideas Battle Arena met tal van inspirerende ondernemers. Dit jaar wordt voor de eerste maal ook de POM Late Shift georganiseerd.
Registreer u (en uw collega's)
VDW

METAV 2018

Van de laatste technologieŽn in traditionele productietechnieken tot nieuwe oplossingen voor Industrie 4.0 - ze komen allemaal aan bod op de vakbeurs METAV, van 20 tot 24 februari 2018 in Dusseldorf.
Naast het hoofdthema metaalbewerking heeft de beurs speciale zones met aandacht voor kwaliteitscontrole, additive manufacturing, molding en medical.
Meer info en inschrijving: www.metav.com