artikel

Hoe stoom je je bedrijf klaar voor cybersecurity 4.0?

HSE

Volgens de Europese Commissie voldoet de huidige generatie IoT devices niet aan de laatste eisen rondom cybersecurity. DEKRA is wereldwijd een van de grootste bedrijven op het gebied van onder andere producttesten en certificatie en neemt in toenemende mate de verbonden componenten van complexe producten mee in een integrale aanpak voor productveiligheid. Onlangs werd DEKRA erkend om de cybersecurity van producten en systemen in de industriële automatisering te beoordelen en certificeren volgens de laatste eisen uit de IEC 62443. DEKRA geeft haar visie op dit onderwerp.

Hoe stoom je je bedrijf klaar voor cybersecurity 4.0?

‘Slimme producten, of het nu gaat om B2C of B2B-producten, zijn te beveiligen. Het is een uitdaging, maar het is niet onmogelijk’,  begint Beat Kreuter, global service director consumer safety, bij DEKRA. De uitdagingen zijn wel groter dan voorheen. Het ‘Internet of Things (IoT) is erkend als een nieuwe markt met enorm potentieel. Cisco schat dat in 2020 vijftig miljard apparaten verbonden zullen zijn. Connectiviteit komt samen met creatie, verzameling en overdracht van gegevens voor verschillende doeleinden. Dit brengt nieuwe uitdagingen met zich mee voor fabrikanten van dergelijke slimme, verbonden apparaten of machines. Het is belangrijk dat fabrikanten begrijpen wat de risico’s inhouden om de technologie op een correcte manier in te richten. Eigendomschade, privacyschending, economische verliezen of zelfs lichamelijk letsel kunnen het gevolg zijn van slecht beveiligde systemen.’

Bewustwording

Een eerste aspect dat bedrijven in brede zin moeten aanpakken, is bewustwording, stelt Kreuter. ‘Grote concerns als Siemens, Bosch of Philips zijn al jaren bezig met cybersecurity, maar bij heel veel kleinere spelers in de markt moet de bewustwording nog groeien.’ McKinsey publiceerde onlangs het artikel Six ways CEOs can promote cybersecurity in the IoT age met daarin de resultaten van een enquête, gehouden bij meer dan 400 managers van bedrijven uit meerdere landen. Uit de resultaten bleek dat 75 procent van de ondervraagden cybersecurity belangrijk tot erg belangrijk vindt en dat de relevantie nog zal toenemen. Slechts zestien procent gaf echter aan daarop goed voorbereid te zijn met betrekking tot Internet of Things. Bij meer dan een derde van de bedrijven ontbreekt een omvattende cybersecuritystrategie. De rest heeft wel een soort van strategie, maar heeft moeilijkheden deze te implementeren. Vooral het gebrek aan prioriteiten stellen en een act now-mentaliteit bij het senior management bleek te ontbreken. Slechts een aantal managers heeft een plan opgesteld met een specifieke veiligheidsstrategie voor cybersecurity en IoT.

Software

De maakindustrie zal zich moeten aanpassen aan de nieuwe situatie. Kreuter: ‘Producten en systemen bestaan uit hardware en software. Het beveiligingsprobleem is een software-issue. Wanneer software in slimme apparaten wordt geplaatst, moet deze uitvoerig worden getest. Slimme apparaten maken over het algemeen gebruik van een mix van eigen software, commerciële software en open source. Als onderdeel van de teststrategie is het bijvoorbeeld absoluut noodzakelijk om commerciële en open source software te testen op kwetsbaarheden. De ETSI-ontwerpspecificatie TR 101 583 bevat richtlijnen en aanbevelingen voor een gestructureerde aanpak voor het testen van beveiliging voor IoT-apparaten. Een slim product moet gedurende zijn levenscyclus een aantal keren een beveiligingsonderzoek ondergaan.’

 

Zeven fundamentele veiligheidseisen

Ook de IEC 62443 kan houvast bieden, zegt Kreuter: ‘Het is de leidende standaard in cybersecurity voor producten en systemen in de industriële automatisering. Door te voldoen aan deze standaard maken zowel organisaties als producten aantoonbaar dat zij aan een bepaald niveau van cybersecurity voldoen.’ DEKRA is de eerste Europese organisatie die cybersecurity assessments uit kan voeren en certificaten afgeeft tegen de IEC 62443 standaard. Kreuter: ‘Het voldoen aan de fundamentele beveiligingseisen zoals omschreven in bijvoorbeeld IEC 62443, geeft vertrouwen dat met de basiseisen rondom cybersecurity rekening is gehouden. Die zeven fundamentele veiligheidseisen zijn: toegangscontrole, authenticatie, onweerlegbaarheid, data-vertrouwelijkheid, communicatiebeveiliging, data-integriteit en de beschikbaarheid van hulpbronnen.

 

Zo sterk als de zwakste schakel

Fabrikanten die deze zeven veiligheidseisen implementeren, hebben nog geen garantie op honderd procent beveiligde systemen. Kreuter: ‘Tijdens het ontwikkelproces van een product moeten voortdurend meerdere partijen betrokken zijn. Het ontwerp an sich (zowel hard- als software) moet veilig zijn, maar ook bijvoorbeeld de operator, engineer, installateur en eindgebruiker moeten alert zijn en blijven. Er zijn altijd meerdere schakels betrokken in de keten. En de keten is maar zo sterk als de zwakste schakel. Als iemand bijvoorbeeld toegang heeft tot de software van een product en hij schrijft het wachtwoord op een papiertje, dan is er al een probleem met de veiligheid. Net als het onbeheerd achterlaten van een pc, een te eenvoudig wachtwoord kiezen, meerdere gebruikers eenzelfde gebruikersprofiel laten gebruiken, of bij de installatie of configuratie het standaard gegenereerde wachtwoord niet aanpassen.’ Of het nu gaat om de ontwikkelaar, operator of engineer, iedereen zal zijn eigen verantwoordelijkheid moeten nemen om te blijven voldoen aan de fundamentele eisen. Daarnaast moeten bedrijven zich ervan bewust zijn dat het geen statisch proces is, maar zeer dynamisch.

Zeven fundamentele veiligheidseisen

Om slimme producten te produceren die veilig zijn, is het  belangrijk dat de maakindustrie zeven fundamentele veiligheidseisen implementeert:

1) Toegangscontrole

Met toegangscontrole zorg je ervoor dat apparaten en systemen beschermd zijn tegen onbevoegd gebruik. Zo heeft alleen geautoriseerd personeel toegang tot het netwerk, opgeslagen informatie, informatiestromen, diensten en applicaties. Denk voor maatregelen onder andere aan gebruikersidentificatie, accountbeheer, beheer van draadloze toegang en hardware beveiliging.

2) Authenticatie

Authenticatie bevestigt de identiteit van de gebruiker of communicerende entiteit. Het garandeert dat de persoon, het apparaat, de service of applicatie geen onbevoegde toegang probeert te krijgen tot het systeem. Denk voor maatregelen aan bijvoorbeeld het beeïndigen van de sessie na gebruik en multiple factor authentication, een extra check of de gebruiker daadwerkelijk is wie hij zegt dat hij is.

3) Onweerlegbaarheid

Dit is het opnemen, registeren en verifiëren van bewijsmateriaal. Daaropvolgend wordt de informatie opnieuw opgehaald en geverifieerd zodat mogelijke twijfels of conflicten kunnen worden weggenomen of opgelost.

4) Datavertrouwelijkheid

Bescherming van data tegen onbevoegde(n) (openbaarmaking). Een maatregel kan encryptie zijn. Dit zorgt ervoor dat data of gegevens versleuteld zijn en niet door onbevoegden kunnen worden uitgelezen.

5) Communicatiebeveiliging

Communicatiebeveiliging geeft zekerheid dat informatie alleen tussen geautoriseerde entiteiten  beweegt (de informatie wordt niet doorgegeven of onderschept wanneer deze tussen deze systemen beweegt).

6) Data-integriteit

Data-integriteit zorgt voor de juistheid of accuraatheid van gegevens. De gegevens worden beschermd tegen onbevoegde wijzigingen, verwijderingen, nieuwe toevoegingen en kopiëren. Vaak wordt een melding gegeven van deze ongeautoriseerde activiteiten.

7)Beschikbaarheid van bronnen

Dit zorgt ervoor dat er altijd toegang is tot het netwerk, tot opgeslagen informatie, informatiestromen, diensten en toepassingen ongeacht zaken die het netwerk kunnen beïnvloeden of verstoren.

Nog een aspect waarmee eveneens rekening moet worden gehouden is Privacy. De bescherming van informatie die kan worden afgeleid door observatie van netwerkactiviteiten. Voorbeelden van deze informatie zijn websites die de gebruikers hebben bezocht, de geografische locatie van een systeem,  IP-adressen en DNS-namen van apparaten.
Bron van 7 fundamentele veiligheidseisen: zoals vermeld in de IEC 62443

 

Reageer op dit artikel