Het nut en de noodzaak van Industrial cybersecurity

Het nut en de noodzaak van Industrial cybersecurity

KENNISPARTNER - Industrial cybersecurity is een hot item. Incidenten worden breed uitgemeten en de technische oplossingen zijn in veelvoud voorhanden. Moet de foodindustrie ook investeren in cybersecurity? Welke investeringen zijn dan kosteneffectief?

Dat aanvallen op computersystemen een sterk groeiend probleem zijn, valt niet te ontkennen. Volgens de KvK heeft bijna twee op de vijf mkb-ers te maken gehad met vormen van digitale fraude en het aantal kwetsbaarheden in industriële omgevingen is zelfs met 29% gestegen in 2018 ten opzichte van 2017. Vaak betreffen het aanvallen op computersystemen van banken, multinationals of openbare gebouwen die het nieuws halen. Maar ook in de industrie wordt het belang van cybersecurity steeds groter, al zullen incidenten misschien niet altijd naar buiten worden gebracht.

Een voorbeeld is het stilvallen van productielijnen door ‘ransomware’ die alleen tegen betaling van bitcoins weer vrijgegeven worden, waardoor de productiecontinuïteit in gevaar komt en mogelijk niet voldaan kan worden aan leveringsverplichtingen. Hoewel ransomware - of een afgeleide - vaak geen gerichte aanval is, zoals de aanval op Mondelez in 2017, is ook het moedwillig in gevaar brengen van de voedselveiligheid of het bewust lozen van afvalwater in het milieu een reële mogelijkheid. Een ander gevaar is de concurrent die productieprocessen kan beïnvloeden of bedrijfsgegevens bespioneert. Allemaal potentiële risico’s voor de foodindustrie.

Wat maakt procesbeveiliging lastig?

De techniek van machines en apparatuur is steeds meer gebaseerd op standaarden binnen de industrie. Hierdoor is documentatie vaak via internet beschikbaar en de software van machines bestaat steeds vaker uit standaard bouwblokken van leveranciers. Dit maakt het voor hackers een koud kunstje om ‘in te breken’ in productieprocessen. Bijkomend probleem is dat het voor de productie belangrijk is dat machines blijven draaien. Updates van software worden daarom vaak niet gedaan, uit angst dat het productieproces daardoor stil komt te liggen, omdat de impact van de updates niet goed is te overzien. Ook worden virusscanners zoals we die kennen van de kantooromgeving vaak niet ondersteund door de softwareleveranciers in de productieomgeving. Om diezelfde reden wordt het netwerk soms erg ‘plat’ gehouden om te zorgen dat alles altijd met elkaar communiceert. Echter zijn deze argumenten met de huidige techniek en mogelijkheden niet langer steekhoudend.

Veel cyberaanvallen zijn eenvoudig te voorkomen

Zijn er dus grote investeringen nodig om de cybersecurity op orde te brengen? Als het aan de verkopers van de technische oplossingen ligt wel. Een investering is meestal wel nodig, echter het hoeft niet altijd direct in dure oplossingen. Het is goed om te beseffen dat de grootste veiligheidsrisico’s in de meeste gevallen voorkomen kunnen worden door relatief eenvoudige oplossingen en vooral ook door mensen zelf. De oud-directeur van het GCHQ (Britse inlichtingendienst) stelt dat tachtig tot negentig procent van de cyberaanvallen te voorkomen is door regelmatige software-updates, een degelijke netwerkconfiguratie en goed wachtwoordbeheer. Vaak zijn wachtwoorden te simpel, wordt in de hele fabriek hetzelfde wachtwoord gebruikt, hangen de wachtwoorden op briefjes aan de muur of zijn ze leesbaar in de broncode van de software en in documentatie (bijvoorbeeld in handleidingen). Daar is dus veel winst te behalen.

Een betere beveiliging begint bij het volgen van een stappenplan

Om een inschatting te kunnen maken wat nodig is in de eigen productie-omgeving is het goed een eenvoudig stappenplan te volgen. Gestart kan worden met het maken van een businesscase en een probleemdefinitie (business rationale).

Stap 1. Waarom is cybersecurity in het productieproces belangrijk? De eerste vraag moet dan ook zijn wat men wil dat bereikt wordt met cybersecurity. Is dat het voorkomen van ongeplande stilstanden? Het voorkomen dat gegevens (bijvoorbeeld recepturen) gestolen worden? Of het voorkomen dat eindproducten de fabriek verlaten die niet aan de specificaties voldoen?

In ieder geval moet gezorgd worden voor een niet ‘te technische’ businesscase, die ook goed leesbaar is voor bijvoorbeeld het minder technische managementteam. Op deze manier worden problemen en voorstellen tot oplossingen breder gedragen in de organisatie, zijn ze eenvoudiger bespreekbaar.

Bereken wat beveiliging gaat opleveren

Stap 2. Stel vervolgens de vraag en ga uitrekenen wat cybersecurity (indirect) gaat opleveren. Natuurlijk is dit niet eenvoudig uit te drukken in geld. Toch zijn er tegenwoordig berekeningen beschikbaar door onderzoek onder bedrijven, die bijvoorbeeld aangeven dat een (langdurige) productiestilstand door een cyberincident gemiddeld een bedrijf $400.000 kost.

Maak een risico-analyse

Stap 3. Het is nu van belang om niet meteen te denken in dure technische oplossingen. Eerst zal een risico-analyse gemaakt moeten worden. Wat zijn de belangrijkste productieprocessen, welke moeten het best beveiligd worden en welke minder? Welk risico lopen die processen en wat is de kans dat daar iets mee gebeurt? Een bekende en veelgebruikte risico-analyse is een Failure Mode & Effect Analyses (FMEA), waarbij systematisch mogelijke storingen in kaart worden gebracht en wat de gevolgen daarvan zijn. Ook de CORAS-methode kan gebruikt worden, die het op een andere (minder technische) wijze aanpakt. Het is van belang dat het hele bedrijf meewerkt aan de risico-analyse. Neem ook andere deelnemers in de supplychain mee, kwaadwillenden proberen soms binnen te komen via de achterdeur van de toeleverancier. Het is goed om in de contracten afspraken te maken over ieders verantwoordelijkheid.

Een OT of IT-afdeling kan dit niet alleen doen. Technici kunnen nooit bepalen wat acceptabele risico’s zijn of wat de gevolgen zijn voor de processen, dit is een afweging die door het management gemaakt moet worden.

Reserveer een budget, maar focus niet alleen op techniek

Stap 4. Na deze fase zal er een budget voor cybersecurity gereserveerd moeten worden. Cybersecurity is nu eenmaal niet gratis. Aan de hand van de businesscase en de risico-analyse kan nu wel gerichter aan een passend budget gedacht worden. Het is belangrijk dat niet op techniek alleen gefocust wordt. Juist ook de mens is een belangrijk onderdeel bij cybersecurity, dus denk ook aan richtlijnen en procedures, maar met name ook aan awareness en begrip bij werknemers.

Beveilig in meerdere lagen

Stap 5. Kies voor defence in depth, ofwel een beveiliging bestaande uit meerdere lagen, net als bij de kastelen vroeger, die naast dikke muren, ook een slotgracht en een ophaalbrug hadden. Voor beveiliging is vaak niet één oplossing, de oplossing bestaat uit meerdere onderdelen en aspecten.

Actief beheer en permanente monitoring

Stap 6. Nadat gekozen is voor oplossingen is het beheer hiervan van groot belang. Technische oplossingen vergen namelijk een actief beheer en een permanente monitoring. Updates zullen moeten worden ingepland en gedraaid. Een firewall zal periodiek moeten worden geanalyseerd (welk verkeer is tegengehouden?), wat waren de bedreigingen en is de organisatie nog steeds voldoende beveiligd? Meldingen van een Intrusion Detection System (IDS) moeten worden opgevolgd.

De menselijke factor blijft de zwakste schakel in de beveiliging. Procedures en bewustwording zijn cruciaal. Het bewust zijn wat de technische oplossing biedt, maar vooral ook wat hij niet biedt is essentieel voor de werking ervan. Tot slot zal het beveiligingssysteem periodiek (bijvoorbeeld jaarlijks of tweejaarlijks) geëvalueerd moeten worden en moet de risico-analyse opnieuw uitgevoerd worden.

Actemium Cybersecurity icoon

Cybersecurity managementsysteem (CSMS)

Bovenstaande stappen staan ook beschreven in de standaard ISA/IEC-62443, vergelijkbaar met ISO-27001 en 27002 voor de IT-omgeving. Het is een standaard voor cybersecurity, die veel in de industrie gebruikt wordt. Het is aan te bevelen deze standaard eens door te lezen voor meer bewustwording over industrial cybersecurity en de mogelijkheden die er zijn om het beheersbaar te maken.

Auteur: Rick Booij, Industrial Cybersecurity Expert bij Actemium, kennispartner van VMT

Webinar/eBook: 'Inefficiëntie in voedings- en drankenbedrijven te lijf met machine learning en AI'

Webinar/eBook: 'Inefficiëntie in voedings- en drankenbedrijven te...

Wil je weten welke opkomende automatiseringsmethoden aan populariteit winnen en welke technologieën meer automatisering mogelijk zullen maken? Volgens het nieuwe Expert eBook van Aptean staan we mogelijk aan het begin van een nieuw tijdperk met machine learning en artificial intelligence als sleuteltechnologieën.

Stefan Buijsman, Associate Professor Responsible AI aan de TU Delft op de FNLI Jaarbijeenkomst 2024.

Veel valkuilen bij gebruik van AI in bedrijf: 'je kunt er niet blind...

De inzet van kunstmatige intelligentie (AI) kan bijdragen aan optimalisatie en efficiëntie in de voedingsindustrie, maar kent ook grote valkuilen. Daarvoor waarschuwde Stefan Buijsman, Associate Professor Responsible AI aan de TU Delft, tijdens de FNLI-Jaarbijeenkomst in Expo Greater Amsterdam dinsdag. Blind vertrouwen in AI-technologie leidt tot problemen, zeg Buijsman.

Maaike Stoops, general manager van de vestiging van LINKIT in Zuid-Afrika: 'Deze middag is juist een moment om te connecten met mensen uit andere organisaties die voor dezelfde uitdagingen in verandering staan.'

'We hebben een applicatie gebouwd voor het proces bij terugroepactie...

Hoe bepaal je als IT-leider je koers in een wereld van razendsnelle technologische ontwikkelingen die wendbaarheid vereisen? Op 3 oktober organiseert LINKIT in Herwijnen het evenement Navigate the Change. Het is een middag met verdieping op verandering en wendbaarheid, met topsprekers als Volkert Paap (VP Tech & Innovatie KLM), Anneke Keller (CTO PostNL), Bart Leemans (Algemeen directeur Service2fruit) en Rik de Weerd (Consultant in E.A. & Executive Leadership).

Hoe DOC Kaas de kwaliteit live controleert met vision-technologie

Hoe DOC Kaas de kwaliteit live controleert met vision-technologie

Duizenden natuur- en foliekazen voor de wereldmarkt rollen dagelijks van de band bij DOC Kaas in Hoogeveen. Aan kwaliteit worden geen concessies gedaan, daarom wordt in de productie gewerkt met vision-technologie. Echter, het systeem hiervoor, functioneerde niet meer geheel naar tevredenheid. Een upgrade van het bestaande systeem is duurzamer dan complete vervanging en kan de kwaliteit naar een hoger niveau tillen.

Beeld: Shutterstock

Misleidende reclame op voeding voorkomen? 8 opvallende uitspraken van...

Hoe ver mag je gaan met het aanprijzen van voedingsmiddelen? In 2024 boog de Reclame Code Commissie (RCC) zich opnieuw over reclames en voedselclaims die consumenten op het verkeerde been zouden kunnen zetten. Van fastfood tot snoep, van eieren tot bier. Dit artikel geeft een beknopt overzicht van de meest opvallende kwesties in 2024.

tegengaan milieuschade

Europees Hof over EU-biologo op producten uit derde landen:...

De Europese Unie beschouwt de Amerikaanse biologische wetgeving als gelijkwaardig aan de Europese. Op sommige punten wijkt deze Amerikaanse bio-wetgeving echter iets af van Europese. Mag in dat geval het EU-biologo op het Amerikaanse product worden gebruikt? In dit artikel meer over de uitspraak van de Europese rechter.

Maakt een medische claim iets een geneesmiddel? Uitspraak geeft duidelijkheid

Maakt een medische claim iets een geneesmiddel? Uitspraak geeft...

Consumentenreviews met het woord 'pijn' of een verwijzing naar ziekte bij een levensmiddel: dit zijn verboden medische claims. Maar hoe beoordeel je deze claims? Is het daardoor een geneesmiddel geworden? Na jarenlange discussie is er eindelijk uitsluitsel. Is een product zelf duidelijk een levensmiddel? Dan is het levensmiddelenrecht van toepassing, en niet de geneesmiddelenwet.

Tip van jouw advocaat: Wat is 'nieuw' en hoe lang is iets 'nieuw'?

Tip van jouw advocaat: Wat is 'nieuw' en hoe lang is iets 'nieuw'?

KENNISPARTNER - COLUMN - 'Nieuw' is een veelgebruikte term op verpakkingen; het trekt extra de aandacht van de consument. Maar wanneer mag je die claim gebruiken? En hoe lang blijft iets 'nieuw'?

Beeld: Freepik

Duurzame verpakkingen niet langer 'nice to have' maar 'need to have:...

Door onder andere de nieuwe verpakkingswet is duurzaamheid niet langer 'nice to have' maar 'need to have'. Waar bedrijven zich nu met recyclebare en herbruikbare verpakkingen onderscheiden, wordt dit door de nieuwe wetgeving het nieuwe normaal. De verordening, ook wel bekend als PPWR, zal de huidige Richtlijn 94/62/EG vervangen en treedt naar verwachting later dit jaar in werking. In dit artikel drie belangrijke duurzaamheidsvereisten vanuit deze wet op een rij.

Aanscherping handelsnormen groenten en fruit per 1 januari 2025: hier moet je als levensmiddelenbedrijf op letten

Aanscherping handelsnormen groenten en fruit per 1 januari 2025: hier...

De Europese Commissie stelde op 17 augustus 2023 twee verordeningen vast met betrekking tot de handelsnormen en handelsnormcontroles voor de sector groenten en fruit. Het gaat om de Gedelegeerde Verordening (EU) 2023/2429 en Uitvoeringsverordening (EU) 2023/2430. Deze verordeningen treden per 1 januari 2025 in werking. In dit artikel een kort overzicht van de daaruit voortvloeiende verplichtingen en aandachtspunten voor levensmiddelenbedrijven.

Beeld: Shutterstock

Gaat duurzaamheid hand in hand met voedselveiligheid en kwaliteit?...

Voedselproducenten krijgen meer en meer te maken met het thema duurzaamheid. Hoe kunnen bedrijven dit thema het beste aanpakken? En in hoeverre gaat duurzaamheid hand in hand met voedselveiligheid en kwaliteit? In dit artikel zes overeenkomsten op een rij.

Beeld: Shutterstock

Geneesmiddel of voedingssupplement? Rechtbank Gelderland doet...

Geneesmiddelen en voedingssupplementen zien er vaak hetzelfde uit. Beide producten zijn in voorgedoseerde vorm op de markt en zijn beschikbaar als capsules, pastilles, tabletten, pillen, zakjes poeder, ampullen met vloeistof, druppelflacons of soortgelijke vormen. Toch zijn het fundamenteel andere producten met verschillende wettelijke vereisten. Wat is precies het verschil?

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.