IT-beveiliging al op het fysieke netwerkniveau implementeren
Beveiligingsoplossingen implementeren in behuizingen en andere netwerkcomponenten is een essentieel onderdeel van de fysieke en logische netwerkarchitectuur. Zo’n architectuur maakt het namelijk mogelijk om met behulp van een meerlaagse beveiligingsstrategie apparatuur en mensen effectief te beschermen, mits uiteraard correct geïmplementeerd. Verder voorkomt deze geïntegreerde aanpak wijzigingen en/of het vervangen van onderdelen achteraf. Fysieke beveiligingsoplossingen op meerdere netwerklagen besparen tijd en kosten bij het voorkomen van cyberaanvallen, netwerkstoringen en hardwarereparaties of vervanging.
Dit whitepaper analyseert en beschrijft welke beveiligingsoplossingen en componenten een effectieve toegangscontrole tot automatiseringssystemen mogelijk maken. Daarbij wordt tevens gekeken naar maatregelen om de fysieke veiligheid van netwerkcomponenten te verhogen en wordt er ingegaan op het waarborgen van de persoonlijke veiligheid bij het werken aan schakelapparatuur en -kasten.
Digitale transformatie heeft niet alleen betrekking op het maken van producten. De toegang tot een enorme hoeveelheid data gedurende de gehele productlevenscyclus – van ontwikkeling, tot bestelling en de jarenlange gebruiksperiode – is een belangrijk aspect van de volgende revolutie in de productieomgeving. Deze staat algemeen bekend als Industrie 4.0.
De basis voor die datatoegang en het data-ontwerpmodel is het fysieke netwerk, of de ICT-infrastructuur. Zo’n infrastructuur bevat vaak onzichtbare zwakke punten op de fysieke verbindingslaag, die consequenties kunnen hebben voor andere communicatielagen en systeemaspecten.
Big Data als vloek en zegen
Dankzij vergaand geïntegreerde productiesystemen is er tegenwoordig een grote hoeveelheid data bijna in real time beschikbaar. Dit is zowel een vloek als een zegen. Een zegen is de mogelijkheid om informatie over de herkomst, kwaliteit en het productieproces van producten op te vragen zodra dat nodig is. Maar het is ook een vloek, omdat de toegankelijkheid van informatie en open standaarden de beschikbaarheid van data op alle niveaus van het bedrijf openstellen. Vooral als netwerken niet door meerdere beveiligingsniveaus worden beschermd.
De beveiliging van het ICT-netwerk voor een productie-omgeving is geen doelstelling die met één beslissing tijdens de ontwerpfase te implementeren is en vervolgens kan worden vergeten. Het is veeleer een continu proces dat begint met een doordacht ontwerp en daarna doorloopt tijdens de gehele levenscyclus van de productie-installatie.
Oudere automatiseringssystemen lopen meer risico’s omdat daarvoor geen kwetsbaarheden meer worden opgelost, omdat de focus op nieuwe systemen ligt. Deze systemen brengen dus grotere risico’s met zich mee voor zowel meet- en regeltechnici als de beheerders van geïntegreerde ICT-netwerken. Met name in zogenaamde ‘brownfield scenario’s, of het integreren van bestaande stand-alone automatiseringsoplossingen in het totale bedrijfsnetwerk.
Productiedatastromen en beveiliging
Productiedata komt binnen bij de edge-apparatuur. Computing vindt plaats in de edge-applicatielaag, waardoor in real time kan worden gereageerd op wijzigingen in nabijgelegen apparaten en sensoren. Verdere verwerking en opslag van de data wordt ondersteund door de controlelaag, die ook functies op hogere niveaus, lokale rapportage en samenstellingsbeheer omvat. Sommige data wordt lokaal opgeslagen en verwerkt door de servers, maar de meeste functies op hogere niveaus worden afgehandeld in de controlelaag van de architectuur. Daarom is het van cruciaal belang voor het veilig functioneren van het gehele systeem dat de edge-laag tegen aanvallen wordt beschermd.
Datastromen van een fabrieksnetwerk naar de organisatielaag zijn selectief en doelgericht. Data die wordt verzonden naar de organisatielagen (cloudservers of andere datacenters van de organisatie) staat aanvullende naverwerking, tijdsverloopanalyse, functierapportage op hogere niveaus, big data-beheer en opslag te wachten.
Het is duidelijk dat wanneer data niet tijdig en probleemloos vanaf de edge-apparaten wordt verstuurd, de analyses op hogere niveaus en de big data-beheerfuncties niet tijdig en responsief genoeg kunnen functioneren voor het verbeteren van bedrijfsstatistieken als OEE, MRP, CRM, etc. Beveiligingsrisico’s, problemen met de productlevenscyclus, databescherming en tal van andere kwetsbaarheden worden op ieder niveau van de infrastructuur geanalyseerd en gemeten, op elk punt in de organisatie. Alleen zo is de delicate balans te bereiken tussen productiviteit, winstgevendheid, klanttevredenheid en beveiliging.
Beveiliging staat centraal op elk niveau van het fysieke netwerk, de infrastructuur: alle toegangspunten van het systeem worden in het dataverzamelingsmodel als beveiligingsrisico gezien. Het hele systeem is immers zo sterk als het zwakste punt. Daarom is het belangrijk om tijdens het ontwerpproces al naar de kwetsbaarheid van een systeem te kijken en bekende zwakke plekken te versterken met ingebouwde beveiligingslagen. Beveiliging wordt gezien als een eerste verdedigingslinie die moet worden erkend, ontworpen, gebouwd en daarna bewaakt om continue naleving van beveiligingsbeleid te garanderen. Absolute beveiliging is geen realistische doelstelling, omdat bedreigingen zich continu ontwikkelen. Fysieke beveiligingsoplossingen moeten aan de rand van het netwerk beginnen en in elke netwerklaag zijn geïmplementeerd.
Fysieke beveiliging op edge-niveau:
- Alle datapoorten worden beschermd met fysieke beveiligingsmaatregelen, zoals sleutels om sabotage van het netwerkverkeer te voorkomen.
- Bepaalde of alle netwerkpoorten worden vergrendeld bij de aansluiting om netwerkonderbrekingen te voorkomen, door de RJ45-connectoren te beschermen met vergrendelingsapparaten voor de patchkabels.
- Gekleurde datapoorten worden versleuteld om het mixen van datastromen te voorkomen. Netwerksegmentering door middel van gekleurde/versleutelde datapoorten kan niet meer eenvoudig worden aangepast na het oorspronkelijke netwerkontwerp en de implementatie. Door gekleurde/versleutelde poorten met vaste IP-adressen hebben technici volledige controle over de netwerksegmenten en datastromen, voor de hele levensduur van het controlesysteem.
- Netwerkaggregatiepunten worden beveiligd met fysieke, gecodeerde toegangssleutels, waarmee onbevoegden uit de netwerkkasten en datasystemen worden geweerd.
Sommige van deze fysieke beveiligingsmaatregelen zijn ook te verwerken in bestaande ‘brownfield’ automatiserings- en controlesystemen om de kwetsbaarheid van die oudere controlesystemen te reduceren.
Netwerkaansluitingen voor edge-systemen:
De keuze voor de juiste netwerkmaterialen (koper, fiber, netwerkkasten en kabeldraagsystemen) speelt ook een rol bij de functionele beveiliging en databescherming, die al vroeg in het systeemontwerpproces moet worden meegenomen.
- Glasvezelnetwerksegmenten zijn immuun voor elektromagnetische storing en elektrische ruis en zijn te gebruiken voor lange netwerksegmenten waarbij systemen over grote oppervlakken zijn verspreid (bijv. olie- en gasraffinaderijen, water- en afvalwaterverwerking, mijnbouw, etc.). Glasvezelnetwerken kunnen bovendien bestand zijn tegen sabotage of dit duidelijk merkbaar maken. Dat wil zeggen dat glasvezelverkeer niet kan worden onderschept of gesaboteerd zonder het verkeer te verstoren, waarbij direct de status en gezondheid van het datanetwerk wordt beïnvloed. Dit zijn allemaal redenen waarom glasvezelnetwerklijnen vaak worden gebruikt in horizontale (permanente) netwerkimplementaties.
-
Koperen communicatiekabels zijn eenvoudiger te implementeren voor edge-apparaten, omdat de meeste apparatuurleveranciers koperconnectiviteit inbouwen op apparaatniveau. De keuze voor de juiste koperkabels en afscherming kan een belangrijke rol spelen bij de databescherming op edge-punten.
De specificaties voor TIA-1005-A M.I.C.E zijn vooral van belang in dit deel van het netwerk. In deze standaard staat M.I.C.E. voor Mechanical (mechanisch), Ingress (binnendringing), Chemical (chemisch) en Electromagnetics (elektromagnetisme). Voor het edge-gedeelte van het netwerk kunnen al deze bedreigingen de datastroom en beveiliging in gevaar brengen. Om netwerksystemen tegen deze gevaren te beschermen moeten alle netwerksystemen compleet worden vervangen. De keuze voor netwerkonderdelen, waaronder kabels, afscherming en kabeldraagsystemen, is cruciaal tijdens de ontwerpfase van een kwalitatief communicatienetwerk.
-
Kabelmanagement is een belangrijk onderdeel van de fysieke infrastructuur, wat betreft het beveiligen van de kabels, het optimaliseren van de systeembetrouwbaarheid, effectief ruimtegebruik en de schaalbaarheid. Het is belangrijk om kabelrouteersystemen te zien als onderdeel van een complete, geïntegreerde en structurele dataoplossing, omdat hiermee krachtige communicatie-, computing- en voedingssystemen effectief te beheren en te beschermen zijn.
Een goed geplande kabelroute voor een plafond, dat meerdere beschermingslagen tegen MICE-risico's kan omvatten, draagt bij aan efficiënt ruimtegebruik, vormt een aanvullende fysieke beveiligingslaag en verbetert de netwerkprestaties. Kabeldraagsystemen bieden een netwerk zowel structurele integriteit als bescherming. Wanneer kabelgoten en -draagsystemen enkel worden gebruikt voor telecommunicatie-apparatuur, draagt dit bij aan de correcte bescherming tegen omgevingsinvloeden en beveiliging van het datanetwerk.
Veiligheid voor edge-systemen:
-
Netwerkkasten zijn belangrijke onderdelen in het fysieke netwerkbeveiligingssysteem. Deze kasten beschermen tegen omgevingsgevaren en menselijke risico's. Ze dragen op meerdere manieren bij aan de netwerkveiligheid door de systeemintegriteit te beschermen, met name wanneer het netwerkverkeer wordt geïsoleerd van de voedingssystemen, die de grootste elektromagnetische storing genereren. Sommige ontwerpers van industriële automatiseringssystemen integreren communicatienetwerken in voedingskasten, zoals aandrijfsystemen of stroomdistributiekasten. Deze aanpak is niet aan te raden voor een betrouwbaar systeem op lange termijn, omdat de elektromagnetische storing uiteindelijk het netwerkverkeer, de data-integriteit en de werking van het systeem zal beïnvloeden.
De beste netwerkkasten zijn gescheiden van de automatiserings- en controlesystemen. Verder hebben ze een gesaneerde UPS-voeding en glasvezel- en koperpatchsystemen voor de verbinding met servers op edge- en systeemniveau, die zich in de controleruimte bevinden, op veilige afstand van de edge-apparaten. -
Als/wanneer communicatienetwerken worden verwerkt in de industriële besturingskasten, waar grotere mate van elektromagnetische storing en hogere spanningen voorkomen, dienen daarvoor opgeleide, bevoegde elektriciëns de norm NFPA 70E Standard for Electrical Safety in the Workplace te volgen bij het werken in elektrische kasten en besturingssystemen.
Volgens NFPA 70E 120.5 (7) is het proces voor het vaststellen van spanningsloosheid beschreven als een bevoegd persoon met een draagbaar testinstrument (voltmeter), die de vereiste persoonlijke beschermingsmiddelen (PBM's) gebruikt en iedere fasegeleider of stroomkringonderdeel op spanning test om het risico op schokken of vlambogen te minimaliseren.
Deze traditionele methode van spanningscontrole is vatbaar voor menselijke fouten en heeft andere beperkingen. Daarom is in de versie voor 2018 een uitzondering toegevoegd aan NFPA 70E, 120.5 (7) Exception 1, om een alternatieve methode te bieden om spanningsloosheid te bevestigen met behulp van een nieuwe productcategorie: AVT’s (Absence of Voltage Testers, apparaten om afwezigheid van spanning te testen).
Panduit heeft een lijn AVT-apparaten ontwikkeld die permanent in een besturingspaneel of stroomverdeelkast worden geplaatst om te testen op de afwezigheid van spanning. Deze AVT-apparaten testen op zowel AC- als DC-spanning en detecteren dus ook capacitieve spanningen. Deze AVT-testers zijn beoordeeld volgens UL1436/SIL3 en beperken de risico's op elektrische schokken bij het controleren of apparatuur spanningsvrij is door het testproces op betrouwbare wijze te automatiseren, zonder hierbij technici bloot te stellen aan elektrische gevaren.
- Om toegang te krijgen tot de communicatiepoorten (USB of RJ45) van een ingeschakeld besturingssysteem, en om risico's op elektrische schokken en vlambogen te beperken, is het raadzaam om verbinding te maken met het communicatienetwerk via goedgekeurde verbindingspunten, zolang de stroomvoorziening van een kast actief is en deze tijdens normale werking gesloten is. Daarom verdient het de voorkeur datatoegangspoorten toe te voegen in de kastdeuren, zodat personeel toegang heeft tot communicatie- en voedingsaansluitingen voor bewakings-, probleemoplossings- en andere onderhoudstaken, met een kleiner risico op elektrische schokken. Om dit dilemma op te lossen dienen datatoegangspoorten te worden geplaatst en geconfigureerd in een passende combinatie van data- en voedingspoorten. Hier wordt een datatoegangspoort met USB- en RJ45-poorten en GFCI-stroomvoorziening getoond, met IP65-/IP66-binnendringingsbescherming die kan worden vergrendeld wanneer het systeem niet door beheerders of onderhoudspersoneel wordt gebruikt.
Beveiliging op edge-niveau:
Fysieke beveiliging moet constant worden onderhouden en gewaarborgd. Hiervoor moeten ook de telecommunicatienetwerken worden bewaakt en regelmatig worden gecontroleerd. Een goed gepland netwerkontwerp is een goed begin, maar er zijn altijd beveiligingszorgen. Operatoren en geïdentificeerde MICE-omgevingsrisico’s spelen een grote rol in de gezondheid van een netwerk op de langere termijn.
Softwareplatforms voor netwerkbewaking worden gebruikt om netwerkbewerkingen in real time te bewaken en kunnen 24/7 statusrapportage verzorgen. In een ideale gebruikssituatie zou niets de systeemwerking beïnvloeden, maar in fabrieken heersen suboptimale omstandigheden: aanvullende netwerkonderdelen, onbekende toevoegingen en vele externe apparaten worden verbonden met open poorten of onbewaakte WLAN-kanalen op het netwerk.
Extra toegevoegde apparaten zijn beveiligingsrisico’s die moeten worden geïdentificeerd, bewaakt en weggehouden van toegang tot de bandbreedte voor de normale systeemwerking. Monitoringtoepassingen kunnen dergelijke beveiligingsrisico’s direct identificeren en beperken, of verhelpen door de relevante poorten te blokkeren en de systeembeheerders te waarschuwen over de acute dreiging voor het fysieke communicatienetwerk.
ICT-beveiliging vanaf het fysieke netwerkniveau inbouwen
Het datanetwerk moet worden beschouwd als een integraal onderdeel van de hele beveiligingsstrategie, die begint bij alle netwerkcomponenten van de fysieke verbindingslaag en doorloopt in de hele infrastructuur. Integratie van het fysieke netwerk in de beveiligingsvisie en strategie van het bedrijf is een essentiële stap die beheerders en regeltechnici in staat stelt een meerlaags concept te ontwerpen en te implementeren – een beveiligingsconcept dat niet beperkt is tot de directe omgeving van het automatiseringssysteem, een HMI of een ander netwerkapparaat.
De implementatie van ICT-beveiliging op het fysieke netwerkniveau helpt in de toekomst tijd en kosten te besparen door het reduceren van cyberaanvallen, netwerkstoring, reparaties en vervanging van hardware. De basis voor zo’n beveiligingsstrategie moet zowel de hele levenscyclus van het te beschermen netwerk of de te beschermen productielijn of -installatie zijn, als de bescherming van alle proces- en productiedata tijdens die levenscyclus en daarna.
Om de effectiviteit van ICT-beveiliging te waarborgen zijn periodieke audits nodig. Daarmee is te bepalen of de aangesloten systemen nog steeds vrij zijn van veiligheidslekken en of er nieuwe kwetsbaarheden zijn ontstaan. Onderdeel van een dergelijk auditplan binnen de totale IT-beveiligingsstrategie vormen tevens de corrigerende beveiligingsmaatregelen voor noodsituaties. Data worden een steeds belangrijker onderdeel van de bedrijfswaarde. Daarom is het verstandig om voor de beveiliging van de ICT-infrastructuur een beroep te doen op goed opgeleide infrastructuurontwerpers en zowel deskundige als gecertificeerde installateurs.
In een wereld waarin zowel de IT-hardware en -applicaties als het aantal netwerkgebruikers zich sneller dan ooit tevoren ontwikkelen, is een consistente beveiligingsstrategie noodzakelijk om kritieke netwerkstoringen en catastrofale gevolgen voor het hele bedrijf te voorkomen.
Auteurs:
Michael Jammal, Sr. Business Development Manager of Industrial Automation, Panduit
Marty Kronz, Manager of Business Development, Panduit
