Er is één ding dat ons in de industrie zeer aanspreekt : de bijzondere zorg voor het productieproces. Het is het kloppend hart van elke fabriek, dus het is eigenlijk geen verrassing, maar de opgebouwde ervaring van 300 jaar industrialisatie, in Europa en over de hele wereld, heeft een verbazingwekkende lijst van hulpmiddelen opgeleverd: procedures, certificeringen, monitoring, officiële instanties, normen & referenties en meer. Een reeks hulpmiddelen die op één ding zijn gericht: het veiligstellen van het productieproces.
Het gaat erom zeker te zijn dat het proces verloopt zoals het bedoeld is en dat de beloften worden nagekomen. Het gaat erom het volume, de kwaliteit, de veiligheid en de rentabiliteit van het industriële productieproces veilig te stellen. De problemen ontstaan wanneer we, om aan de rentabiliteit te voldoen, keuzes maken die de andere belangrijke zaken in gevaar kunnen brengen.
De race naar Industrie 4.0 begon meer dan 15 jaar geleden met toonaangevende leveranciers die hun klanten aanmoedigden om hun machines en hun productielijnen opnieuw te ontwerpen en de stap te zetten om de industriële besturingssystemen, PLC’s, aandrijvingen, HMI’s, van propriëtaire of semi-propriëtaire seriële netwerken naar Ethernet te verplaatsen: snellere communicatie, eenvoudigere integratie, nieuwe en zeer handige diensten.
Er waren veel voordelen en veel beloften die de stap rechtvaardigden en na verloop van tijd volgde de industrie en adopteerde zij IT vanwege de voordelen. Maar daarmee nam de industrie een risico, want wat de industrie duidelijk niet te horen kreeg, van de marketing van de belangrijkste leveranciers, is dat in het mooie uiterlijk van de vele voordelen een technologie schuilgaat die de veiligheid, de kwaliteit, het volume en uiteindelijk de integriteit van het productieproces in gevaar kan brengen, waardoor de winstgevendheid zelf in gevaar komt.
IT brengt onze industrie in gevaar, omdat het onverwachte verbindingen tot stand brengt tussen de fabriek en de buitenwereld.
Deze verbindingen kunnen zo simpel zijn als een e-mail, een USB-stick, een laptop op het netwerk of een faxapparaat met Ethernet aansluiting. Elk van deze drie voorbeelden is gebruikt, voor echte gevallen van cyberaanvallen. De dreiging komt wanneer het een pad heeft. Als een fabrieksvloer wordt “aangesloten” en wordt omgebouwd tot volledig Ethernet, wordt hij kwetsbaar.
IT heeft zeker instrumenten en procedures om de technologie op een veilige manier te gebruiken, maar waar het wringt is dat deze instrumenten en procedures niet zonder meer op de industrie kunnen worden toegepast, vanwege, juist de specifieke kenmerken van de industrie: de speciale zorg om het productieproces te beveiligen, soms in een paar woorden amengevat door de ervaren productie engineer die zegt “if it works, don’t fix it !”.
Er moeten compromissen worden gesloten, IT onderhoud moet onderdeel worden van productie onderhoud en IT beveiliging moet opgaan in de workflow van de automatiseringsgebruiker.
Dus ja, OT- en procesautomatiseringsengineers dienen te zorgen voor het IT onderhoud van hun nu IT geschikte Industrie 4.0 machines en apparatuur. Dit kan als een verrassing komen, omdat dit niet tot de beloften behoorde die de leveranciers hebben gedaan toen zij de overstap naar een meer verbonden industrie verkochten en het brengt zeker kosten met zich mee. OT- & procesautomatiseringsengineers zullen ook moeten leren omgaan met IT onderhoud, zodat downtime, prijs en vereiste competenties binnen de geplande prognoses blijven. Ook dat is niet eerder aan de orde geweest.
Gezien de dreiging die van de IT uitgaat in de productie, hebben OT- en procesengineers nu ook het recht om meer IT beveiliging te eisen in de producten en oplossingen van hun leveranciers.
Is het vandaag nog aanvaardbaar om apparaten te kopen met ingebedde websites die http, de onbeveiligde versie van https, ondersteunen? Is het nog aanvaardbaar om een bedieningspaneel te kopen met een ingebedde website die volledig crasht bij een niet-afgehandelde http/https exceptie?
Is het nog aanvaardbaar om vandaag de dag apparaten te kopen met standaard wachtwoorden, zoals admin/admin, waarbij men er simpelweg op vertrouwt dat de gebruiker deze wijzigt?
Hoe kunnen OT klanten op hun netwerkapparatuur accepteren die gaten slaat in de bedrijfsfirewall, naar een “undocumented server” gaat en toegang op afstand mogelijk maakt zonder enige lokale controle?
Hoeveel OT leveranciers hebben in hun bedrijf een veiligheidsstructuur die in verbinding staat met ondersteuning, productbeheer en R&D om sneller te kunnen reageren?
Het heeft 20 jaar geduurd voordat Modbus RTU (1979) werd overgezet op TCP/IP (1999) en het heeft nog eens 20 jaar geduurd voordat er een veilige versie van dat open protocol kwam (2018). Hoe lang zal het duren voor de industrie het overneemt?
ENISA en andere veiligheidsagentschappen van regeringen over de hele wereld doen aanbevelingen om een veiligere industrie op te bouwen en veiligere producten te maken. Dit zijn richtlijnen voor elke industrieleverancier en elke afnemer, om een kader te scheppen en standaardverwachtingen voor beveiliging in de industrie vast te stellen. Zodra OT en procesengineers veiligheid eisen, zal de tijd voorbij zijn dat industriële leveranciers IT functies in een OT product implementeren zonder serieus rekening te houden met de veiligheidsaspecten.
