Van oudsher heeft de industrie veel aandacht voor ‘safety’. Hoe bescherm ik de mens tegen de machine? Voor het omgekeerde is veel minder aandacht: hoe voorkom ik dat cybercriminelen machines tot stilstand brengen? Onterecht, vindt Pieter van der Klooster, directeur International Business Development van de International Society of Automation (ISA). “We moeten machines beter gaan beschermen tegen de mens.”
Cyberaanvallen op industriële bedrijven en kritieke infrastructuren zijn al lang geen uitzondering meer. Eind 2015 slaagden hackers er al in om met kwaadaardige software de stroomvoorziening in de Oekraïense hoofdstad Kiev uit te schakelen. In 2017 waren onder andere het transport- en energiebedrijf Maersk en medicijnfabrikant MSD slachtoffer van ransomware. Chinese hackers hadden het al eens voorzien op het intellectuele eigendom van chipmachinefabrikant ASML.
Cyberdreiging neemt toe
Dit zijn slechts de voorbeelden die de media hebben gehaald. Volgens ISA is het probleem echter veel breder. “Je hebt twee typen bedrijven: bedrijven die zijn gehackt, en bedrijven die nog niet weten dat ze zijn gehackt”, zegt Pieter van der Klooster. “Met name de afgelopen drie tot vier jaar is de cyberdreiging voor de industrie erg groot geworden. Het is een reëel probleem.”
Dat heeft meerdere oorzaken. Een eerste verklaring is de trend dat steeds meer industriële machines aan het internet worden gekoppeld. Dat gebeurt helaas niet altijd op een veilige manier. Met eenvoudig verkrijgbare tools zoals de zoekmachine Shodan speuren cybercriminelen naar machines die open en bloot aan het internet hangen. Via de gevonden onbeveiligde machines kunnen ze vervolgens het bedrijfsnetwerk binnendringen en data stelen, of de bedrijfsprocessen in gevaar brengen door de machines te besmetten met malware.
Daar komt volgens Van der Klooster bij dat cybercriminelen zeker in de industrie een financiële slag kunnen slaan. “Stel dat een hacker er bij een brouwer in slaagt de machine voor het vullen van de blikjes te gijzelen met ransomware. De schade bedraagt al snel honderdduizenden euro’s per dag. Voor het slachtoffer is het dan verleidelijk om het ‘losgeld’ van misschien ‘maar’ tienduizend euro te betalen. Besmette machines kunnen bovendien ook weer de safety in gevaar brengen. Safety en security kunnen eigenlijk niet los van elkaar worden gezien.”
ISA/IEC 62443
“Voor industriële bedrijven is het helaas lastig om zich te beschermen tegen de toenemende cyberdreiging”, weet Van der Klooster. “Je hebt vaak te maken met snelle processen die nooit stil mogen liggen. Beveiligen is dan een uitdaging.” Toch ziet Bram van der Klooster, Marketing Manager bij ISA EMEA, een lichtpuntje. Hoewel de focus in de industrie nog altijd ligt op safety, neemt de aandacht voor security wel degelijk toe. “Ook in Nederland zien we dat de populariteit van onze cybersecuritytrainingen stijgt.” Bedrijven zijn er dus in toenemende mate mee bezig.
Joshua Smits, Technisch Specialist en Cybersecurity Expert bij ISA EMEA, heeft vergelijkbare ervaringen. “Steeds meer systeemintegratoren en machinebouwers volgen onze opleidingen tot cybersecurityexpert. Want zij hebben steeds vaker te maken met klanten die willen dat de engineers zijn gecertificeerd volgens de ‘cybersecuritystandaard’ ISA/IEC 62443.”
ISA-trainingen
Lange tijd was ISA – in 1945 opgericht als de Instrumentation Society of America – in Europa vooral bekend van de batch-gerelateerde normen ISA-88 en ISA-95 en ISA-18 voor alarmsystemen. De afgelopen jaren ligt de focus van het Europese ISA-kantoor voornamelijk op de ontwikkeling van de cybersecuritystandaard ISA/IEC 62443 (ISA-99) voor industriële automatiserings- en controlesystemen. “Cybersecurity staat bij ons met stip op nummer één”, aldus Bram van der Klooster.
De ontwikkeling van de standaarden wordt voornamelijk gefinancierd met de opbrengsten van de trainingen die praktijkdocenten namens ISA verzorgen. Vanuit een gloednieuw kantoor in Eindhoven coördineert ISA Europe de trainingen tot ver buiten Europa, tot zelfs in Azië en het Midden-Oosten.
Theorie en praktijk
Op het gebied van cybersecurity verzorgt ISA vier verschillende trainingen: een ‘fundamentals’-training en vervolgcursussen op het gebied van risico-inventarisatie, design en implementatie, en maintenance. Wie alle vier de trainingen met succes doorloopt, mag zich cybersecurityexpert noemen en wordt opgenomen in het register van ISA. Prometric neemt als onafhankelijke instantie het examen af en zorgt voor de certificering.
Tijdens de trainingen maken de cursisten kennis met zowel de theorie als de praktijk. Smits: “Ze leren omgaan met de technische oplossingen van verschillende leveranciers. Zo gebruiken we tijdens de trainingen de mGuard van Phoenix Contact als industriële security-appliances. De cursisten moeten bijvoorbeeld de firewallregels opstellen of een demilitarized zone (DMZ) opbouwen.”
Securitybewustzijn stimuleren
“Cybersecurityexperts die beschikken over een certificering hebben echt iets in handen”, benadrukt Pieter van der Klooster. Maar volgens de directeur is er meer nodig om kritieke infrastructuren en de industriële sector weerbaarder te maken tegen cyberaanvallen. “Het gaat erom dat iedereen binnen een organisatie zich bewust is van de cyberdreiging.”
“Dat bewustzijn stimuleren we bijvoorbeeld ook met webinars en animaties en door in discussie te gaan met directies”, besluit Pieter van der Klooster. “Dat is echt de volgende stap in de ontwikkeling van ISA. Daar zetten we de komende tijd zwaarder op in.”