Ga naar de inhoud
High-Tech Systems Magazine
×

Je winkelwagen is momenteel leeg!

×
Lid worden
Adverteren
Kennispartners
Magazines
Video-archief
Contact

Inloggen

Achtergrond

Industriële veiligheid voor mens én machine

10 december 2024
Hans van Eerden
Leestijd: 5 minuten

Machineveiligheid ging vooral over beveiliging van de mens tegen de machine. Maar een machine kan niet veilig zijn als die zelf niet wordt beveiligd, tegen hackers van buiten en kwaadwillende insiders. Pilz, specialist in industriële safety, levert daarom nu ook oplossingen voor industriële security.

Het Duitse familieconcern Pilz profileert zich als technologieleider in veiligheidsgerichte automatisering. Het levert al tientallen jaren veiligheidsproducten zoals plc’s, sensoren en lichtschermen die operators en onderhoudsmonteurs beschermen tegen de machine of installatie waar ze bij moeten werken.

Ervaringsdeskundige

Maar dat is slechts het halve veiligheidsverhaal, zo werd Pilz met schade en schande gewaar toen het in 2019 werd gehackt en een ransomware-aanval het hele IT-systeem van het bedrijf platlegde. De familie weigerde te betalen, besloot de hele IT opnieuw te structureren, hielp de Duitse politie zelfs om de cybercriminelen op te pakken en ging als ervaringsdeskundige aan de slag met cyberveiligheid voor machines.

‘Uiteindelijk een positief verhaal’, vindt Denny Yau, industrial security specialist bij Pilz Nederland in Vianen. ‘Ze hebben het klappen van de zweep ervaren. Je moet niet alleen de mens tegen de machine beschermen, de safety waar wij groot mee zijn geworden, maar ook de machine tegen de mens beschermen; denk aan hackers van buitenaf en ‘evil insiders’ van binnenuit.’ Machineveiligheid gaat tegenwoordig om het voorkomen van schade aan mens én materieel, vat salescoördinator Thomas Ploeg samen. ‘Want hoe kun je garanderen dat een machine veilig is, als die zelf niet is beveiligd tegen bedreigingen?’

Denny Yau: ‘De vraag is niet of je wordt gehackt, maar wanneer.’

Strenge Europese wet- en regelgeving

Deze ontwikkeling is een weerspiegeling van de actuele internationale wet- en regelgeving. Op 20 januari 2027 wordt de nieuwe Europese Machineverordening, voorheen Machinerichtlijn, van kracht. Daarin wordt bepaald dat machines cyberveilig moeten zijn. De norm IEC 62443 laat zien hoe dat voor een machinepark is te realiseren, vertelt Yau. ‘Wij verwachten dat in 2026 veel bedrijven in een paniekmodus komen, als ze beseffen dat ze er nog iets mee moeten. Om hen nu al verder te kunnen helpen, zijn we gestart met consultingdiensten voor industriële security. Gelukkig willen veel van onze klanten goed voorbereid zijn. Als we een risicobeoordeling voor machineveiligheid doen, kunnen we gelijk de cybersecurity meenemen. Dat doen we nog niet standaard, maar alleen op verzoek van de klant.’

Dat is geen moment te vroeg, want dit najaar al is de Europese NIS2-richtlijn (Network and Information Security directive) van kracht geworden. Deze geldt voor kritische en belangrijke sectoren, zoals publieke infrastructuur en ook de industrie, meldt Yau. ‘Organisaties moeten het nodige voor cyberveiligheid hebben geregeld en bestuursorganen moeten bijvoorbeeld een bewustwordingstraining voor cybersecurity hebben gevolgd. Bij een hack kunnen ze persoonlijk aansprakelijk worden gesteld; ze kunnen niet meer zeggen dat ze van niks wisten.’

Tot slot is er ook nog de Europese Cyber Resilience Act (CRA), die volgend jaar in werking treedt. Die is gericht op fabrikanten, distributeurs en importeurs van hardware en software. Zij moeten ervoor zorgen dat hun digitale producten, zoals software en internet-of-things-apparaten, veiliger worden. Yau: ‘Zo moeten machinebouwers hun machines veilig opleveren. Denk aan simpele dingen als geen standaardgebruikersnamen en -wachtwoorden instellen, de autorisatie van gebruikers goed regelen en zorgen voor logging van alle events rond een machine. De ‘bill of materials’, bekend van de hardware, moet nu ook voor de software worden bijgehouden: welk digitaal veiligheidskeurmerk componenten hebben, welke updates zijn uitgevoerd, enzovoort.’

Ketenbenadering

De nieuwe Europese wet- en regelgeving voor cyberveiligheid komt dus in drievoud. Natuurlijk is er veel overlap, maar elke wet of verordening heeft een eigen insteek. Zo zijn de Machineverordening en de CRA redelijk technisch, terwijl de NIS2 vooral organisatorisch van aard is. De overeenkomst is wel dat ze alle drie strenger zijn dan hun respectievelijke voorgangers.

Interessant is nog dat de NIS2 een ketenbenadering hanteert, aldus Yau. ‘Stel je bent machinebouwer en levert aan bedrijven of organisaties die volgens de NIS2 tot de kritische infrastructuur behoren, dan val je zelf automatisch ook onder de NIS2.’ Dat geldt eveneens voor toeleveranciers van die machinebouwer, voor zover hun leveringen en diensten relevant zijn voor de cyberveiligheid. ‘Dat zijn nogal wat bedrijven in Nederland.’

Thomas Ploeg: ‘Je moet niet alleen de mens tegen de machine beschermen, maar ook de machine tegen de mens.’

Digitale machinetoegang

En veel van die bedrijven zijn niet klaar om te voldoen aan bijvoorbeeld de nieuwe Machineverordening. Tachtig procent, hoorde Yau op een bijeenkomst over cybersecurity. Ploeg wijst op de machines van tegenwoordig die meestal op hun besturingspaneel een usb- en een ethernetpoort hebben. ‘Tot op heden werden die eigenlijk nooit beveiligd, terwijl er wel bedreigingen kunnen binnenkomen, via de ethernetpoort van buitenaf en via de usb-poort van binnenuit.’ Bij dat laatste hoeft het niet eens om kwaadwillende insiders te gaan. ‘Neem een operator die ergens anders iets op zijn usb-stick zet en dan onbedoeld malware kan meenemen. Stopt hij die usb-stick vervolgens in de machine, dan heeft hij onbewust de machine besmet. Heeft de machine fysiek een deur of luik, dan worden die beveiligd, bijvoorbeeld met een deurschakelaar van ons. Zo moeten ook die digitale poorten worden beveiligd.’

Het PITmode toegangsautorisatiesysteem wordt digitaal bediend met behulp van transpondersleutels.

Pilz heeft er inmiddels een oplossing voor, Identification and Access Management. Dat verzorgt het beheer van de fysieke en digitale machinetoegang en de rechten van medewerkers rond de machine en in de besturing, met authenticatie, autorisatie en registratie. Dus niet alleen of een medewerker bijvoorbeeld het luik van de machine mag openen, maar ook of die toegang heeft tot de usb-poort of een verbinding van de machine naar de cloud mag leggen. Belangrijk daarbij is dat alles wordt geregistreerd, zodat bij een eventueel probleem kan worden nagegaan wie toegang had. Dit alles geldt zeker ook voor onderhoud, omdat luiken en digitale systemen dan worden opengezet zodat de monteur er goed bij kan. Beveiligingen worden dan tijdelijk uitgeschakeld of overbrugd, waardoor de machine op haar kwetsbaarst is voor een hack.

Booming business

‘Ons overkomt dat toch niet’, horen ze bij Pilz nog vaak van bedrijven. Yau: ‘De vraag is niet of je wordt gehackt, maar wanneer. Wereldwijd overkomt dit elke 20-30 seconden een bedrijf. Bij ransomware-as-a-service krijgen kwaadwillenden met een abonnement van zeg 15 euro per maand de nieuwste malware om bedrijven plat te kunnen leggen. Cybercriminaliteit is big booming business.’

Ploeg: ‘Iedereen kent het gevaar van hacken en deepfakevideo’s en weet dat bij de politie na een hack alle mailadressen zijn gestolen. Maar er wordt nog niet naar gehandeld. Dat is het verschil tussen safety en cybersecurity. Bewustwording van safety, fysieke veiligheid rond een machine, is er al, terwijl de echte bewustwording van cyberveiligheid nog moet komen. Pilz loopt daarin voorop, misschien wel omdat het ons heel erg is ingeprent doordat we het zelf aan den lijve hebben ondervonden. Als mensen een kantoor binnengaan, houden ze de deur open voor anderen. Datzelfde geldt voor de digitale deur, die we nog te makkelijk openhouden.’

Gerelateerde artikelen

Vision Robotics & Motion verder als Automation Xperience

Ondanks toeleveruitdagingen boekt Pilz recordjaar

Topbanen

Jouw vacature hier?
Bekijk de mogelijkheden
in de mediakit

Events

INCOSE-NL Workshop 2025
5 november 2025
Breukelen
Bits&Chips Event 2025
20 november 2025
Eindhoven

Trainingen

Adventures in Systems Engineering
4 november 2025
Eindhoven
Leadership Skills for Architects and Other Technical Leaders
11 november 2025
Eindhoven
Systems Architect(ing)
24 november 2025
Eindhoven
Passive Damping for High Tech Systems
25 november 2025
Eindhoven

Laatste nieuws

  • 17 september 2025

    Vision Robotics & Motion verder als Automation Xperience

  • 17 september 2025

    Pats haalt 2,7 miljoen euro op voor AI-gestuurde plaagbestrijding in kassen

  • 16 september 2025

    Nederlandse regering belooft techindustrie met 430 miljoen euro te steunen

  • 16 september 2025

    Cosmic Aerospace test prototype elektrisch passagiersvliegtuig met eerste vlucht

  • 15 september 2025

    Leydenjar haalt 23 miljoen euro op om productie van siliciumanodes op te schalen

  • 11 september 2025

    AI-investeringen stuwen de markt voor halfgeleiderapparatuur

  • 10 september 2025

    Nederlandse primeur: eerste dronevlucht op vloeibare waterstof

  • 9 september 2025

    Peter Wennink gaat investeringsklimaat Nederland onder de loep nemen

  • 9 september 2025

    Ov-bussen van VDL voortaan gebouwd in het Belgische Roeselare

  • 8 september 2025

    VDL Groep zet weg naar herstel in

High-Tech Systems Magazine is het leidinggevende vakblad voor de high-end machine- en systeembouw in Nederland en België. Het informeert over trends en ontwikkelingen in alle belangrijke basistechnieken en technologie, zoals precisietechnologie, materiaalkunde, ontwerptechnologie, systeemintegratie, industriële automatisering, vision, robotica en elektrische en mechanische motion en aandrijftechnologie.

Adverteren
Lid worden
Events
Contact
Bits&Chips (Engels)
© Techwatch bv. Alle rechten voorbehouden. Techwatch behoudt de rechten op alle informatie op deze website (teksten, afbeeldingen, geluiden), tenzij anders vermeld.
  • Lid worden
  • Adverteren
  • Kennispartners
  • Video-archief
  • Contact
  • Zoeken