GEA pakt cybersecurity voortvarend aan

Wie de technische eisen met betrekking tot automatisering van de machinebouw in de Machinerichtlijn leest, voelt het op zijn klompen aan: deze zijn geschreven in een tijd waarin cyberaanvallen, Artificial Intelligence (AI) en draadloos en remote aansturen nog nauwelijks bestonden. De kantoorautomatisering (IT) was beveiligd tegen hackers en aanvallers, maar de OT-netwerken van de machines zelf niet.

Wanneer een machine offline werkt, is er weinig te vrezen voor cyberaanvallen van buitenaf. In de huidige tijd is echter bijna iedere machine wel met een overkoepelend netwerk verbonden dat ook weer in verbinding staat met de buitenwereld. Op deze manier zijn er potentiële ingangen gecreëerd voor het hacken of saboteren van een machine. De opmerking: ‘wie wil nu mijn machine hacken’ is een logische, maar de praktijk leert dat er inderdaad redenen zijn om dit te doen. Kritische machines stilzetten of hele netwerken platleggen betekent dat er losgeld kan worden gevraagd waarbij de bedragen er niet om liegen.

Kortom: de ontwikkelingen in de afgelopen jaren dwingen een doorontwikkeling van de Machinerichtlijn tot wat nu de EU-Machineverordening heet. Of officieel: de EU-Machineverordening 2023/1230. De eerste definitieve versie is op 29 juni 2023 in het Publicatieblad van de EU gepubliceerd en biedt een overgangstermijn tot 20 januari 2027. Tot die tijd hebben alle EU-landen de tijd om hun machines aan de nieuwe Machineverordening te laten voldoen. Gebeurt dit niet, dan mag er geen CE-markering meer op de machine worden aangebracht.

Kenmerkend voor de nieuwe Machineverordening is onder meer dat de definitie van veiligheidscomponenten nu ook software omvat. Dit náást de vertrouwde componenten van fysieke, digitale of gemengde aard. Dus niet alleen relais, deurschakelaars, safety scanners, lichtschermen enzovoort, maar ook ‘onzichtbare’ software. Daarnaast is de paragraaf ‘Bescherming tegen corruptie’ toegevoegd waarmee de wet nu ook eisen stelt aan de cybersecurity van machines. De belangrijkste eis – in het kader van veiligheid – is dat aanvallen van buitenaf niet mogen leiden tot het uitvallen van de veiligheidsfuncties. In de praktijk betekent dit dat fabrikanten zoals machinebouwers hun safety-concepten in vrijwel alle gevallen moeten herzien.

Security Risk Assessment

Zowel GEA als Pilz zijn sinds de publicatie van de EU-Machineverordening actief bezig met de integratie van Industrial Security in de machinebouw. In samenwerking met Pilz zette GEA een Security Risk Assessment op als onderdeel van haar bredere cybersecuritystrategie. Deze risicobeoordeling is een relatief eenvoudig middel om bedrijven op weg te helpen om te voldoen aan de nieuwe Machineverordening. Sales manager Thomas Ploeg: ‘Dit valt namelijk niet mee. Zoals altijd zijn de wettelijke en normatieve eisen behoorlijk complex, diepgaand en met elkaar verweven. Daarbij is een omslag in denken nodig: kijk je naar de kantoorautomatisering (IT) dan ligt daar al langer een focus op (cyber)veiligheid. Kijk je naar de machine-automatisering (OT) dan is er aanmerkelijk meer interesse in maximale beschikbaarheid van de machine. Deze twee benaderingen kunnen elkaar in de weg zitten.’

Andere uitdagingen liggen in het feit dat bedrijven verschillende niveaus van kennis en volwassenheid hebben met betrekking tot Industrial Security. Daarbij zijn security items, maar vooral de gevolgen ervan, niet direct zichtbaar en hiermee moeilijk te detecteren en te testen. Dit in tegenstelling tot safety issues. Het door Pilz uitgevoerde Security Risk Assessment, stelde GEA in staat om haar eigen aanpak op cybersecurity structureel te toetsen en te versterken. De bevindingen vormden een belangrijke basis voor verdere ontwikkeling van interne richtlijnen en ontwerpprocessen.

Plan B

Het in Bakel gevestigde GEA (hoofdkantoor in Düsseldorf) is een van ‘s werelds grootste leveranciers voor de voedingsmiddelen-, dranken- en farmaceutische industrieën. Het portfolio bevat machines en installaties maar ook geavanceerde procestechnologie, onderdelen en services. Joost Schepers, Senior Director Automation & Controls, geeft aan: ‘Als gevestigde naam in deze wereld willen we uiteraard in 2027 helemaal klaar zijn met alles wat nodig is om te voldoen aan de Machineverordening. Dat vereist een andere manier van denken. Waar je veiligheid – dus safety – direct meeneemt in je ontwerp en dus maar eenmalig voorbijkomt, is security iets dat jaarlijks moet worden bijgewerkt. De middelen en technologieën vanuit de hackers veranderen immers dagelijks.

Daarnaast moet je als fabrikant ook klaar staan met een plan B als er op het vlak van security iets misgaat bij jouw klant. En over de klant gesproken: deze vereist sowieso meer aandacht omdat er pas sprake is van maximale veiligheid wanneer hij alle maatregelen in de handleiding ook nauwgezet uitvoert. Dan hebben we het over de juiste installatie van hard- en software, het juiste gebruik, toegankelijkheid voor updates, toepassing van beveiligingsmaatregelen die bij het bedrijf horen zoals een firewall enzovoorts. Wanneer dit niet in orde is, dan kun je updates sturen wat je wilt, maar die hebben dan geen effect.’

Machinelijn

Om het pragmatisch aan te pakken besloot GEA in samenwerking met Pilz voor één complete machinelijn een Security Risk Assessment uit te voeren. Deze machinelijn verwerkt kipdelen. Deze worden eerst in een trommel gemarineerd, vervolgens voorzien van een laagje paneermeel en hierna in een lange oven voorgegaard tot frituurbaar product. De lijn is volledig modulair opgebouwd waarbij alle modules zijn voorzien van een eigen PLC en communicatie onderling draadloos plaatsvindt. Dennis Theelen is software engineer en vertelt: ‘Het assessment op deze lijn heeft GEA’s interne kennis en bewustzijn verder aangescherpt. De opgedane inzichten zijn inmiddels vertaald naar concrete interne richtlijnen, waarmee toekomstige ontwerpen standaard rekening houden met cybersecurityrisico’s.’

Hij vervolgt: ‘Zeker zo belangrijk is het om met een specialist als Pilz de wetgeving te lezen en te interpreteren. Dat is niet eenvoudig maar heeft door dit proces eveneens bijgedragen aan een hoger bewustzijn, meer kennis en begrip. Het biedt ons wat dat betreft waardevolle handvatten om ook alle toekomstige machines, lijnen en modules te inventariseren en te beoordelen. Dit past ook in de roadmap die door het moederbedrijf is opgesteld rondom cyberveiligheid. Deze moet uiteindelijk leiden tot een situatie waarin zowel onze processen als de uiteindelijke machines volledig conform de moderne wet- en regelgeving zijn gecertificeerd. Hiervoor worden door verschillende mensen ook diverse trainingen gevolgd om kennis op te doen en vervolgens op de juiste manier te kunnen toepassen bij je eigen machines. Ik ben blij dat we op tijd zijn begonnen; we zien nu aan alles dat dit nodig is, maar we zien ook dat het voor ons in elk geval een haalbare kaart is.’

Hoofdbeeld: GEA