Verboden voor onbevoegden
In dit tijdperk van Industrie 4.0 zijn steeds meer machines in netwerken verbonden. Daarmee groeit het belang van industriële beveiliging. Niet alleen moeten we de mens bij de bediening van een machine tegen ongevallen beschermen; andersom moet de machine zelf worden beveiligd tegen hackers en andere kwaadwillenden. Manipulaties kunnen de machineveiligheid immers behoorlijk frustreren of zelfs helemaal tenietdoen. Pilz’ totale veiligheidsconcept bevat daarom steeds meer oplossingen tegen cyberaanvallen en bedieningsfouten.
Het was een opvallend openhartig bericht afgelopen november toen Pilz meldde dat de organisatie slachtoffer was geworden van een grote cyberaanval. Een maand eerder hadden de bewakingssystemen op webservers van het Duitse automatiseringsbedrijf verdachte activiteiten gesignaleerd. Al snel bleek dat hackers toegang probeerden te krijgen tot de servers en communicatiesystemen. Onmiddellijk schakelde Pilz alle netwerken en servers uit, zowel binnen het bedrijf als erbuiten, om een escalatie van de aanval te voorkomen. Een paar weken later kon Pilz opgelucht – en met enige trots – constateren dat het de aanval goed had doorstaan. De aanval was beperkt gebleven tot de kantoorsystemen. En door goede beveiliging had de industriële automatisering geen hinder ondervonden.
‘De huidige golf aanvallen tegen ons en vele andere bedrijven laten duidelijk zien dat cybercriminaliteit in toenemende mate een ernstige bedreiging vormt voor de rust en welvaart in de wereld’, zei Pilz-ceo Susanne Kunschert in de nasleep van de cyberaanval. ‘We moeten grote inspanningen leveren om ervoor te zorgen dat dit soort georganiseerde misdaad beter bekend wordt en dat bedrijven, organisaties, overheid en politiek in de toekomst nauwer samenwerken om te garanderen dat anderen niet hoeven meemaken wat wij hebben meegemaakt.’
Pilz had cybersecurity en industriële beveiliging al enige tijd op de radar staan als potentiële groeimarkt, maar de hackaanval van vorig jaar drukte het bedrijf met de neus op de feiten. Met een versterkt gevoel van urgentie zet het sinds die tijd stevig in op industrial security – als uitbreiding op safety, waarop het van oudsher zijn pijlen heeft gericht.
‘Bij Pilz beschouwen we machines als potentieel gevaarlijke systemen. Daarom ontwikkelen we al jarenlang allerlei technologieën en oplossingen om gebruikers te beschermen en de risico’s in te perken’, aldus Peter Eland, director sales bij Pilz Nederland. ‘Aan de andere kant moet je machines net zo goed beschermen tegen mensen. Als je je cybersecurity niet op orde hebt, kunnen criminelen en kwaadwillenden je bedrijf heel veel schade berokkenen. Stel je maar eens voor wat er kan gebeuren als ze toegang krijgen tot de productiemachines van bijvoorbeeld Coca Cola. Een beetje knoeien met de receptuur en de imagoschade is bijna niet te overzien, om maar niet te spreken over de mogelijke gevaren voor de volksgezondheid.’
Er is bedrijven dus veel aan gelegen om cybercriminelen buiten de deur te houden. ‘Wij willen ze daarmee helpen’, zegt Eland. ‘Voor Pilz is cybersecurity een horizonverbreder, maar wel een die uitstekend aansluit op onze veiligheidsfilosofie. Het is interessant te zien dat we door die uitbreiding een compleet andere markt aanboren; de invalshoek is totaal anders. En waar we vroeger vooral met de safetymannen spraken, zitten we nu veel eerder in het ontwikkelproces aan tafel.’
RFID-toegangsbeveiliging nu nog makkelijker
Voor Identification and Access Management (I.A.M.) heeft Pilz het bedrijfsmoduskeuze- en toegangsautorisatiesysteem PITmode. Voor een onderdeel van dit systeem, de PITreader, heeft Pilz een RFID-transponder in kaart- en stickerformaat ontwikkeld. Alle varianten zijn vrij beschrijfbaar en rechten kunnen vastgelegd worden door gebruik te maken van de eenvoudig passende softwaretools.
Rechten toekennen
Eland heeft gemerkt dat er nog weinig technologieën en producten op de markt zijn die zich richten op cybersecurity in een industriële setting. ‘Voor kantoorautomatisering is er genoeg. Ook als je de toegang tot een gebouw veilig wilt regelen, hoef je niet ver te zoeken. Voor industriële machines is het aanbod een stuk beperkter. En dat is echt een andere tak van sport, met compleet andere eisen’, weet Eland. ‘Robuustheid is voor een industriële toepassing bijvoorbeeld een belangrijke voorwaarde. Ook de link naar machineveiligheid is in kantoorautomatisering totaal niet aan de orde.’
Een derde verschil is dat de gebruikers heel anders zijn. ‘Het gaat in een fabriek verder dan alleen of je personen al dan niet toegang geeft tot een bepaalde ruimte. Als je de security echt goed wilt regelen, moet je ook het gebruik van de machines managen’, adviseert Eland. ‘Dat kan natuurlijk door geavanceerde machine-instructies met een password af te schermen. De ervaring leert echter dat die beveiliging nogal fraudegevoelig is. Binnen de kortste keren weet iedereen het wachtwoord, zeker als je een touchscreen gebruikt voor de invoer.’
Machinebouwers kunnen hun systemen beter voorzien van een geavanceerdere toegangsautorisatieoplossing, bijvoorbeeld Pitreader van Pilz. ‘Die werkt op basis van gecodeerde en unieke rfid-transpondersleutels’, legt Eland uit. ‘Als zo’n dongle ter grootte van een usb-stick in de machine wordt gestoken, weet het systeem gelijk wie de operator is en welke persoonlijke settings hij moet gebruiken. Denk aan de voorkeurstaal; handig in een internationale organisatie.’ Spannender wordt het als je ook bepaalde rechten aan die operator kunt toekennen. ‘We leveren managementsoftware mee waarmee je kunt bepalen wie welke machine-acties mag uitvoeren. Een gewone operator mag bijvoorbeeld alleen de standaard instructies geven, maar een servicemonteur geef je toegang tot de logfiles. Voor elke sleutel kun je dat apart instellen.’
Bijkomend voordeel is dat productiebedrijven heel eenvoudig kunnen checken welke operator wat heeft gedaan. Eland: ‘Traceerbaarheid wordt steeds belangrijker. Via Pitreader kunnen managers bij calamiteiten makkelijk terugvinden waar en bij wie het is misgegaan. En omdat alles is gelogd, kunnen ze zoeken naar inefficiënties en zo de beschikbaarheid van de machines verhogen, wat uiteraard veel kosten kan besparen.’
Waarin Pilz zich onderscheidt, is de koppeling naar safety. ‘Je kunt iemand van de technische dienst het recht geven om met zijn sleutel de machine op halve snelheid te laten draaien met de deuren open. Daarmee raak je direct aan de machineveiligheid. Die link, daarin zijn we uniek. Momenteel biedt geen enkel ander bedrijf die combinatie aan’, stelt Eland.
Niet escaleren
Hoe veel beveiligingen je ook inbouwt, je kunt je systemen nooit helemaal dichttimmeren. Zoals Pilz vorig jaar dus zelf aan den lijve ondervond. ‘De vraag is dan hoe snel je weer up and running kunt zijn. Welke voorzorgsmaatregelen heb je genomen om je systemen in mum van tijd weer in de lucht te hebben?’, zegt Eland. ‘Dan is het cruciaal dat een klein lek niet escaleert.’ Pilz heeft daarvoor Securitybridge ontwikkeld. Die unit beveiligt de verbinding tussen een machine en de configuratie-pc. ‘Op die manier kunnen wijzigingen alleen worden aangebracht door gebruikers die hiertoe vooraf geautoriseerd zijn. Je voorkomt dan dat hackers die op je industriële netwerk zijn binnengedrongen de boel echt in het honderd kunnen laten lopen.’
Eland merkt dat er vanuit de markt steeds meer vraag komt naar oplossingen die een brug slaan tussen safety en security. ‘Dat is niet gek, want er zijn vaak flinke risico’s verbonden aan het gebruik van machines. Fysiek voor de operators, en daarmee financieel voor de ondernemers’, aldus Eland. ‘We proberen bedrijven te helpen om bedieningsfouten te voorkomen en hun cyberveiligheid op orde te krijgen. Oplossingen zoals Pitreader en Securitybridge zijn wat dat betreft slechts het begin.’
