Door: Redactie - 4 februari 2022 |
Cybersecurity is een randvoorwaarde om succesvol te digitaliseren. Siemens ondersteunt klanten hierbij met kennis en technologie die het concern ook zelf inzet om haar fabrieken 24/7 te beveiligen. Een kwetsbaarheid in Apache Log4j zorgde eind 2021 voor de nodige onrust. Veel technologiefabrikanten, ook Siemens, hebben deze software voor logboekregistratie onder de motorkap van hun producten zitten. Het zal niet de laatste ‘vulnerability’ geweest zijn waar men binnen operationele omgevingen mee te maken kan krijgen. Cybersecurity van OT-systemen in de industrie moet dan ook zeer serieus worden genomen.
Bij een IT-hack kan gevoelige informatie gestolen worden, met alle (reputatie)schade voor bedrijven en organisaties van dien. Langs de OT-systemen (Operationele Technologie) kunnen cybercriminelen de veiligheid en gezondheid van gebouwgebruikers, maar ook de productie in gevaar brengen. Ruud Welschen, cybersecurity-specialist van Siemens Digital Industries, somt enkele risico’s op: “Cybercriminelen kunnen je toegangscontrolesysteem buiten werking stellen, waardoor onbevoegden je gebouw of de fabriek kunnen betreden. De klimaatinstallatie kan op hol slaan waardoor een koelcel verandert in een sauna. Een verstoring in de productie kan leiden tot kwaliteitsafwijkingen of in het ergste geval productiestilstand. Onze focus ligt op bedrijven en gebouwen. We zijn daar met een aantal vooraanstaande spelers al 15 jaar geleden mee begonnen, maar we zien dat veel bedrijven er nu nog mee moeten starten. Dat is eigenlijk al te laat en het vraagt om een versnelling.”
Cybersecurity van de IT voor kantoorautomatisering is al langer gemeengoed. De meeste bedrijven hebben dit goed geborgd. De focus van Siemens ligt op de cybersecurity van OT-systemen. “Hier wordt met andere architecturen en protocollen gewerkt”, zegt Tjerco den Exter, productmanager routing, switching en security. “Wij adviseren om de beveiliging binnen een OT-architectuur op drie lagen aan te pakken: het gebouw/fabrieks-, het netwerkniveau en de bescherming van individuele applicaties en apparaten. Begin met je netwerk, want dat is nodig voor een gedegen OT/IT-integratie. Denk op voorhand goed na over de juiste architectuur, veiligheid en bijbehorende netwerksegmentatie.”
Siemens biedt klanten dezelfde kennis en software die het concern ook zelf inzet om cybersecure te zijn en blijven. Tjerco: “Wij zijn zelf ook een producent en moeten onze ruim 280 fabrieken wereldwijd veilig inrichten. We gebruiken onze eigen kennis en kunde op dit vlak om andere producenten te ondersteunen met hun security. Ook Siemens hanteert de security-richtlijnen van de normering IEC62443 voor haar eigen productie en producten.”
Ivo van Nimwegen beschermt als country cybersecurity officer bij Siemens Nederland de eigen organisatie tegen cybercriminaliteit. Hij zorgt ervoor dat data beschermd zijn, maar ook dat de producten, oplossingen en diensten die Siemens levert veilig zijn. Daaronder valt bijvoorbeeld ook het borgen van de cybersecurity als Siemens bij klanten onderhoud uitvoert. Zijn tip: “Zorg eerst dat je overzicht hebt. Bedrijven weten vaak onvoldoende wat ze in huis hebben. Productieomgevingen zijn dan ook dynamische omgevingen. Er komt in de loop der jaren vaak nieuwe apparatuur bij of bestaande oplossingen worden vervangen. OT-security heeft te maken met al je fysieke systemen. Zonder overzicht kun je niet inschatten hoe kwetsbaar je bent en waar de grootste risico’s zitten. Wij brengen tijdens assessments in kaart welke technologie onze klanten hebben en leggen de relatie tussen hun assets en hun businesscontinuïteit. Wat kan er gebeuren met je bedrijfsvoering, financiën en logistieke proces als je assets worden gehackt? Wat kun je doen om dit te voorkomen?”
Eén belangrijke maatregel is alvast de keuze voor kwaliteitstechnologie. Siemens neemt cybersecurity vanaf het ontwerp mee en zorgt ervoor dat al haar producten veilig op de markt komen. Welschen: “Als het verzegeld is, zit er een veilige Siemens firmware in.” Om beveiligd te blijven, ontzorgt Siemens klanten met het upgraden, bewaken en monitoren van hun systemen. Tjerco: “Cybersecurity is een ongoing proces. Wat je begint, moet je blijven opvolgen en aanscherpen. Er zullen immers altijd nieuwe kwetsbaarheden en zwakke plekken ontstaan waardoor cybercriminelen zich toegang kunnen verschaffen tot fysieke apparatuur, productieprocessen en intellectuele eigendommen.”
Naarmate steeds meer bedrijven beginnen met digitaliseren, groeit ook de aandacht voor cybersecurity. Daarbij is cybersecurity een echt supply chain-onderwerp. Een hack in de toeleveringsketen van bedrijven kan de eigen leverbaarheid in het gedrang brengen. Op die manier heeft Siemens het thema ook ingestoken als initiatiefnemer van de Charter of Trust. Ton Mes, product & solutions security officer bij Siemens Smart Infrastructure: “Het in stand houden van de keten speelt bij elk bedrijf. Ook wij leggen security-eisen op aan onze leveranciers. We toetsen deze via assessments. Daarnaast hebben we partnerships met McAfee, Claroty, Palo Alto en andere grote security-spelers om dit thema te adresseren.”
Cybersecurity moet binnen bedrijven goed georganiseerd worden. Van Nimwegen: “Door digitalisering grijpen IT en OT-systemen steeds meer in elkaar. Er zitten echter grote cultuurverschillen tussen de IT- en OT-afdelingen van bedrijven. Toch zullen zij dit samen moeten oppakken. Ook omdat wet- en regelgeving daartoe dwingt. Zo zal vanuit Europese regelgeving de Nederlandse Wet voor Beveiliging van Netwerk- en Informatiesystemen verder uitgebreid worden en komt de nadruk meer op OT te liggen.” Welschen: “Neem security in van OT-systemen zeer serieus, want je productie en gebouw zijn je key-assets. Bekijk het vanaf de top van het bedrijf: waar zit het budget, wie is verantwoordelijkheid en hoe ga je het organiseren? Zorg in ieder geval dát je het organiseert en benader ons gerust om hierbij te helpen. Wij hebben de mankracht en kennis en bieden brede ondersteuning om de veiligheid en continuïteit te borgen.”
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.