Feature images IT alleen kan de sector niet beveiligen

Als het op IT beveiliging aankomt bestaat er niet zoiets als een klein detail
Details zijn precies waar de slechteriken hun weg vinden: via deze kleine dingen die u niet heeft gecontroleerd en beveiligd. Er zijn er zoveel van in industriële producten. Maar al te vaak worden IT functies en diensten geïnstalleerd voor het gemak. Maar wordt er zelden gedacht aan de IT beveiligingsaspecten.

Het resultaat is dat het niet ongebruikelijk is om embedded websites te vinden met een versie van meer dan 10 jaar geleden, die nooit zijn gepatcht of remote service mogelijkheden die op een al te simplistische manier zijn geïmplementeerd.

IT alleen kan de sector niet beveiligen,
de sector dient zichzelf te beveiligen

Wat voor sommigen een detail is, is voor anderen de gouden sleutel

Onwetendheid, onbekwaamheid, oordeel zelf, maar oordeel niet te overhaast en zorg opnieuw voor de context en de details. Het heeft tientallen jaren geduurd voordat IT het niveau van bewustzijn bereikte dat we vandaag de dag hebben en toch blijven er regelmatig succesvolle aanvallen op pure IT architecturen plaatsvinden.

De industrie is pas zo’n 15, misschien zelfs 20 jaar geleden overgestapt op IT op de productievloer. Onder druk van de marketing van grote fabrikanten migreerden de fabrieken van meervoudige en niet-verbonden seriële “netwerken” naar geïntegreerde IT architecturen. Onder de belofte van talrijke voordelen ontketende het industrie 4.0 moderniseringsproces industriële machines en hun componenten werden onvermijdelijk “connected”.

OT context is heel anders in die zin dat, als we de voordelen van het kopen van iets nieuws kennen, we ook de voordelen van de ervaring van het personeel en de beloningen van het repareren kennen. In de industrie zijn we er erg trots op dat we systemen, machines en controllers kunnen laten zien die nog steeds, dag in dag uit, met weinig of geen onderhoud, 10, 15, 20 of zelfs 30 jaar lang presteren. Nadat de initiële investering is terugverdiend. In de industrie worden dingen betrouwbaar gebouwd om lang mee te gaan.

Achtergrond Cybercode

De illusie van een cyber-omheining

Het is heel verleidelijk om te denken dat, als het probleem bij de IT-connectiviteit ligt, IT dat wel zal oplossen en rond het fabrieksnetwerk een veilige perimeter zal bouwen, waar OT onveilige protocollen en verouderde platforms kan blijven gebruiken.

Helaas werkt dat niet zo: cyberdreigingen kunnen worden geïmporteerd, bijvoorbeeld wanneer er een link in een email wordt aangeklikt en de productie externe verbindingen nodig heeft, bijvoorbeeld (zoals) voor de ondersteuning en diensten op afstand van leveranciers.

De geschiedenis heeft aangetoond dat het concept van een IT eiland, geïsoleerd van de buitenwereld, een illusie is en dat we anders moeten gaan denken. Aangezien IT alleen de industrie niet kan beveiligen, moet de industrie zichzelf beveiligen. IT/OT integratie moet ook worden opgevat als integratie van IT beveiliging in OT workflows: IT beveiliging moet deel gaan uitmaken van OT procedures en in OT workflows worden geïntegreerd.

Als het werkt, repareer het dan niet… echt?

Dat is natuurlijk niet langer aanvaardbaar in een verbonden fabriek met geïntegreerde Industrie 4.0-productie, maar er gaapt een enorme kloof tussen grote organisaties die het IT onderhoud van hun OT systemen al in hun gangbare praktijken hebben geïntegreerd en alle andere, die soms verouderde en zeer onveilige apparatuur gebruiken. Bij IT veiligheid gaat het er dus niet alleen om dat OT nieuwe competenties verwerft, het gaat om een volledige verandering van paradigma: de manier waarop machines en componenten in het verleden werden aangekocht als een eenmalige investering, is niet langer geschikt. Ze worden nu geleverd met een IT service- en onderhoudsopdracht op lange termijn.

Het hoeft niet meer te kosten om de dingen goed te doen

Voor een industriële leverancier kost het ontwikkelen van veilige producten en oplossingen niet noodzakelijk méér, maar het vraagt wel om een andere manier van denken, vanaf het allereerste begin van het R&D proces. Het dwingt de ontwikkelaars en de productmanagers zich een IT beveiligingsmentaliteit eigen te maken en zich bewust te zijn van de impact van elke R&D keuze op de veiligheid van de toekomstige operator workflow.

Of het nu gaat om de beveiliging van legacy apparatuur, de beveiliging van support & onderhoud op afstand van de leveranciers of industriële IoT diensten, wij geloven dat we met onze ervaring als jarenlange leveranciers van de industrie een belangrijke rol te spelen hebben. Wij kennen de OT use cases, wij hebben de ervaring om ons aan te passen aan de workflows van de operators. Dat is precies onze specialiteit en de toegevoegde waarde die we genereren als we IT security integreren in onze OT oplossingen.

Bij MB connect line zien we IT beveiliging eerst als een proces, gedurende de hele levensduur van het product en als een structuur in het bedrijf. Pas daarna zien we het als functies in het product. Het is een proces omdat het begint met het project van een nieuw product, zelfs voordat R&D begint, en het gaat door met patches en updates, lang na het commerciële einde van de levensduur van het product.

Het is een structuur, met ons security response team en met ons ecosysteem van IT beveiligingspartners, die ons helpen bij onze productontwerp- en onderhoudsprocessen.

Tot slot zijn het zichtbare en onzichtbare functies in onze producten, waarvan vele de aanbevelingen opvolgen van cyberbeveiligingsinstanties wereldwijd, zoals die u dag na dag zult ontdekken in deze nieuwe reeks…

Wilt u meer weten over onze IT Security Standards? U bent slechts één klik verwijderd. Of bestel direct onze IT Security White paper.