Door: Steve Ludwig, Commercial Programs Manager, Safety, Rockwell Automation
We kennen allemaal de gevolgen die cybercriminaliteit kan hebben voor onze intellectuele eigendommen, klantenbestanden en productiviteit. Helaas zijn we minder goed op de hoogte van de fysieke risico’s die deze bedreigingen in productie-omgevingen met zich mee kunnen brengen. Zo kan een cyberaanval op een industrieel besturingssysteem flinke schade aanrichten aan productie-installaties, ernstige milieuschade veroorzaken of zelfs lichaamlijk letsel bij werknemers tot gevolg hebben..
Voor industriële bedrijven, die zich momenteel midden in een digitaal transformatieproces bevinden – of dit nu een strak geleid proces betreft of een gestage evolutie – is het van groot belang dat de beheersing van structurele veiligheids- en beveiligingsrisico’s een integraal onderdeel van dat proces is.
Een goed gedefinieerde beveiligingsaanpak zal ook de verzameling, analyse en uitwisseling van informatie verbeteren. Hierdoor kunnen werkonderbrekingen en frustraties als gevolg van problemen door de beveiliging tot een minimum beperkt worden en – niet geheel onbelangrijk – de onderneming blijft adequaat beschermd.
Ken de risico’s
Tegenwoordig leggen de normen voor beveiliging en veiligheid een verband tussen veiligheids- en beveiligingsrisico’s. De ISA/IEC 62443-1-1 norm voor cybersecurity geeft aan dat een inbraak in de beveiliging consequenties kan hebben, die veel verder gaan dan de aantasting van informatie: “Het potentiële verlies aan mensenlevens of productie, milieuschade, schending van de regelgeving en aantasting van de operationele veiligheid zijn veel ernstigere gevolgen. Deze gevolgen kunnen de aangevallen organisatie overstijgen: ze kunnen zelfs de openbare infrastructuur ernstig beschadigen.”
De functionele veiligheidsnorm IEC 61508-1 bepaalt dat risico’s die verbonden zijn aan industriёle apparatuur en besturingssystemen voor alle redelijkerwijs te voorziene omstandigheden in kaart gebracht moeten worden. De norm stelt: “De evaluatie moet alle mogelijke menselijke aspecten bevatten en aandacht besteden aan abnormaal en opvallend gebruik van de automatiseringssystemen. Blijkt uit de risico-analyse dat er sprake kan zijn van mogelijk kwaadwillige of ongeoorloofde handelingen die een redelijkerwijs te veronderstellen veiligheidsdreiging vormen, moet er een analyse van de veiligheidsdreigingen worden uitgevoerd.”
Beveiliging benadert problemen op basis van risicomanagement, waarbij gebruik gemaakt wordt van voortdurende risico-analyse en baselining om ervoor te zorgen dat bepaalde risicodrempels gehaald worden. Het niveau van aanvaardbare risico’s variëert per bedrijfstak en zijn afhankelijk van de potentiële gevolgen.
Hacker
Als je bedenkt dat cyberaanvallen doorgaans ontstaan nadat een hacker een kwetsbaar doelwit vindt – in plaats van zich specifiek op een bepaalde bedrijf te richten – is een cyberaanval dus in praktisch elke organisatie te verwachten.
Het beoordelen van de cybersecurityrisico’s, het bepalen van een aanvaardbaar risiconiveau en het beperken van geïdentificeerde risico’s tot een aanvaardbaar niveau zijn de basisstappen om bedrijven te beschermen tegen voorspelbaar misbruik en kwaadwillige of ongeoorloofde acties.
Net als bij beveiliging in het algemeen is het negeren van cybersecurity en de bijbehorende risico’s geen optie. Denk vooral niet: “Zolang ik niet op de hoogte ben van het risico, kan ik niet verantwoordelijk worden gehouden.” Dat is geen acceptabele houding, noch uit ethisch oogpunt, noch met het oog op naleving van de gemaakte afspraken. Maar vooral niet wanneer er levens op het spel staan.
Pak risico’s samen aan
De risico’s die connected technologieën met zich meebrengen worden door sommigen als argument tegen modernisering gebruikt. Het is echter belangrijk om je te realiseren dat niets doen geen oplossing is.
Door legacysystemen te lang in gebruik te houden, onthouden bedrijven zichzelf niet alleen waardevolle mogelijkheden voor meer inzicht en andere voordelen van IIoT, maar deze systemen zijn ook nog extra kwetsbaar, omdat zij vaak de veiligheidsmaatregelen van hedendaagse systemen missen. Je kunt de digitale transformatie maar beter omarmen en tegelijkertijd de veiligheid en beveiliging als onderdeel van het proces organiseren.
Zo worden er in de IT-wereld al lang veel beveiligingspraktijken toegepast, maar ze zijn nieuw voor de OT-wereld. Ondanks het feit, dat de beveiligingsprocessen vergelijkbaar zijn, worden ze in de kantooromgeving heel anders toegepast dan op de fabrieksvloer.
In een productie-omgeving moeten cybersecurity en veiligheidsrisico’s zowel deel uitmaken van het standaard risicobeheer als van het veranderingsproces. Daarnaast moeten veiligheidsprofessionals worden betrokken bij het beheer van processen en de naleving van normen en regels.
Er is een nieuw tijdperk voor de industrie aangebroken. De voordelen van Industrie 4.0 wegen absoluut op tegen de verhoogde risico’s. Als je die risico’s begrijpt en ze als onderdeel van de digitalisering aanpakt, kun je de activiteiten verder uitbreiden en tegelijkertijd beschermen wat het meest belangrijk is.