Steeds meer maakbedrijven worden slimmer, geconnecteerd en voortdurend efficiënter door de laatste nieuwe technologie. Er is alleen een hele grote ‘maar’ aan dit industrie 4.0-verhaal. De cyberveiligheid laat vaak te wensen over. Wij spraken met twee specialisten uit de proeftuin ‘Innovatieve cyberbeveiliging voor industrie 4.0’.
Wanneer maakbedrijven productiemachines aan het internet koppelen, ligt de focus op het verzamelen van data, niet op het beveiliging ervan. © Foto ThisisEngineering RAEng, Unsplash
Wanneer maakbedrijven productiemachines aan het internet koppelen, ligt de focus op het verzamelen van data, niet op het beveiliging ervan. © Foto ThisisEngineering RAEng, Unsplash

Maakbedrijven die bij hun digitalisering te weinig aandacht schenken aan digitale veiligheid zijn kwetsbaar. Kurt Callewaert van Howest en Jeroen Baeten van TomorrowLab kennen de problemen. Vanuit de proeftuin ‘Innovatieve cyberbeveiliging voor industrie 4.0' werken zij, samen met academische partners en ondernemingen aan veiligere Vlaamse maakbedrijven. In dit vraaggesprek met VLAIO delen ze hun inzichten en tips.

Welke problemen stellen jullie vast bij maakbedrijven?

Kurt Callewaert: “Er gaan een aantal zaken fout in industriële security. Eén van de oorzaken is de grote kloof tussen IT-afdelingen en de operationele technologie (OT) binnen maakbedrijven. Deze kloof belet dat deze diensten elkaar begrijpen en samen aan veilige oplossingen werken. Dat is desastreus omdat er geen kloof is tussen hun netwerken. Bedrijfsnetwerken lopen doorheen de marketing, sales, boekhouding en werkplaatsen. Iedereen heeft data nodig, verzamelt deze, koppelt ze aan elkaar en verbetert er de onderneming mee. Maar omdat mensen niet met elkaar praten is, de segmentatie niet goed, zijn er lacunes, houden ze bij het installeren en verbeteren van de productie geen rekening met beveiliging, ... Eens hackers binnen geraken, beschadigen ze gemakkelijk het hele bedrijf.”

Jeroen Baeten: “Productieomgevingen zijn heel kostgedreven. Cybersecurity krijgt initieel zelden veel aandacht. Wanneer bedrijven productiemachines aan het internet koppelen, ligt de focus op het verzamelen van data, niet op het beveiligen ervan. Bedrijven en overheden moeten zich voorbereiden op een wereld waarin informatie- en gegevensbeveiliging slechts een deel is van onze zorg. Een bredere lens is nodig, één die rekening houdt met risico's voor de mens en de productiesystemen. We moeten ons afvragen welk gevaar mensen lopen wanneer een productiesysteem gehackt wordt. Kan een onverwachte beweging door gehackte machines mensen in gevaar brengen?”

Kurt: “Er is een groot verschil tussen een pc en een plc, de computer die gebruikt wordt om een productielijn te automatiseren. De levensduur van een pc is vaak maar drie jaar, terwijl die van productieapparatuur twintig tot dertig jaar bedraagt. Op deze toestellen is vaak geen cybersecurity mogelijk. Bovendien krijgen oudere pc's soms een tweede leven in de productie, zonder dat hun software nog te updaten is. Maar ook modernere apparaten updaten is niet evident. Stel je eens voor dat bedrijven de productie elke avond zouden stilleggen om hun software te updaten tegen de laatste bedreigingen? Dat doet niemand, waardoor alle bedrijven kwetsbaar zijn voor hackers.” 

Jeroen: “De interoperabiliteit tussen verschillende productie-entiteiten is vaak ook moeilijk in te schatten en na te bootsen. Hoe verloopt de interactie na een update? Gaat het volledige productieproces nog werken na het uitvoeren van een update? Er zijn genoeg voorbeelden van bedrijven die een update moesten terugdraaien. Die onzekerheid zorgt er vaak voor dat bedrijven liever in de huidige situatie blijven.”

Een plc om de productie aan te sturen gaat twintig tot dertig jaar mee. Daarop is vaak geen cybersecurity mogelijk.

Kurt Callewaert - Head of Research Applied Computer Science bij Howest

Hoe kunnen bedrijven hun cyberbeveiliging verbeteren?

Kurt: “We willen eerst de huidige situatie kennen. Daarom organiseren we nu vanuit Howest samen met Agoria een groot onderzoek om na te gaan hoe het gesteld is met de cybersecurity van Vlaamse ondernemingen. Met de verzamelde kennis willen we extra positieve druk zetten om plannen uit te werken, en attesten en certificaten te behalen die aantonen dat ze veilige producten en diensten produceren in een beveiligde omgeving. Dit klinkt nu nog als een kost, maar binnen een paar jaar heb je een commerciële troef in handen als je kunt aantonen dat je cyberveilig werkt. Dit zal sowieso een must zijn om aan grote ondernemingen te mogen leveren.”

Cybersecurity krijgt initieel zelden veel aandacht. Wanneer bedrijven productiemachines aan het internet koppelen, ligt de focus op het verzamelen van data, niet op het beveiligen ervan

Jeroen Baeten - Strategy & Innovation Consultant bij Tomorrowlab

Hoe draagt de proeftuin bij tot meer cyberveiligheid in maakbedrijven?

Kurt: “We zetten verschillende initiatieven op om het bewustzijn bij ondernemingen te vergroten, standaarden te implementeren, onderzoek te doen en opleidingen te geven. Een van de projecten loopt samen met Siemens, dat zowat 60 procent aanlevert van alle slimme apparaten die we in Vlaamse ondernemingen installeren. We bekijken met hen hoe we twee standaarden voor informatiebeveiliging kunnen combineren, namelijk  ISO 27001 en IEC 62443.”

Welke boodschap willen jullie zeker meegeven aan bedrijven?

Kurt: “We willen maakbedrijven informeren over hun kwetsbaarheid. Ook willen we aandringen om enkele eenvoudige oplossingen meteen te implementeren, bijvoorbeeld multifactor-authenticatie . Dit zou standaard moeten worden omdat het de enige manier is om veilig aan te tonen dat je bent wie je zegt te zijn. Ikzelf heb onlangs de directie van Howest overtuigd om dit in te voeren. Binnenkort moet elke docent inloggen via een code op zijn of haar smartphone. Later breiden we dit uit naar onze 10.000 studenten. Dit wil zeggen dat niemand meer zal kunnen inloggen met geleende of gestolen inloggegevens.”

Jeroen: “We willen ook in industriële omgevingen het thema cyberveiligheid opkrikken tot het niveau van CEO’s. In industrieën waar de transitie reeds heeft plaatsgevonden, zien we nieuwe rollen verschijnen zoals Chief Information Security Officer's (CISO's). Zij zorgen ervoor dat nieuwe wet- en regelgeving, veranderende verwachtingen, risicomanagement en nieuwe uitdagingen gelinkt aan cyberbeveiliging de juiste aandacht krijgen op managementniveau. Die transitie ondersteunen we volop vanuit de proeftuin. Van daaruit moet iedereen in elk bedrijf doordrongen worden van cyberveiligheid. In een tijdperk van continue bedreigingen, is het onmogelijk om volledig kogelvrij te zijn, maar veiligheid moet worden gezien als een paraplu die een bedrijf kan beschermen tegen de ergste elementen, zelfs als voeten nat worden in de grootste stormen.”

Kurt: “Aandeelhouders moeten meer druk zetten op CEO's. Vandaag laten ondernemingen cybersecurity-scans en -audits uitvoeren. Maar vervolgens doen ze niets met de resultaten.”

Wat moet er binnen drie jaar veranderd zijn?

Kurt: “Er is al veel veranderd. Vandaag zeggen acht op de tien ondernemingen bezig te zijn met cyberveiligheid. Nog niet zo lang geleden was dit één op de tien. Toch zal er binnen drie jaar meer dan nu geïnvesteerd worden in digitale veiligheid, zullen IT en OT beter samenwerken, zullen meer bedrijven hun cybersecurity aantonen met certificaten en zullen meer studenten opgeleid zijn.”

Jeroen: “Bedrijven staan vandaag op het kantelpunt. Het capteren van data is voor veel organisaties nog nieuw. Ze starten ermee, wat meteen hét ideale moment is om dit doordacht en veilig te doen. Ik zie hierin dat open source-systemen de beste garantie en flexibiliteit bieden naar veiligheid en de toekomst. Want alles wordt intelligenter. De wereld verandert snel. Alleen open systemen kunnen om met de veelheid en complexiteit aan tools, software van verschillende fabrikanten en nieuwe oplossingen.”

Innovatieve trends in cybersecurity

De proeftuin 'Innovatieve cyberbeveiliging voor industrie 4.0' besteedt aandacht aan innovatieve technieken en opvallende acties in industriële cyberveiligheid, zoals:

  • Een intrusiedetectiesysteem dat met behulp van artificiële intelligentie het gedrag van hackers leert kennen en automatisch hackpogingen kan detecteren. Dit systeem stelt bijvoorbeeld vast dat er op een zondagnacht plots grote hoeveelheden data worden verstuurd, terwijl dit normaal gezien nooit gebeurt.
  • Ransomware kan een groter doel hebben dan het gijzelen van data en netwerken in ruil voor losgeld. Volgens Kurt Callewaert kan het een afleidingsmanoeuvre zijn om waardevolle data te stelen van onderzoekscentra en bedrijven. In de proeftuin wordt een oplossing uitgedokterd om te onderzoeken welke kennis gestolen werd.
  • Vanuit de proeftuin zal aangemoedigd worden om nieuwe toestellen te hacken, bijvoorbeeld een windmolen. Zo wordt uitgezocht wat hun weerbaarheid is tegen hackers. In het najaar krijgen 75 studenten een netwerkkabel, een laptop en verbinding in een lokale bibliotheek. Van daaruit proberen ze hun gemeente te hacken, op zoek naar op te lossen kwetsbaarheden.

Vragen over deze proeftuin? Contacteer projectleider Kurt Callewaert via kurt.callewaert@howest.be of bel +32 473 340 465.