• Duits
  • Nederlands

Veiligheidsrisico’s bij de schakelkast voorkomen

Share on xing
Share on twitter
Share on linkedin
Share on email

IT-beveiliging al op het fysieke netwerkniveau implementeren

Beveiligingsoplossingen implementeren in behuizingen en andere netwerkcomponenten is een essentieel onderdeel van de fysieke en logische netwerkarchitectuur. Zo’n architectuur maakt het namelijk mogelijk om met behulp van een meerlaagse beveiligingsstrategie apparatuur en mensen effectief te beschermen, mits uiteraard correct geïmplementeerd. Verder voorkomt deze geïntegreerde aanpak wijzigingen en/of het vervangen van onderdelen achteraf. Fysieke beveiligingsoplossingen op meerdere netwerklagen besparen tijd en kosten bij het voorkomen van cyberaanvallen, netwerkstoringen en hardwarereparaties of vervanging.
Dit whitepaper analyseert en beschrijft welke beveiligingsoplossingen en componenten een effectieve toegangscontrole tot automatiseringssystemen mogelijk maken. Daarbij wordt tevens gekeken naar maatregelen om de fysieke veiligheid van netwerkcomponenten te verhogen en wordt er ingegaan op het waarborgen van de persoonlijke veiligheid bij het werken aan schakelapparatuur en -kasten.

Digitale transformatie heeft niet alleen betrekking op het maken van producten. De toegang tot een enorme hoeveelheid data gedurende de gehele productlevenscyclus – van ontwikkeling, tot bestelling en de jarenlange gebruiksperiode – is een belangrijk aspect van de volgende revolutie in de productieomgeving. Deze staat algemeen bekend als Industrie 4.0.

De basis voor die datatoegang en het data-ontwerpmodel is het fysieke netwerk, of de ICT-infrastructuur. Zo’n infrastructuur bevat vaak onzichtbare zwakke punten op de fysieke verbindingslaag, die consequenties kunnen hebben voor andere communicatielagen en systeemaspecten.

Big Data als vloek en zegen

Dankzij vergaand geïntegreerde productiesystemen is er tegenwoordig een grote hoeveelheid data bijna in real time beschikbaar. Dit is zowel een vloek als een zegen. Een zegen is de mogelijkheid om informatie over de herkomst, kwaliteit en het productieproces van producten op te vragen zodra dat nodig is. Maar het is ook een vloek, omdat de toegankelijkheid van informatie en open standaarden de beschikbaarheid van data op alle niveaus van het bedrijf openstellen. Vooral als netwerken niet door meerdere beveiligingsniveaus worden beschermd.

De beveiliging van het ICT-netwerk voor een productie-omgeving is geen doelstelling die met één beslissing tijdens de ontwerpfase te implementeren is en vervolgens kan worden vergeten. Het is veeleer een continu proces dat begint met een doordacht ontwerp en daarna doorloopt tijdens de gehele levenscyclus van de productie-installatie.

Oudere automatiseringssystemen lopen meer risico’s omdat daarvoor geen kwetsbaarheden meer worden opgelost, omdat de focus op nieuwe systemen ligt. Deze systemen brengen dus grotere risico’s met zich mee voor zowel meet- en regeltechnici als de beheerders van geïntegreerde ICT-netwerken. Met name in zogenaamde ‘brownfield scenario’s, of het integreren van bestaande stand-alone automatiseringsoplossingen in het totale bedrijfsnetwerk.

Productiedatastromen en beveiliging

Productiedata komt binnen bij de edge-apparatuur. Computing vindt plaats in de edge-applicatielaag, waardoor in real time kan worden gereageerd op wijzigingen in nabijgelegen apparaten en sensoren. Verdere verwerking en opslag van de data wordt ondersteund door de controlelaag, die ook functies op hogere niveaus, lokale rapportage en samenstellingsbeheer omvat. Sommige data wordt lokaal opgeslagen en verwerkt door de servers, maar de meeste functies op hogere niveaus worden afgehandeld in de controlelaag van de architectuur. Daarom is het van cruciaal belang voor het veilig functioneren van het gehele systeem dat de edge-laag tegen aanvallen wordt beschermd.

Datastromen van een fabrieksnetwerk naar de organisatielaag zijn selectief en doelgericht. Data die wordt verzonden naar de organisatielagen (cloudservers of andere datacenters van de organisatie) staat aanvullende naverwerking, tijdsverloopanalyse, functierapportage op hogere niveaus, big data-beheer en opslag te wachten.

Het is duidelijk dat wanneer data niet tijdig en probleemloos vanaf de edge-apparaten wordt verstuurd, de analyses op hogere niveaus en de big data-beheerfuncties niet tijdig en responsief genoeg kunnen functioneren voor het verbeteren van bedrijfsstatistieken als OEE, MRP, CRM, etc. Beveiligingsrisico’s, problemen met de productlevenscyclus, databescherming en tal van andere kwetsbaarheden worden op ieder niveau van de infrastructuur geanalyseerd en gemeten, op elk punt in de organisatie. Alleen zo is de delicate balans te bereiken tussen productiviteit, winstgevendheid, klanttevredenheid en beveiliging.

Beveiliging staat centraal op elk niveau van het fysieke netwerk, de infrastructuur: alle toegangspunten van het systeem worden in het dataverzamelingsmodel als beveiligingsrisico gezien. Het hele systeem is immers zo sterk als het zwakste punt. Daarom is het belangrijk om tijdens het ontwerpproces al naar de kwetsbaarheid van een systeem te kijken en bekende zwakke plekken te versterken met ingebouwde beveiligingslagen. Beveiliging wordt gezien als een eerste verdedigingslinie die moet worden erkend, ontworpen, gebouwd en daarna bewaakt om continue naleving van beveiligingsbeleid te garanderen. Absolute beveiliging is geen realistische doelstelling, omdat bedreigingen zich continu ontwikkelen. Fysieke beveiligingsoplossingen moeten aan de rand van het netwerk beginnen en in elke netwerklaag zijn geïmplementeerd.

Fysieke beveiliging op edge-niveau:

Sommige van deze fysieke beveiligingsmaatregelen zijn ook te verwerken in bestaande ‘brownfield’ automatiserings- en controlesystemen om de kwetsbaarheid van die oudere controlesystemen te reduceren.

Netwerkaansluitingen voor edge-systemen:

De keuze voor de juiste netwerkmaterialen (koper, fiber, netwerkkasten en kabeldraagsystemen) speelt ook een rol bij de functionele beveiliging en databescherming, die al vroeg in het systeemontwerpproces moet worden meegenomen.

Veiligheid voor edge-systemen:

Beveiliging op edge-niveau:

Fysieke beveiliging moet constant worden onderhouden en gewaarborgd. Hiervoor moeten ook de telecommunicatienetwerken worden bewaakt en regelmatig worden gecontroleerd. Een goed gepland netwerkontwerp is een goed begin, maar er zijn altijd beveiligingszorgen. Operatoren en geïdentificeerde MICE-omgevingsrisico’s spelen een grote rol in de gezondheid van een netwerk op de langere termijn.

Softwareplatforms voor netwerkbewaking worden gebruikt om netwerkbewerkingen in real time te bewaken en kunnen 24/7 statusrapportage verzorgen. In een ideale gebruikssituatie zou niets de systeemwerking beïnvloeden, maar in fabrieken heersen suboptimale omstandigheden: aanvullende netwerkonderdelen, onbekende toevoegingen en vele externe apparaten worden verbonden met open poorten of onbewaakte WLAN-kanalen op het netwerk.

Extra toegevoegde apparaten zijn beveiligingsrisico’s die moeten worden geïdentificeerd, bewaakt en weggehouden van toegang tot de bandbreedte voor de normale systeemwerking. Monitoringtoepassingen kunnen dergelijke beveiligingsrisico’s direct identificeren en beperken, of verhelpen door de relevante poorten te blokkeren en de systeembeheerders te waarschuwen over de acute dreiging voor het fysieke communicatienetwerk.

ICT-beveiliging vanaf het fysieke netwerkniveau inbouwen

Het datanetwerk moet worden beschouwd als een integraal onderdeel van de hele beveiligingsstrategie, die begint bij alle netwerkcomponenten van de fysieke verbindingslaag en doorloopt in de hele infrastructuur. Integratie van het fysieke netwerk in de beveiligingsvisie en strategie van het bedrijf is een essentiële stap die beheerders en regeltechnici in staat stelt een meerlaags concept te ontwerpen en te implementeren – een beveiligingsconcept dat niet beperkt is tot de directe omgeving van het automatiseringssysteem, een HMI of een ander netwerkapparaat.

De implementatie van ICT-beveiliging op het fysieke netwerkniveau helpt in de toekomst tijd en kosten te besparen door het reduceren van cyberaanvallen, netwerkstoring, reparaties en vervanging van hardware. De basis voor zo’n beveiligingsstrategie moet zowel de hele levenscyclus van het te beschermen netwerk of de te beschermen productielijn of -installatie zijn, als de bescherming van alle proces- en productiedata tijdens die levenscyclus en daarna.

Om de effectiviteit van ICT-beveiliging te waarborgen zijn periodieke audits nodig. Daarmee is te bepalen of de aangesloten systemen nog steeds vrij zijn van veiligheidslekken en of er nieuwe kwetsbaarheden zijn ontstaan. Onderdeel van een dergelijk auditplan binnen de totale IT-beveiligingsstrategie vormen tevens de corrigerende beveiligingsmaatregelen voor noodsituaties. Data worden een steeds belangrijker onderdeel van de bedrijfswaarde. Daarom is het verstandig om voor de beveiliging van de ICT-infrastructuur een beroep te doen op goed opgeleide infrastructuurontwerpers en zowel deskundige als gecertificeerde installateurs.

In een wereld waarin zowel de IT-hardware en -applicaties als het aantal netwerkgebruikers zich sneller dan ooit tevoren ontwikkelen, is een consistente beveiligingsstrategie noodzakelijk om kritieke netwerkstoringen en catastrofale gevolgen voor het hele bedrijf te voorkomen.

Auteurs:

Michael Jammal, Sr. Business Development Manager of Industrial Automation, Panduit
Marty Kronz, Manager of Business Development, Panduit

Dit artikel aanbevelen
Share on xing
Share on twitter
Share on linkedin
Share on email

Onze aanbevelingen voor u

Productienetwerk efficiënt beheren

Productienetwerk efficiënt beheren

In dit whitepaper worden drie bewezen methoden belicht voor het bepalen van de meetcriteria die zorgen voor een betrouwbaar en efficiënt industrieel netwerk.

De nieuwe Europese catalogus van Panduit

De nieuwe Europese catalogus van Panduit

een full-line 2020 EMEA catalogus voor netwerkinfrastructuren, die de meest up-to-date informatie bevat over Panduit producten en oplossingen voor de Europese markt

Intelligente stroomvoorziening voor IT

Intelligente stroomvoorziening voor IT

Dit whitepaper analyseert de toepassing van intelligente powerstrips (PDU’s) in patchkasten en de operationele voordelen die ze bieden.