De enorme vlucht van de internet technologie maakte in theorie bijna alles mogelijk, maar zorgde hierbij ook voor toenemende complexiteit van systemen. Gebruik van de open protocollen, integreren van de systemen, installaties c.q. plant’s op afstand beheren, biedt enorm veel voordeel (concurrentie voordeel, flexibiliteit, effectiviteit). Maar het brengt ook nieuwe type risico’s met zich mee. Overal om ons heen zien we toenemende afhankelijkheid van de ICT. Dus ook in de Industrie. Dat betekent dat onze industriële systemen ook kwetsbaar worden voor risico’s die op het eerste oog niet zichtbaar zijn.
Cloud en datacenter security (infosecurity 2013)Motiv
ICT Security is complex en 100 % privacy plus 100 % veiligheid bestaat niet. ICT Security is een specialistisch vakgebied geworden, maar voor u waarschijnlijk geen core business. Daarom helpen de security experts van Motiv u graag de juiste beslissingen te nemen en uw beveiligingsmaatregelen proactief te beheren.
Seminar Smart Industry: Smart enough to have a predicatable TCO?Croonwolter&dros
Smart Industry legt de nadruk op het inzetten van de nieuwste technologische ontwikkelingen zodat u uw productieprocessen optimaal kunt ontwerpen en benutten.
Regelmatig blijkt aan het einde van de technische ‘life cycle’ van een installatie, dat goedkoop duurkoop is geweest. Het loont dus om reeds in de ontwerpfase naar de minimale TCO te streven.
Het inzichtelijk maken van de life cycle kosten van een proces- of productie installatie biedt, met hulp van de nieuwste technieken, zeker ruimte voor verbetering. Zowel bij de bouw van de installatie, maar tevens tijdens de gebruiksperiode.
Duncan Smith, Electrical Superintendent at Paragon Offshore, presented the Paragon case about the Power Quality problems they had and which Croon and HyTEPS solved.
Cloud en datacenter security (infosecurity 2013)Motiv
ICT Security is complex en 100 % privacy plus 100 % veiligheid bestaat niet. ICT Security is een specialistisch vakgebied geworden, maar voor u waarschijnlijk geen core business. Daarom helpen de security experts van Motiv u graag de juiste beslissingen te nemen en uw beveiligingsmaatregelen proactief te beheren.
Seminar Smart Industry: Smart enough to have a predicatable TCO?Croonwolter&dros
Smart Industry legt de nadruk op het inzetten van de nieuwste technologische ontwikkelingen zodat u uw productieprocessen optimaal kunt ontwerpen en benutten.
Regelmatig blijkt aan het einde van de technische ‘life cycle’ van een installatie, dat goedkoop duurkoop is geweest. Het loont dus om reeds in de ontwerpfase naar de minimale TCO te streven.
Het inzichtelijk maken van de life cycle kosten van een proces- of productie installatie biedt, met hulp van de nieuwste technieken, zeker ruimte voor verbetering. Zowel bij de bouw van de installatie, maar tevens tijdens de gebruiksperiode.
Duncan Smith, Electrical Superintendent at Paragon Offshore, presented the Paragon case about the Power Quality problems they had and which Croon and HyTEPS solved.
In de praktijk: op zoek naar de juiste business-caseCroonwolter&dros
ing. Peter Withagen van Croon Elektrotechniek
Ideëen voor kostenbesparing of kwaliteitsverbetering zijn er meestal genoeg. De onderbouwing is vaak moeilijker. Daarom hebben Food & Beverage ingrediënts producent Döhler en Croon de zaak eens omgedraaid; maak de besparing inzichtelijk en zoek de bijbehorende oplossing. Een experiment met een economisch dashboard om op zoek te gaan naar de juiste business case
Seminar ‘Revitalisering: Modern Realisme’: Revitalisering en Modern Realisme:...Croonwolter&dros
Het project is integraal gebouwd en de verschillende disciplines hebben gebruik gemaakt van het Bouw Informatie Model (BIM) om het werk op elkaar af te stemmen.
Seminar ‘Revitalisering: Modern Realisme’: Veranderingen in de bouw - prof. d...Croonwolter&dros
Na de rondleiding sloot prof. dr. ir. Jan Rotmans het seminar af met een inspirerende lezing over de verandering van tijdperk waarin we ons bevinden. Zo zouden wij er goed aan doen de komst van robots te omarmen (ze nemen taken van ons over) en ons meer te gaan richten op de mens in plaats van het behalen van slechts rendement.
Men ziet terecht in dat het toenemen van o.a. incidenten, productie verlies en te hoge onderhoudskosten te relateren zijn aan gemiste alarmen. Voorzichtige schattingen geven aan dat zelfs 3% van alle verliezen te wijten zijn aan alarmmanagement problematiek. Croon helpt u uw Alarmmanagement op orde te krijgen volgens de EEMUA standaard en biedt u een permanente oplossing voor het reduceren en laag houden van de Alarm-load.
Integratie van bibliotheken met behulp van een integrerende bibliotheek door Leo van Ruijven Manager Techniek Ontwikkeling bij Croon Elektrotechniek en tevens Voorzitter NEN normcommissie NC 381184 “Automation systems and integration”.
In de praktijk: op zoek naar de juiste business-caseCroonwolter&dros
ing. Peter Withagen van Croon Elektrotechniek
Ideëen voor kostenbesparing of kwaliteitsverbetering zijn er meestal genoeg. De onderbouwing is vaak moeilijker. Daarom hebben Food & Beverage ingrediënts producent Döhler en Croon de zaak eens omgedraaid; maak de besparing inzichtelijk en zoek de bijbehorende oplossing. Een experiment met een economisch dashboard om op zoek te gaan naar de juiste business case
Seminar ‘Revitalisering: Modern Realisme’: Revitalisering en Modern Realisme:...Croonwolter&dros
Het project is integraal gebouwd en de verschillende disciplines hebben gebruik gemaakt van het Bouw Informatie Model (BIM) om het werk op elkaar af te stemmen.
Seminar ‘Revitalisering: Modern Realisme’: Veranderingen in de bouw - prof. d...Croonwolter&dros
Na de rondleiding sloot prof. dr. ir. Jan Rotmans het seminar af met een inspirerende lezing over de verandering van tijdperk waarin we ons bevinden. Zo zouden wij er goed aan doen de komst van robots te omarmen (ze nemen taken van ons over) en ons meer te gaan richten op de mens in plaats van het behalen van slechts rendement.
Men ziet terecht in dat het toenemen van o.a. incidenten, productie verlies en te hoge onderhoudskosten te relateren zijn aan gemiste alarmen. Voorzichtige schattingen geven aan dat zelfs 3% van alle verliezen te wijten zijn aan alarmmanagement problematiek. Croon helpt u uw Alarmmanagement op orde te krijgen volgens de EEMUA standaard en biedt u een permanente oplossing voor het reduceren en laag houden van de Alarm-load.
Integratie van bibliotheken met behulp van een integrerende bibliotheek door Leo van Ruijven Manager Techniek Ontwikkeling bij Croon Elektrotechniek en tevens Voorzitter NEN normcommissie NC 381184 “Automation systems and integration”.
3. Seminar Smart Industry | 30 oktober 2014 | Pagina 3
SMART INDUSTRY:
NIEUWE TYPE RISICO
Open protocollen
Afhankelijkheid van ICT Integratie van systemen
Know How bescherming
4. BEWUSTWORDING
Seminar Smart Industry | 30 oktober 2014 | Pagina 4
Kwetsbaarheid Beschikbaarheid (24/7)
Systeem IntegratieVerschillen IT/OT
“Professionele” hackers voor ICS
7. RISICO’S EN OPLOSSINGEN
Seminar Smart Industry | 30 oktober 2014 | Pagina 7
Defense in Depth
Fysieke beveiliging
Security Management
8. REMOTE ACCES
Seminar Smart Industry | 30 oktober 2014 | Pagina 8
Beheer externe toegang
Afhankelijkheid van partners
9. (EX) MEDEWERKERS
Seminar Smart Industry | 30 oktober 2014 | Pagina 9
Bewustwording
Password Management
Gedrag van mensen
Persoonlijke accounts
10. RISICO MANAGEMENT
Seminar Smart Industry | 30 oktober 2014 | Pagina 10
Risico Analyse
Maatregelen
Security beleid
Bestaande Security Beleid
11. HOE TE WAPENEN TEGEN EEN
ONZICHTBARE VIJAND
Seminar Smart Industry | 30 oktober 2014 | Pagina 11
Samenwerking kantoor- en industriële automatisering
Afstemming op algemeen security management
Samenwerking met system integrators en leveranciers
Kennis van systemen en processen
Integraal onderdeel van design (aanbestedingen)
Regelgeving en richtlijnen => overheid werkt aan nieuwe wetgeving
12. 3
EINDE
Bedankt voor uw aandacht
Parallellezing 3
Seminar Smart Industry | 30 oktober 2014 | Pagina 12
Marco van Vliet Zeljko Simic
Editor's Notes
De enorme vlucht van de internet technologie maakte in theorie bijna alles mogelijk, maar zorgde hierbij ook voor toenemende complexiteit van systemen. Gebruik van de open protocollen, integreren van de systemen, installaties c.q. plant’s op afstand beheren, biedt enorm veel voordeel (concurrentie voordeel, flexibiliteit, effectiviteit). Maar het brengt ook nieuwe type risico’s met zich mee. Overal om ons heen zien we toenemende afhankelijkheid van de ICT. Dus ook in de Industrie. Dat betekent dat onze industriële systemen ook kwetsbaar worden voor risico’s die op het eerste oog niet zichtbaar zijn.
Dat de tijd waarin de Brienenoord brug handmatig werd open gedraaid al lang voorbij is, is voor iedereen die de brug kent wel duidelijk. Veel minder zichtbaar is het risico, dat niet alleen bevoegden maar ook onbevoegden de brug kunnen opensturen. Misschien wel net zo onzichtbaar als de industriële besturingen in bijvoorbeeld tunnels, water zuivering installaties, maar ook chemische plant’s. Komende minuten willen we graag stilstaan bij deze nieuwe risico’s, gevolgen hiervan en met name hoe we deze risico’s met z’n alle kunnen verminderen.
Elke verandering begint bij bewustwording. Bewustwording van het feit dat onze systemen kwetsbaar zijn voor digitale dreigingen. Bewustwording van het feit dat onze huidige systemen en onze manier van werken hiermee onvoldoende rekening houdt, zeker als je dit vergelijkt met de huidige kantoor automatisering.
Dat de digitale beveiliging van onze systemen achterloopt is te verklaren door het feit dat deze ontworpen zijn met een focus op beschikbaarheid. Industriële systemen hadden hun eigen hardware en eigen protocollen die niet kwetsbaar waren voor de generieke virussen uit de kantoorautomatisering. Er was niet direct een noodzaak om hier rekening mee te houden. Systemen en protocollen zijn niet ontworpen om (digitaal) veilig te zijn.
De kantoorautomatisering (IT) en de proces automatisering (OT) waren twee gescheiden werelden met ieder zijn eigen aanpak en eigen cultuur. Binnen de proces automatisering is een 24x7 beschikbaarheid vaak essentieel, iets wat vanuit de kantoor automatisering niet geboden kan worden met de huidige manier van werken.
Met de opkomst van Smart Industrie zien we dat de systemen uit de verschillende werelden van IT en OT met elkaar gekoppeld worden.
De PCS systemen hebben de aandacht van hackers, tot een aantal jaar geleden was het niet “cool” om dergelijke systemen te hacken. Verschillende voorbeelden hebben de afgelopen periode duidelijk gemaakt dat hacker zich nu ook op deze systemen richten. Het betreft hier niet de tiener op een zolderkamertje maar b.v. onderzoek journalisten, criminele organisaties en zelfs landen. Er is geen bom meer nodig om een fabriek, organisatie of zelfs een hele samenleving te ontwrichten.
De huidige aanpak kenmerkt zich door systeem isolatie, waarbij proces netwerken volledig geïsoleerd worden van de buitenwereld.
Als we de vergelijking maken met deze gevangenis, dat weten we dat isolatie niet kan voorkomen dat allerlei zaken binnen de gevangenis worden aangetroffen. Dit geldt ook voor een groot deel van de virussen en andere bedreigingen. Ook Croon kent verschillende geïsoleerde netwerken, waarop toch virussen worden aangetroffen. Algemeen gebruik van b.v. USB sticks en andere draagbare digitale media zijn een bron van besmetting. Is b.v. de laptop van de service engineer wel voorzien van anti virus en de laatste Microsoft patches?
Recent is de Badusb-hack bekent gemaakt. Wie is hiermee bekent?
Hiermee kan een USB stick worden gebruikt als ieder ander apparaat, b.v. een toetsenboard. Dit lekt kan voor alle bestaande apparatuur niet opgelost worden.
Het is dus niet meer de vraag of ICT en het security onderdeel maken van onze Industry, eerder de vraag in welke mate, wat zijn de dreigingen en wat is de impact hiervan.
En dat laatste brengt vaak grote gevolgen met zich mee. Het heeft impact op onze business en denk hier bijvoorbeeld aan:
Financiële gevolgen (productie verlies): Drinkwater voorzieningen (b.v. hacken van een menger of zuivering en toevoegen van veel chloor of jodium in het water)
Imago Schade: denk aan het verhaal van Digi Notar, Gemeente Veren (sluis), of lekken van de foto’s van de celebritys die in de Cloud opgeslagen waren
Spionage en sabotage: Een potentiële vijand zou op deze manier makkelijk bij de betrouwbare data kunnen. Overheid, Ministerie van BiZA, AIVD hebben dit thema ook hoog in hun agenda staan. Denk alleen aan alle commotie rondom NSS eerder dit jaar in Den Haag. Of allerlei afluister praktijken tussen verschillende landen.
Milleu, Mens, Dier: Helaas kan dit ook gevolgen hebben voor de mensen levens. In USA is een wijk(trafo) station gehacket en hierdoor is een brand ontstaan met fatale gevolgen voor een aantal mensen.
Vitale Infrastructuur: Daar waar het in de conventionele oorlogsvoering zaak is vitale infrastructuur en energievoorziening als eerste uit te schakelen om de vijand te verzwakken (Red Alert) geldt in de “modern warfare” min of meer hetzelfde. Het is dan ook niet geheel toevallig dat juist ICS en kritische infrastructuur de meeste aandacht krijgen. Evenmin geldt dat voor het feit, dat juist vooraanstaande personen vanuit de krijgsmacht wordt gevraagd mee te denken in het vinden van de juiste ingrediënten voor het bestrijden van de gevaren veroorzaakt door hacking van systemen.
Graag willen we jullie meenemen naar een aantal voorbeelden en aan de hand hiervan risico’s en mogelijke oplossingen bespreken.
Wij hebben hier over de cyber security oftewel over een onzichtbare vijand. Maar een belangrijk onderdeel ook van deze (digitale) vorm van dreiging is de fysieke beveiliging.
Fysieke beveiliging kan je niet los zien van de digitale beveiliging (cyber security), maar juist moet je dit als een geheel zien. Op het moment dat je gebruik maakt van de meest geavanceerde virus scanners, firewall’s, monitoring tool’s en dergelijke, maar de toegang tot je ICS/SCADA/PLC systeem open en toegankelijk voor iedereen is, dan hebben alle genoemde maatregelen weinig zin.
Daarom moet fysieke beveiliging ook opgenomen worden in de security managment (processen en richtlijnen). Een van de meest gebruikte methode’s om security op een juiste manier te implementeren is Defence in Depth concept. Dit concept bestaat uit 3 lagen en een van de lagen is ook de fysieke beveiliging. Hiermee zorgen we ervoor dat ongewenste personen geen toegang hebben tot de plant/systeem en/of kritisch object. Tweede laag gaat over de netwerk security oftewel: segmenteren van netwerken, monitoren van datastromen en toepassen van de firewall. Tot slot beschrijft dit concept het systeem integrity. Hierin worden zaken genoemd zoals: gebruik van de antivirus/whitelistining software, onderhoud en update proces, gebruikers autorisatie en security by design.
De implementatie van netwerksecurity begint bij een goed overzicht van de verschillende systemen en de aanwezige datastromen. Door het segmenteren van het netwerk kan de communicatie tussen de verschillende zones gecontroleerd en gemonitord worden met b.v. een firewall. Alleen het noodzakelijk dataverkeer wordt toegestaan, waarbij ook aangegeven kan worden in welke richting dit verkeer loopt.
Bij het segmenteren van installaties kan b.v. de volgende indeling worden aangehouden:
Safety systemen
Process Controle (PLC)
Visualisatie, monitoring (SCADA)
MES ERP
Extern
Er zijn verschillende normen die gebruikt kunnen worden om deze indeling te bepalen, zoals de ISA 88, ISA 95 en ISA 99.
Om deze beveiliging goed te implementeren is kennis noodzakelijk van het proces maar ook van de gangbare ICT beveiliging. In tegenstelling tot de kantoor omgeving zal de indeling en de firewall configuratie voor ieder systeem maatwerk zijn.
Een bekende valkuil is dat een security leverancier vanuit de IT een firewall implementeert in een PCS omgeving zonder zich te verdiepen in de eigenschappen van de systemen.
Het spreek voor zich dat alle externe toegang tot de systemen goed beheer moeten worden. De techniek maakt het echter steeds makkelijker om deze remote acces verbindingen aan te leggen. Denk aan Wifi voor moeilijk bereikbare systemen tot GPRS modems die geïntegreerd worden in systemen en zodat deze via internet 24 uur per dag toegankelijk zijn (dus ook voor hackers).
Hierbij is een grote afhankelijkheid van de leveranciers en onderaannemers:
Gebruik van encryptie
Beheer van passworden en gebruikers (personeel verloop)
Logging van gebruik
Wie van de aanwezige heeft expliciet hierover afspraken gemaakt met partners?
RWS heeft b.v. een centrale RAS oplossing, met persoonsgebonden accounts voor de service engineers van alle onderaannemers.
Uit onderzoek blijkt dat de meeste incidenten veroorzaakt worden door eigen medewerkers, al dan niet bewust.
Menselijk gedrag is een belangrijke factor als het gaat om voorkomen van risico’s. Ook dit begint weer bij bewustwording. Medewerkers dienen zich bewust te zijn van de risico’s en ze moeten weten hoe hier rekening mee te houden.
Het opladen van een smartphone via de USB poort van een SCADA station is wellicht niet verstandig.
Het sturen van menselijk gedrag is een aparte wetenschap, techniek kan hierbij helpen.
Goed beheer van gebruikers en rechten kan hierbij helpen:
Default passworden verwijderen uit systemen
Persoonlijke accounts op systemen
Password management periodiek wijzigen
Logging en monitoring AAA methode
De algemene aanpak van Cyber security is niet anders dan de andere risico’s binnen een organisatie. Het dient een onderdeel te zijn van het bestaande risico management beleid.
De aanpak bestaat globaal uit de volgende stappen:
Identificeren van risico’s
Classificeren van risico’s
Ontwerpen maatregelen
Implementeren maatregelen
Accepteren rest risico
Instandhouding
Afstemming op bestaande security beleid
Ook hier geldt: 100% veiligheid bestaat niet. Er wordt geïnvesteerd in maatregelen die de grootste risico’s reduceren of de gevolgen hiervan beperken.
Zoals jullie dat ongetwijfeld steeds vaker merken is cyber security en dus die onzichtbare vijand overal om ons heen. Het wapenen hiertegen is een continu proces en om dat proces zo goed mogelijk te laten verlopen is samenwerking heel belangrijk. En samenwerken op verschillende niveaus en tussen verschillende stakeholders.
Allereerst is het belangrijk dat IT (kantoor automatisering) en OT (Industriële automatisering) gaan samenwerken en gezamenlijk verantwoordelijkheid hiervoor nemen. Een van de mogelijke oplossingen hiervoor is om binnen de organisatie een “security officer” aanstellen die deze belangen binnen MT vertegenwoordigt.
Verder is samenwerking en co-creatie noodzakelijk door de hele keten:(eindgebruikers, OEM’ers, Systeem Integratoren, advies- en consultancy bureau’s en producenten van industriële producten en toepassingen)
Regelgeving vanuit de overheid (gelijk bijvoorbeeld machineveiligheid)