Klaar voor cyberveiligheid anno 2027?
Eindklanten, technologieproviders en machinebouwers bereiden zich voor
Wie pakweg vijf jaar geleden zijn installatie gehackt zag, werd gezien als pechvogel. Wie dit vandaag meemaakt, ziet zich geviseerd. De nieuwe realiteit van cyberrisico’s vraagt binnen de machinebouw om een adequate normgeving. Een normering die de puntjes op de i zet, de aansprakelijkheden definieert en vooral de nodige duidelijkheid verschaft. In januari 2027 wordt de machineverordening van kracht. In dit artikel lichten we toe hoe plant, technologieprovider en machinebouwer zich hierop aan het voorbereiden zijn. Niet eerder voelde het begrip verantwoordelijkheid tegelijkertijd zo algemeen, gedeeld en verdeeld aan.
De nieuwe machineverordening anno 2027
20 Januari 2027 luidt de intrede in van een compleet vernieuwde machinewetgeving, die voor de eerste keer ook de cyberveiligheid integreert. Wie al de kans kreeg om via onder meer opleidingen kennis te maken met de nieuwe normering, kwam al snel tot de conclusie dat men voor een duidelijke verstrenging van de bestaande normering gaat – met grotere veiligheidsafstanden, nauwere toleranties, hogere minimumwaarden en lagere maximumwaarden. De nieuwe voorschriften zijn bovendien een stuk duidelijker dan voorheen het geval was.
Een kanttekening is er ook, want hoewel de wet volgend jaar al van kracht wordt, is nog altijd niet helder hoe het nieuwe, belangrijke hoofdstuk over cyberveiligheid er precies uit komt te zien. Zo moet de sector zich voorbereiden op een wet die nog niet volledig is uitgewerkt.
Eindklanten, technologieproviders, machinebouwers en andere partijen voor wie de wet belangrijk is, nemen in afwachting van de bekendmaking van alle details zelf alvast de nodige maatregelen om hun systemen zo goed mogelijk cyberweerbaar te maken en naar die nieuwe, noodzakelijke standaard te brengen. Alles valt en staat hierbij met het correct en proactief beoordelen van de veiligheidsrisico’s voor elke machine in zijn ontwerpfase.
Risicoanalyse
De klassieke risicoanalyse in de machinebouw onderzoekt de mogelijke gevaren voor de gebruiker door onder meer bewegingen. Binnen de nieuwe verordening ligt de focus echter op enerzijds de accidentele hackbaarheid van een machine, en anderzijds ook op de kans dat iemand zich met kwade intenties toegang zou kunnen verschaffen.
Hierom draait de nieuwe norm prEN50742 "Protection Against Corruption" die bedoeld is om kwaadwillige of onbedoelde manipulatie van machines die tot gevaarlijke situaties kunnen leiden, te voorkomen. In die norm kan men grofweg twee verschillende paden volgen:
- Benadering A: hierbij volgt men stapsgewijs de norm EN50742. De risicoanalyse start met het uitlichten van elk van de veiligheidsfuncties binnen de installatie, waarbij men vervolgens aan de hand van parameters inschat wat de risico’s op corruptie zijn. Dit leidt tot een "Safety Related Security Level" (SRSL), gaande van 0 tot 4. Op basis van dat veiligheidsniveau moet men dan de nodige maatregelen nemen totdat de installatie aan de fundamentele vereisten beantwoordt.
- Benadering B: installaties die conform waren ten opzichte van de norm IEC62443, zijn in principe ook conform wat de nieuwe norm betreft.
In de praktijk
De basis blijft dat er een risicoanalyse moet worden uitgevoerd op iedere machine die nieuw op de markt komt of die ten opzichte van de originele versie fundamenteel is gewijzigd. Vanaf januari 2027 is dit met inbegrip van een risicobeoordeling met betrekking tot de bescherming tegen corruptie naar prEN50742. De analyse is in feite een FMEA-achtige benadering waarbij de veiligheidsfuncties en de kritische onderdelen van nabij worden bekeken.
Dit is in feite zeer analoog met de functionele veiligheid, maar dan rekening houdend met de mogelijke interfaces richting de buitenwereld. Die moet men elk individueel bekijken en er de juiste weegfactoren aan koppelen, zoals het niveau van blootstelling, een zogenaamde "window of opportunity" en een "attack or expertise". De vierde en doorwegende factor is het effect op de veiligheid wanneer iets misloopt. Dit geheel van parameters en weegfactoren levert dan het SRSL op, waaruit maatregelen moeten voortvloeien.
Een risicoanalyse is weliswaar een zeer efficiënt hulpmiddel, maar toch kan gezond verstand alleen al voor heel wat preventie zorgen.
Preventie vanuit de plant
Let’s disconnect
De basis van elk cyberrisico is en blijft de connectiviteit. Dit maakt die eerste factor, het exposurelevel, meteen allesbepalend. Een compleet geïsoleerd systeem krijgt als exposurelevel bijvoorbeeld een waarde 0 toebedeeld, want geen connectiviteit en dus geen enkel cyberrisico. Elk machineontwerp doet er daarom best aan om de werkelijke noodzaak van de online optie te evalueren.
Toegangsmanagement
Inlogsystemen op basis van een RFID-sleutel bewijzen al decennia hun efficiëntie in de gebouwenbeveiliging, en vinden meer en meer hun toepassing op machineniveau. De selectieve toekenning van toegangsrechten tot een zone, een installatie of wat dan ook via onder meer een badge kan ver uitgebreid worden. Men kan via badgeaanmelding onder meer ook de USB-slots en het ethernet (de meeste connecties gebeuren immers via RJ45-connectors ) beveiligen.
De basis van elk cyberrisico is en blijft de connectiviteit
Omgaan met remote access
Via remote access kan men van op afstand de PLC van een installatie uitlezen en zo bijvoorbeeld heel snel een klant verder helpen, zonder daarbij ter plaatse hoeven te gaan. Alleen loopt de toegang tot die systemen zo niet langer via de LAN, maar wel extern. In nog ergere gevallen wordt de LAN zelfs opengesteld. Met alle risico’s en verantwoordelijkheden van dien voor de aanmelder én voor de plant. Dit maakt het raadzaam om enkel gedurende de eerste paar weken na de opstart van op afstand op de PLC te gaan, tot alle kinderziektes uit de systemen gehaald werden. Een andere optie is de gecontroleerde connectie, waarbij deze enkel lokaal fysiek kan opgestart worden.
Preventie via technologieproviders
Security approvals
Vanuit de cybersecurity act worden technologieproviders verplicht om hun producten weerbaar te maken tegen security- en cyberdreigingen. Op die manier dekken ze een groot deel van de risicoanalyse af omdat ze zelf voor de security approvals en het vulnerability management op hun producten moeten zorgen, en dit zelfs tot op PLC-niveau. Een goed voorbeeld is de toegangsbeveiliging op individuele functieblokken, die via verschillende toegangsniveaus maar beperkt of zelfs helemaal niet te openen zijn. Enkel de geaccrediteerde specialist krijgt zo toegang. Ook de SD-kaart van de PLC kan op die manier worden vergrendeld.
Het begrip machineveiligheid is per definitie compromisloos
Het IP-adres en de firewall
Nog wat extra veiligheid kan men introduceren door verschillende zones toe te laten. Bijvoorbeeld één IP-adres voor de PLC die de drives of de robots aanstuurt, en één IP-adres dat naar een hoger gelegen niveau leidt om informatie uit te wisselen. De twee soorten logins blijven zo volledig gescheiden.
Dan zijn er nog de firewalls: door deze strategisch te verplaatsen wordt ook intrusie van buitenaf bemoeilijkt. Firewalls kunnen immers perfect diep in de PLC zelf al geïntegreerd worden.
Tenslotte onderstrepen we het belang van de webservers. Klassiek kan men via het IP-adres per direct op de PLC, maar ook daar kan zeer veel aan securityniveaumanagement worden gedaan door de gebruikers te verplichten zich via paswoorden (en MFA in geval van hogere risico’s) aan te melden.
De machinebouw als eerstelijnspreventie
Afwegingen
Elke ontwerpfase omvat de beoordeling van het securityrisico waarbij de machinebouwer proactief een distinctie moet maken tussen de maatregelen die hij zelf kan nemen, en deze die derde partijen of de eindklant moeten opnemen. Bij wijzigingen aan bestaande projecten luidt de vraag steeds of hiermee een bijkomend risico wordt geïntroduceerd, of de bestaande bescherming niet meer volstaat. Bij de technologieproviders is hierover heel veel goede raad voorhanden.
Complexiteit en digital twins
Dan komt het erop aan om een onderscheid te maken in interfacegebonden complexiteit. Wanneer de connectiviteit over beperkte interfaces met de buitenwereld loopt, kan men eenvoudig met de methode van de norm 50742 gaan bepalen waar er maatregelen nodig zijn. Zijn het echter wel complexe installaties met complexe interfaces, dan is vaak een evaluatie via de digital twin aangewezen. Zo kan men via een attack path simuleren hoe de installatie, bewust of onbewust, gecorrumpeerd kan worden. Alleen is daar wel expertise en aangepaste gespecialiseerde software voor nodig.
Externe en interne specialisatie
Het begrip machineveiligheid is per definitie compromisloos. De opkomst van cyberrisico’s maakt nu dat de machinebouwer zich meer dan ooit bewuster moet worden in wat hij doet. En dat vraagt om een nog verdere professionalisering van de interne procedures, documentatie en dossiers zoals de risicoanalyses en technische constructiedossiers. Meer en meer bedrijven in de sector kiezen daarom voor een benadering vergelijkbaar met de ISO-certificatie, en gaan resoluut voor een interne of externe specialist die zich enkel daarmee bezig houdt, zodat het technisch projectmanagement hiervan maximaal ontlast wordt.
De cloud als betrouwbare referentie
Tenslotte, een doorwegende factor binnen de cyberbeveiliging is en blijft de kwaliteit van de software. Insiders voorspellen dan ook in de nabije toekomst cloudgebaseerde automatiseringsplatformen die licenties voor de meest recente PLC-firmwareversies gaan aanbieden. Dit lost immers meerdere problemen tegelijk op. De machinebouwer hoeft om te beginnen de software nooit nog lokaal op de eigen laptop te installeren en beschikt te allen tijde over de meest recente versie.
Met medewerking van Endress+Hauser, Pilz en Vintiv NV
