Ict-afdeling moet processystemen gaan beveiligen

Industrie&ICT: Fabriek komt naar kantoor

Productieautomatisering beweegt zich steeds vaker in het domein van de administratieve automatisering. De expertise van de ict-afdeling wordt ingezet om productiesystemen beter te beveiligen. Die draaien meer en meer in Microsoft Windows-omgevingen.

Op de vakbeurs Industrie&ICT, die nog tot en met vrijdag in Utrecht plaatsgrijpt, is een van de thema's de integratie tussen de productie- en de kantoorautomatisering. Een van de aanleidingen daarvoor is het ontstaan van een nieuwe generatie productiesystemen die in een MS Windows-omgeving draaien en koppelingen hebben met administratieve systemen, zoals software voor enterprise resource planning (erp).

"Veel oudere productiesystemen zijn gespecialiseerd en draaien op geïsoleerde VAX- en Unix-platforms. De looptijd van dit soort systemen is twintig jaar, waarbij er om de zes jaar een update plaatsvindt plaatsvindt en de systemen dus 24/7 gedurende zes jaar lang beschikbaar moeten zijn. Niet al te vaak updaten dus, omdat migratietrajecten omslachtige processen zijn waarvoor de productie soms een tijdje wordt stilgelegd", zegt Ruud Welschen, productmanager process control & safety systems bij Siemens Nederland.

Geen paniek

Hij merkt dat de procesindustrie langzamerhand overstapt op een moderne Microsoft Windows-omgeving. Bijkomend probleem is dan de beveiliging. "Tot een jaar geleden was het gebruik van antivirus-software en firewalls op productieservers in een fabrieksomgeving niet toegestaan. Die belastten de prestaties van de productiesystemen. Nu is dat aan het veranderen. MS Windows-systemen moet je echter beveiligen en er zijn regelmatig patches nodig. Ik wil geen paniek schoppen, maar producenten zullen hiervoor een beleid en protocollen moeten ontwikkelen."

Als anti-virussoftware voor de procesomgeving zijn inmiddels de pakketten van Norton, McAfee en TrendMicro als afdoende gebrandmerkt.

ICT-afdeling inschakelen

De standaardenorganisatie ISA bekijkt bovendien of de informatiebeveiligingsstandaard ISO/IEC 27000, die in de ict-wereld gangbaar is, op de procesindustrie kan worden toesneden. "Voor het afdoende beveiligen van het productienetwerk moeten bedrijven ook hun ict-afdeling inschakelen. Die heeft veel kennis van het beschermen van het kantoornetwerk en het uitrollen van patches. Daarbij is wel belangrijk dat de kantoor- en procesautomatiseerders dezelfde taal spreken want de aanpakken zijn soms verschillend."

Hij geeft als voorbeeld dat in een industrie-omgeving een ringnetwerk met diverse servers en switches normaal is, terwijl deze inrichting in een kantooromgeving niet mag, omdat berichten anders blijven circuleren en het dataverkeer verstopt raakt.

Uienschil

De productmanager van Siemens spreekt over het uienschil-model. "De buitenkant van de ict-omgeving van een producent is het best beveiligd, net als het interne netwerk. Maar hoe dieper je het processysteem in gaat, des te slechter de beveiliging. Ik ken voorbeelden van medewerkers die op de productievloer hun usb-stick in een procescontrolserver staken. Als er dan een virus wordt overgebracht gaan er geen alarmbellen af." Ook wijst hij op het toenemend gebruik van VPN-verbindingen om ook buiten de fabriek de productiesystemen in de gaten te houden. "Die zijn eigenlijk ingericht op TCP/IP en niet zozeer op protocollen uit de procesautomatisering. Besef je dat te laat, dan ruiken hackers hun kans."