Hoe NTS veilig omgaat met zijn data

NTS heeft een netwerk aan vestigingen en fabrieken, in Nederland en ver daarbuiten. Veilige informatieoverdracht tussen al die sites is essentieel, temeer omdat ze werken met ip dat over het algemeen niet van het bedrijf zelf is. It-manager Marcel Diemont vertelt over de uitdagingen en oplossingen.

Alexander Pil

Anderhalf jaar is Marcel Diemont nu aan de slag bij NTS. Zijn rol als it-manager maakt hem verantwoordelijk voor de it én de ot binnen de organisatie. ‘Ik ga dus niet alleen over de laptops en de werkplekken, maar net zo goed over de productieautomatisering in onze fabrieken’, legt hij uit. ‘De it- en ot-werelden komen steeds dichter bij elkaar te liggen, dus het is helemaal niet gek om ze bij één persoon onder te brengen.’

Zoals veel bedrijven heeft ook NTS een groot deel van zijn it uitbesteed. Denk aan de fileserver en de helpdesk. ‘Maar je ziet steeds nauwere integratie tussen bijvoorbeeld de Office-pakketten en de software die we in ons productieproces gebruiken’, vertelt Diemont. Dan is het verstandig om één iemand aan te wijzen om het overzicht te bewaren, wil hij maar zeggen.

Een groot voordeel van die gecombineerde aanpak is dat NTS de datasecurity binnen het bedrijf nog nauwkeuriger kan bewaken. ‘In de basis zijn we een logistieke organisatie. We kopen materialen in, laten ze langs een scala aan bewerkingsstappen lopen en versturen de eindproducten naar onze klanten’, verduidelijkt Diemont. ‘We bedenken, maken en assembleren. Gedurende dat logistieke proces stoppen we veel specifieke kennis in de producten, kennis die ook interessant zou kunnen zijn voor andere bedrijven. Hoe haal je bijvoorbeeld zo veel mogelijk componenten uit een stuk plaatstaal? Welke instellingen gebruik je voor je draai- en freesmachines? Die settings staan in de logfile van die apparaten. Als een onderhoudsmonteur langskomt – of op afstand inbelt – maakt hij eerst een kopie van die file. Logisch, maar daar zit wel heel veel bedrijfsgevoelige kennis in, veel ip dat we willen bewaken. Die machines wil ik dus zeker niet continu aan het internet hebben hangen.’ Met zijn leveranciers maakt NTS duidelijke afspraken over hoe ze moeten omgaan met alle data.

Confidential

De aandacht voor datasecurity is van levensbelang voor NTS. De gegevens zijn immers niet van het bedrijf zelf, maar het gaat vrijwel altijd om ip van klanten. ‘Het eigendom ligt niet bij ons, maar we zijn wel verantwoordelijk. Ze leggen hun hele tpd bij ons neer. Daar moeten we uiteraard zorgvuldig mee omgaan. Dat is het uitgangspunt van alle securitymaatregelen’, zegt Diemont. ‘We hebben bijvoorbeeld een start gemaakt met de uitrol van information rights management. Elk document dat we binnen NTS opstellen, moet een classificatie meekrijgen: intern, extern, confidential, highly confidential. In dat laatste geval willen we in onze softwaresystemen ingebakken hebben dat de juiste procedures worden gevolgd en de juiste policy’s worden nageleefd. Je zou dergelijke documenten alleen intern moeten kunnen versturen en niet mogen printen.’

Om aan zijn klanten te laten zien dat NTS security hoog in het vaandel heeft, is het bedrijf bezig een Iso 27001-certificering te halen. Diemont: ‘We zitten aan het begin van dat traject, maar er zijn al klanten die er expliciet naar vragen. Zodra we dat certificaat binnen hebben, scheelt dat een hoop lastige vervolgvragen. Overigens hebben de grote spelers in de regio hun eigen standaarden, maar de Iso-norm is een prima basis als je je daaraan wilt conformeren.’

Hoever is NTS in het proces? ‘De basis-securitylaag is er en is prima in orde’, benadrukt Diemont. ‘We staan aan de vooravond van heel wat vervolgstappen. Op dit moment implementeren we dus information rights management in de hele organisatie. Ook werken we aan een nog betere beveiliging van onze wifi-netwerken. Criminelen gebruiken graag de zwakheden van wifi om binnen te komen. Bij NTS hebben we ooit een wifi-netwerk aangelegd zodat onze medewerkers makkelijk met hun laptop van de ene kant van het gebouw naar de andere kant kunnen lopen. Inmiddels gebruiken we overal op de campus handscanners die hun data via wifi rondspuien. We nemen nu maatregelen om alles te segmenteren. Ook zetten we interne firewalls tussen verschillende fabrieken, en tussen alle virtuele lan’s op de productievloer.’

Een ander aandachtspunt voor Diemont zijn alle updates die binnen NTS regelmatig moeten worden geïnstalleerd om softwarepakketten up-to-date te houden. Als er in zo’n update malware verborgen zit en deze wordt uitgerold over alle vestigingen wereldwijd, geeft dat professionele hackers ineens heel veel speelruimte. ‘Bewustwording is daar het eerste verdedigingsmiddel’, aldus Diemont.

Chinese muur

Intern informatie delen gaat binnen NTS zelfs over de grenzen heen, tot China aan toe. Hoe doe je dat nog veilig? ‘Onze vestigingen in Shanghai en Suzhou staan achter de Chinese firewall. Dat is duidelijk anders dan de kantoren in Tsjechië, die in de EU staan en waar heel veel zaken netjes gereguleerd zijn. In China gelden andere regels, die overigens redelijk overeenkomen met de VS of Israël. In al die landen worden gegevens verzameld en is je ip niet per definitie veilig. Daarvan moet je je bewust zijn.’ Om het niet op een menselijke fout te laten aankomen, is het voor NTS-medewerkers in Shanghai niet mogelijk om rechtstreeks op het netwerk van het Eindhovense hoofdkantoor te komen.

Het securityvraagstuk is vooral ook mensenwerk. ‘Onze medewerkers moeten zaken anders doen. Dat vraagt om acceptatie en adoptie. Op dit moment zit het nog niet bij iedereen in zijn hoofd. Het veranderen van menselijk gedrag vraagt nu eenmaal een lange adem. En het is niet alleen een kwestie van trainen; ze moeten zich de nieuwe processen echt eigen maken. Via trainingen, uitleg, awareness creëren, aandacht blijven geven via alle kanalen die je hebt. Alles om het over een aantal jaar geregeld te hebben. In deze digitale transformatie is de mens belangrijker dan ooit te voren.’

Digital twin

Als maatschappij zitten we midden in de digitale transformatie, maar de maakindustrie moet nog een inhaalslag maken, vindt Diemont. Recentelijk is NTS begonnen met de uitrol van digital twinning, op basis van Siemens Teamcenter. ‘In de oude situatie werd een design uitgeprint op grote vellen zodat productiespecialisten er aandachtig naar konden kijken en feedback konden geven. Het ontwerp ging weer terug naar de designers, die veranderingen konden doorvoeren. Nu maken we een digitale kopie van een design. Daarin kunnen verbetervoorstellen worden aangegeven, die designers vervolgens alleen maar hoeven goed te keuren. We werken ernaartoe dat het fysieke product in die tijd gewoon doorgaat in het proces. Zo krijg je een veel natuurlijkere stroom van je design door de organisatie.’ Bijkomend voordeel is dat de digital twin ook alle documentatie bevat. ‘Je hoeft dus geen fileservers door te spitten. Zelfs niet als een klant een jaar later ineens nog een product geleverd wil hebben.’

Het uiteindelijke doel is een voorspelbaar productieproces. ‘Vergelijk het met Google Maps’, legt Diemont uit. ‘Daarmee krijg je actuele file-informatie op je mobiel en hij adviseert gelijk een alternatieve route als dat nodig is. Dat zou ik ook willen in onze fabrieken. Als het ergens fout loopt, zou het systeem een oplossing moeten aandragen. Nu is dat nog allemaal mensenwerk. Ervaren medewerkers weten over het algemeen wel wat er moet gebeuren, maar waarschijnlijk is dat niet altijd de optimale route. We willen al die kennis in software vangen, zodat hij niet verloren gaat.’

De digitale transformatie binnen NTS gaat zo hard dat het onmogelijk is om een standaardpakket aan te schaffen dat alle vragen beantwoordt. ‘Er is geen heilige graal’, aldus Diemont. ‘Sinds een paar jaar werken we met low code. Zie het als een groene basisplaat van lego waarop je met voorgeprogrammeerde blokjes software snel een applicatie kunt bouwen. Zo kunnen we alle wijzigingen en vragen bijbenen, zonder dat het kapitalen aan licenties kost voor dure pakketten waarvan we slechts een klein stukje nodig hebben.’