Industrial Security bovenaan de agenda: hoe bedrijven de eerste stap kunnen zetten

Simon Nutz, consultant Industrial Security

“Security? Dat is niet ons pakkie-an!” – dit is nog steeds een veelgehoorde reactie van machinefabrikanten en -exploitanten op vragen over Security. “Onze IT-afdeling gaat over de Security,” komt er dan enigszins verontschuldigend achteraan. In de praktijk ontbreekt het IT echter aan specifieke kennis, vooral met betrekking tot automatiseringsnetwerken. Anderzijds weten constructeurs en veiligheidsfunctionarissen (HSE) niet goed hoe ze met cyberveiligheid moeten omgaan. Dus hoe bereid je jezelf voor op Industrial Security?

Vanaf januari 2027 moet de Machineverordening (MVO) verplicht worden toegepast in de Europese Unie. De verordening geldt voor alle bedrijven die machines willen importeren in de EU of ze daar willen gebruiken. De MVO schrijft Industrial Security voor in de vorm van beschermingsmaatregelen tegen corruptie. Industrial Security wordt daarmee bedrijfskritisch en dus een taak voor het management. Het management moet ervoor zorgen dat Industrial Security stevig wordt verankerd in het bedrijf.

Iedereen rond de tafel krijgen
Om dit voor elkaar te krijgen, is de eerste stap om iedereen rond de tafel te krijgen. Bij machinefabrikanten gaat het om de afdelingen IT en ontwikkeling/ontwerp en – indien aanwezig – degenen die verantwoordelijk zijn voor Security (bijv. CISO). Bij gebruikers zijn dit, naast IT, productietechniek en productiebeheer, HSE en CISO.
Allereerst moet kennis worden opgebouwd en een gemeenschappelijk begrip van Industrial Security worden ontwikkeld: met welke wettelijke verplichtingen krijgt de machine- en installatie-industrie te maken? Wat is hierbij het verband tussen Safety en Security? Waar komen IT en OT samen?

In de tweede stap ontwikkelen deze interdisciplinaire teams een geschikte strategie voor het bedrijf plus een implementatieconcept. Het gaat erom dat men elkaar vindt binnen het bedrijf en een structuur opzet: wie is waarvoor verantwoordelijk in de toekomst? Hoe ziet de netwerktopologie van de eigen machines eruit? Hoe past dit binnen de nieuwe wettelijke voorschriften?

Implementatie begint met de risicobeoordeling
Pas dan is het bedrijf in staat om het onderwerp Industrial Security te implementeren. Dit begint met de beoordeling en kwantificering van mogelijke incidenten en het maken van een analyse van de beschermingsbehoeften. Hierbij worden ook mogelijke kwetsbaarheden en het potentieel voor aanvallen en manipulatie door middel van netwerken, digitalisering en AI geïdentificeerd. Belangrijk: Naast de klassieke IT-beschermingsdoelen zoals vertrouwelijkheid, integriteit en beschikbaarheid, omvatten de beschermingsdoelen van Industrial Security ook Safety, d.w.z. de functionele veiligheid van de machine.

Een Security-risicobeoordeling is altijd het uitgangspunt. Er moet worden gekeken naar bedreigingen en risico’s als gevolg van Security-gaten in de beveiliging. Dit vereist voortdurende controle en aanpassing van beveiligingsmaatregelen. Vaak gaat het hierbij om complexe IT-infrastructuren en netwerken, waarvoor extra technische expertise en middelen nodig zijn.

Expert voor Security en Safety gezocht!
Iedereen die een begin wil maken met Industrial Security in de automatisering en hiervoor op zoek is naar externe ondersteuning, moet zich realiseren dat expertise op het gebied van IT Security slechts beperkt helpt. Dit komt omdat de processen voor het minimaliseren van het risico op aanvallen op machines (Industrial Security) erg lijken op de processen voor het verminderen van risico’s die van machines kunnen uitgaan (Safety). Als je Industrial Security wilt implementeren, moet je een expert zijn in machineveiligheid en de relevante specificaties en normen kennen, vooral de machineverordening.

De feitelijke implementatie van de wetgeving is op dit moment in gang gezet. Op sommige gebieden worden de geharmoniseerde normen nog opgesteld. Als expert op het gebied van machineveiligheid is Pilz nauw betrokken bij en speelt een actieve rol in het vormgeven van relevante normen. Pilz geeft deze expertise door aan zijn klanten in de vorm van diensten en trainingen. De training “Basisprincipes Industrial Security” is bedoeld voor beginners. Deelnemers leren over terminologie en vereisten en leren cyberbeveiliging in de context van machine- en netwerkveiligheid te begrijpen. Door middel van best practices krijgen deelnemers inzicht in cyberbeveiligingsrisico’s in de eigen productie.
De training “Certified Expert for Security in Automation (CESA)” biedt de tools om effectieve organisatorische en technische maatregelen te nemen in industriële automatiseringsnetwerken.

Naast het trainingsaanbod biedt Pilz met het portfolio “Identification and Access Management” (I.A.M.) producten en oplossingen op maat voor een breed scala aan taken op het gebied van werknemersbescherming, aansprakelijkheidsbescherming, maximale productiviteit en gegevensbescherming. Toepassingen zijn onder andere gebruikersauthenticatie, veilige bedrijfsmoduskeuze, gegevens- en netwerkbeveiliging en toegangsbeheer. Zo levert één systeem zowel Safety als Security.

Om op tijd voorbereid te zijn op de uitdagingen van Industrial Security, moeten machinefabrikanten en -exploitanten over de hele wereld nu met het onderwerp aan de slag. Er moet kennis worden opgebouwd, verantwoordelijkheden en interfaces moeten worden gedefinieerd en er moet een strategie worden ontwikkeld. Idealiter zou het management dit proces moeten initiëren.