Het Industrial Internet of Things veilig benutten in 4 stappen

Uit onderzoek van zowel de Koninklijke Metaalunie als PCW komt naar voren dat veel bedrijven in de maakindustrie de opkomst van het Industrial Internet of Things (IIoT) afwachtend gadeslaan. Dat is niet alleen zonde met oog op de talloze kansen, maar ook onverstandig, aangezien het IIoT feitelijk al lang zijn intrede heeft gedaan. Het is ‘here to stay’. Er is dan ook geen andere optie dan het te omarmen. Ik help u graag op weg.

De huidige digitalisering wordt genoemd als één van de belangrijkste aandrijvers voor de groei van de Nederlandse maakindustrie. Het IIoT is hier een belangrijk onderdeel van. Wanneer u deze technologieën wilt benutten kunt u met oog op uw bedrijfscontinuïteit en wet- en regelgeving niet om het security-vraagstuk heen. Het onderstaande stappenplan helpt u aan een solide basis voor de security van uw IIoT-omgeving. Eerst verkennen we kort het woud aan relevante afkortingen, hoe deze zich tot elkaar verhouden en welke impact ze hebben op security.

IoT & IIoT versus IT & OT

Het Internet of Things (IoT) heeft betrekking op alle apparaten die connectie maken met digitale netwerken om gegevens uit te kunnen wisselen. Het IIoT is hier een onderdeel van en betreft specifiek de apparaten en machines die verbonden zijn binnen industriële omgevingen. Daarmee raakt IIoT zowel de informatietechnologie (IT) als de operationele technologie (OT). We zien dat de opkomst van het IIoT bijdraagt aan een verdere convergentie tussen IT en OT, doordat er vanuit de OT-omgevingen steeds meer verbindingen naar de buitenwereld ontstaan, soms via het IT-domein maar ook regelmatig direct naar het internet.. Deze ontwikkeling brengt daarmee naast nieuwe mogelijkheden zoals predictive maintenance, ook uitdagingen met zich mee. Vooral op het gebied van security. Wanneer hackers uw elektrische tandenborstel stilleggen is dat al vervelend. Wanneer zij toegang kunnen krijgen tot vitale infrastructuren zoals die van de drinkwatervoorziening of elektriciteitscentrales wordt het echt penibel.

1. Awareness
Een toekomstgericht beleid aangaande IIoT is stap één, en dat start met bewustwording. Bij veel bedrijven is namelijk, al dan niet bewust, al (I)IoT aanwezig. En dit zonder dat de organisatie duidelijke heeft wat het IIoT omhelst, hoe u dit als organisatie wilt benutten en hoe dit op een veilige manier gebruikt kan worden. Dit zorgt voor een bedrijfsrisico dat vaak wordt onderschat. Het is belangrijk om bij het uitwerken van de bedrijfsstrategie cyber security als integraal onderdeel mee te nemen.   En zoals alles start dit met de awareness van de mensen binnen de organisatie. Zij moeten snappen waarom cyber security van belang is om de gewenste bedrijfsdoelstellingen te kunnen realiseren en wat de risico’s zijn als dat niet op de juiste manier gebeurt. Een IIoT (security) awareness programma is daar een goede oplossing voor. Dit programma heeft als doel om medewerkers op alle lagen in de organisatie bewust te maken van de (mogelijke) rol van IIoT, de verwachte voordelen voor de organisatie, maar ook de beleidsregels en de cyber securityaspecten die van invloed zijn op de bedrijfscontinuïteit. Het komt regelmatig voor dat mensen zich niet realiseren hoeveel verbonden apparaten er aangesloten zijn op hun netwerk, of welke dat zijn. Minder voor de hand liggende slimme apparaten kunnen een onverwacht groot risico vormen. Denk bijvoorbeeld aan de opmerkelijke hack van een casino in Amerika, waarbij hun database werd gestolen via de thermometer van hun aquarium, die een connectie had met het bedrijfsnetwerk.

2. Een robuuste, weerbare architectuur
Zodra u duidelijk heeft wat hoe IIoT uw bedrijfsstrategie gaat versterken, is het belangrijk om deze infrastructuur ook robuust en weerbaar te maken. Het moet niet alleen op papier werken, maar ook in de praktijk. Het vertrekpunt daarbij is het ontwikkelen van een goede architectuur die, indien goed geïmplementeerd, de tand des tijds kan doorstaan en flexibel genoeg is om robuust en weerbaar te blijven. Dit klinkt wellicht simpel maar is moeilijk in de praktijk. Immers, IIoT wordt meestal ingevlochten in bestaande infrastructuren. Het allerbelangrijkste is om de infrastructuur op te bouwen met een goede segmentering van het netwerk, de zogenoemde ‘zones and conduits’. Uitgangspunt hierbij is dat de infrastructuur robuust en weerbaar is en niet bij elke willekeurige aanval of onbedoeld incident onderuit gaat. De zonering zorgt er ook voor dat bij eventuele besmetting via bijvoordbeeld IIoT apparaten, de vitale onderdelen van het netwerk beschermd blijven.

 Daarnaast het inrichten van duidelijke procedures voor het doorvoeren van wijzigen en het up-to-date houden van het overzicht van netwerkcomponenten en de apparaten/machines die daaraan gekoppeld worden. Als u het helemaal goed wilt doen, zouden deze apparaten ook nog eens onderworpen moeten worden aan een security test en certificering. De combinatie van deze maatregelen zorgt er voor dat uw investering in IIoT toepassingen ook daadwerkelijk verdere groei van de business gaan faciliteren.

3. Testen van apparatuur, applicaties en andere end points
Uiteindelijk kan het huidige securityniveau alleen worden vastgesteld door de infrastructuur daadwerkelijk te testen. Dan wordt duidelijk of de security maatregelen adequaat zijn geïmplementeerd en tevens of u nog aanvullende maatregelen moet treffen. Het is sowieso raadzaam om dit soort penetratietesten regelmatig uit te voeren   . Op papier kunnen uw strategie en de beloftes van uw toeleveranciers er namelijk prachtig uit zien, maar de praktijk is weerbarstiger. Implementatie wordt niet altijd zo gedaan als op papier afgesproken en in de beheerfase vinden er ook voortdurend wijzigingen plaats. Daarbij verandert het externe dreigingslandschap ook nog regelmatig. Eenvoudige kwetsbaarheden kunnen daarbij leiden tot vervelende en zelfs gevaarlijke situaties. De meeste van deze incidenten halen het nieuws niet, anderen wel. Recent werd bijvoorbeeld bekend dat hackers toegang hadden tot tuinsproeiers, waarmee ze de lokale watervoorraad drastisch konden beïnvloeden. Ook wordt regelmatig geschreven over hackers die (mogelijk) toegang hadden tot de infrastructuur van energiebedrijven. Om echt zeker van te zijn uw infrastructuur veilig genoeg is, kunt u alleen ‘weten door te meten’.  

4. Incident respons capaciteit
Als u de bovenstaande stappen heeft gevolgd heeft u een goede basis gelegd. In de praktijk bestaat er echter geen 100 procent waterdichte security. Dat zal altijd zo blijven. Het is daarom essentieel dat u een incident response capaciteit beschikbaar heeft, die beschikbaar is in geval van incidenten. En dan ook voor het industriële domein. Sommige organisaties hebben al zo’n capaciteit voor hun IT omgeving, maar voor het industriële domein is dit nog maar nauwelijks belegd.  Zo’n bestaat uit enerzijds een getraind team met kennis van de netwerken, systemen, applicaties en protocollen die binnen een industriële omgeving worden gebruikt en anderzijds uit-procedures om eventuele incidenten zo tijdig mogelijk te identificeren en analyseren. Ook hier moet u zich realiseren dat de aanpak vanuit de IT omgeving niet 1-op-1 werkt voor het industriële domein. Het hebben van een team en goede procedures is belangrijkom zo adequaat mogelijk te kunnen optreden en  de mogelijke impact van incidenten te minimaliseren.

Het IIoT biedt talloze kansen. We zien dat branches als de olie & gasindustrie, maar ook de energie- en chemie-industrie deze actief verkennen. Welke kansen voor u in het verschiet liggen is koffiedik kijken. Het is echter een gegeven dat de slimme apparaten de weg naar uw organisatie al lang hebben gevonden en in de toekomst alleen maar meer zullen vinden. Nu is het aan u om daar slim en veilig mee om te gaan.