Een paradigmaverschuiving voor industriële veiligheid: het immuniseren van fabrieken

Kaspersky IoT Secure Gateway 100: Hoe kunnen industriële gegevens worden beschermd zonder de bedrijfscontinuïteit in gevaar te brengen?

Tien jaar is een lange tijd in de wereld van cybersecurity. Als we tien jaar geleden in de toekomst hadden kunnen kijken en hadden kunnen zien hoever cyberbeveiligingstechnologieën in 2022 zijn gevorderd, dan had vast niemand dat geloofd. Ook ik niet! Paradigma’s, theorieën, praktijken, producten (antivirus – wat is dat?) – alles is getransformeerd en onherkenbaar vooruitgegaan.

Tegelijkertijd, hoe ver we ook gevorderd zijn – en ondanks de holle beloften van kunstmatige intelligentie-wonderen en tal van andere zogenaamde cybersecurityhypes – worden we vandaag nog steeds geconfronteerd met dezelfde, klassieke problemen die we 10 jaar geleden al hadden:

Hoe kunnen gegevens worden beschermd tegen priemende ogen en ongeoorloofde wijzigingen, terwijl de continuïteit van bedrijfsprocessen gewaarborgd blijft?

De bescherming van vertrouwelijkheid, integriteit en toegankelijkheid is immers nog steeds het dagelijkse werk van de meeste cybersecurity-professionals.

Waar het ook heen gaat, “digitaal” brengt altijd weer dezelfde problemen met zich mee. Dat is altijd al zo geweest en zal ook het geval blijven. Maar dat is ook logisch, omdat de voordelen van digitalisering zo duidelijk zijn. Zelfs schijnbaar conservatieve sectoren zoals die van zware machinebouw, olieraffinage, vervoer of energie zijn al jaren sterk gedigitaliseerd. Allemaal goed en wel, maar is het allemaal ook veilig?

Met de digitalisering neemt de effectiviteit van het bedrijfsleven zienderogen toe. Maar anderzijds kan alles wat digitaal is – en wordt – gehackt worden, en daar zijn heel wat voorbeelden van. De verleiding is groot om digitalisering volledig te omarmen en om alle voordelen ervan te plukken. Het moet echter wel gebeuren op een manier die niet al te pijnlijk is (lees – waarbij bedrijfsprocessen worden onderbroken). En dit is waar onze “nieuwe” speciale pijnstiller ons kan helpen – onze KISG 100 (Kaspersky IoT Secure Gateway).

Dit kleine kastje (RRP – iets meer dan € 1000) wordt tussen industriële apparatuur (verder – “machines”) en de server die diverse signalen van deze apparatuur ontvangt geïnstalleerd. De gegevens in deze signalen variëren – over productiviteit, systeemstoringen, gebruik van middelen, trillingsniveaus, metingen van CO2/NOx-emissies, en een hele reeks andere – maar ze zijn allemaal nodig om een totaalbeeld van het productieproces te krijgen en vervolgens goed geïnformeerde en onderbouwde bedrijfsbeslissingen te kunnen nemen.

Zoals u ziet, is het een klein kastje, maar zeker ook erg krachtig. Een cruciale functionaliteit is dat alleen “toegestane” gegevens mogen worden overgedragen. Het maakt ook datatransmissie in slechts één richting mogelijk. Zo onderschept KISG 100 in een oogwenk een hele wirwar van aanvallen: man-in-the-middle, man-in-the-cloud, DDoS-aanvallen, en nog veel meer van de internet-gebaseerde bedreigingen die maar op ons blijven afkomen in deze ‘roaring’ digitale tijden.

KISG 100 (dat werkt op het SIMATIC IOT2040-hardwareplatform van Siemens en ons cyber-immune KasperskyOS) verdeelt de externe en interne netwerken zodanig dat geen enkele byte aan schadelijke code tussen beide kan geraken, en zo blijven alle machines volledig beschermd. De technologie (waarvoor we drie patenten in behandeling hebben) werkt op basis van het datadiode-principe: de gegevensstroom wordt slechts in één richting geopend en alleen als er aan bepaalde voorwaarden is voldaan. Maar, in tegenstelling tot concurrerende oplossingen, doet KISG dit (i) betrouwbaarder, (ii) eenvoudiger, en (iii) goedkoper!

Laten we dit eens nader bekijken…

Het is niet voor niets dit kleine kastje een “poort” wordt genoemd, want in principe werkt het net als de mechanische hydrotechnische poort die men in kanalen aantreft – een slot. U opent de onderste poort, de boot gaat de kamer in; het waterpeil stijgt, de bovenste poort gaat open, de boot verlaat de kamer. Op dezelfde wijze initialiseert KISG 100 eerst de agent van de bron uit het industriële netwerk, verbindt deze vervolgens met de agent van de ontvanger van gegevens in de richting van de server en maakt de eenrichtingsoverdracht van gegevens mogelijk.

Zodra er een verbinding tot stand is gebracht tussen de machine en de server, heeft het systeem een zogenaamde beschermde status: toegang tot een extern netwerk en ook tot niet-vertrouwd geheugen is voor beide agenten (bron en ontvanger) verboden, terwijl toegang tot vertrouwd geheugen (van waaruit ze werkparameters ontvangen zoals encryptiesleutels, certificaten, enz.) is toegestaan. Met deze status kan de gateway niet worden gecompromitteerd door aanvallen vanuit een extern netwerk – aangezien alle componenten in dit stadium losgekoppeld zijn van de buitenwereld en als vertrouwd worden beschouwd; ze worden alleen geladen en geïnitialiseerd.

Na initialisatie wordt de status van de gateway gewijzigd in actief: de ontvangende agent krijgt het recht om zowel gegevens naar een extern netwerk over te dragen als toegang te krijgen tot niet-vertrouwd geheugen (waarin tijdelijke gegevens zijn opgeslagen). Dus zelfs als de server wordt gehackt, kunnen de hackers niet bij de andere componenten van de gateway of het industriële netwerk komen. Zoals hier:

De controle over de naleving van de regels van de interactie tussen agenten, plus het schakelen van de statussen van de gateway, gebeurt door een cyberbeveiligingsmonitor KSS. Dit geïsoleerde subsysteem van KasperskyOS controleert voortdurend of het vooraf gedefinieerde beveiligingsbeleid wordt nageleefd (welke component wat mag doen) en blokkeert, volgens het principe van ‘default deny’, alle verboden acties. Het belangrijkste concurrentievoordeel van KSS is dat het beveiligingsbeleid heel gemakkelijk kan worden beschreven met een speciale taal en dat er verschillende vooraf gedefinieerde modellen van cyberbeveiliging kunnen worden gecombineerd. Als slechts een van de onderdelen van KISG 100 (bijvoorbeeld de ontvangende agent) gecompromitteerd blijkt te zijn, kan dat de rest van de onderdelen niet schaden, terwijl de systeembeheerder op de hoogte wordt gebracht van de aanval en aan de slag kan om deze af te handelen.

Bent u er nog? Dan volgt nu het onvermijdelijke ‘wacht, er is meer!’…

Dit kleine kastje kan ook helpen bij een verstrekken van aanvullende digitale diensten. Het maakt een veilige integratie van industriële gegevens in ERP/CRM en andere bedrijfssystemen van een onderneming mogelijk!

Scenario’s waarbij dergelijke diensten betrokken zijn, kunnen sterk uiteenlopen. Voor onze gerespecteerde klant Chelpipe Group (een toonaangevende producent van stalen buizen) hebben we bijvoorbeeld de efficiëntie berekend van een werktuigmachine die buizen snijdt. Dankzij deze voorspellende analyse kan er tot wel 7000 dollar per maand worden bespaard op de uitgaven wanneer voor de aanschaf van een dergelijk instrument wordt gekozen (!). In feite biedt een dergelijke integratie eindeloos veel mogelijkheden.

Nog een voorbeeld: het bedrijf LenPoligraphMash uit Sint-Petersburg heeft zijn industriële uitrusting aangesloten op een 1C ERP-systeem, en toont nu – bijna in realtime – in een ERP-analyse de prestaties van alle operatoren, zodat het hen kan betalen op basis van de werkelijke (niet normatieve of gemiddelde) downtime. Het unieke karakter van deze aanpak en de schaalbaarheid ervan werden bevestigd door deskundigen van het gerespecteerde analysebureau Arc Advisory Group in hun eerste cyberimmuniteitsrapport.

Zoals u ziet, is dit niet zomaar een kastje. Het is een ingenieus, magisch hulpmiddel! Nu al wordt KISG 100 niet alleen gebruikt bij Chelpipe Group, maar wordt het ook geleverd samen met de metaalverwerkingsmachines van StankoMashKomplex, lopen er succesvolle pilotprojecten met Rostec en Gazprom Neft, en zijn er tientallen andere pilotprojecten met grote industriële organisaties gestart. Het apparaat kreeg een speciale prijs voor uitstekende technische prestaties op het grootste Chinese IT-evenement, Internet World Conference; op de industriële tentoonstelling Hannover Messe 2021 verdiende KISG 100 een plaats tussen de beste innovatieve oplossingen; en onlangs werd er ook nog de hoofdprijs in de wacht gesleept bij de IoT Awards 2021 van de Internet of Things Association, en versloeg het daarmee vele hooggewaardeerde bedrijven.

In de toekomst zullen we het aanbod van dergelijke slimme kastjes uitbreiden. De “oudere broer” van KISG 100KISG 1000 – wordt nu al in bèta getest. Het is niet alleen een gateway-beschermer, maar ook een inspecteur: het verzamelt, controleert en distribueert niet alleen telemetrie, maar geeft ook beheerscommando’s door aan apparaten en beschermt tegen netwerkaanvallen.

De conclusie: u hoeft niet bang te zijn voor het digitale, maar zorg er wel voor dat u er op de juiste manier mee omgaat. En wij zijn er natuurlijk om u daarbij te helpen!

Tips