Gebruik AI-modellen in een OT-omgeving, maar wel op een veilige manier

Steeds meer maakbedrijven kiezen voor digitalisering en de voordelen zijn groot. Toch moet men er zich van bewust zijn dat dit ook andere beveiligingsrisico’s voor kritieke apparatuur met zich kan meebrengen. ML6 gebruikt vaak AI-modellen in OT-omgevingen, bijvoorbeeld met de oplossing In-line kwaliteitsinspectie en procesbesturing. Dankzij AI kunnen klanten efficiënt produceren, de verspilling minimaliseren en kwaliteit leveren. Ontdek hier hoe de activiteiten tegen cyberaanvallen beschermd kunnen worden.

IT- systemen lopen meer gevaar voor externe cyberbedreigingen, zoals datalekken en ransonware-aanvallen, terwijl OT-systemen ernstige gevolgen kunnen ondervinden van bijvoorbeeld fysieke schade aan industriële processen of infrastructuur. Door elk domein afzonderlijk te beveiligen, wordt het risico op kruisbesmetting van bedreigingen verkleind en de totale beveiliging verbeterd. Er zijn echter evenveel redenen om IT en OT te laten convergeren. Vooral met de steeds toenemende mogelijkheden van AI-modellen en IoT-systemen zijn er onbeperkte mogelijkheden om processen te automatiseren, productielijnen efficiënter te maken en de kwaliteit van processen en producten te verbeteren. Die oplossingen zijn meestal voorbehouden voor het IT-domein, maar kunnen ook veel toegevoegde waarde hebben voor het OT-domein. We bekijken hier hoe deze nieuwe technologieën in een OT-omgeving gebruikt kunnen worden én hoe dat op een veilige manier kan.

Dit referentiemodel omvat een IT-zone met systemen als ERP, CRM, mailservers en andere traditionele IT-systemen en een OT-zone met systemen als SCADA en PLC’s. De derde zone, de gedemilitariseerde zone (DMZ), ligt precies middenin. Ze zorgt voor een eenvoudige communicatie tussen IT- en OT-systemen en een extra niveau van scheiding en controle. Bij een bedreiging binnen de DMZ wordt deze onmiddellijk gedeactiveerd. Gecompromitteerde systemen worden zo geïsoleerd en de productie kan ononderbroken verdergaan.

Dit model dateert uit de jaren ’90 en lijkt achterhaald, omdat IoT-sensoren nu machinegegevens kunnen verzamelen en deze real-time kunnen streamen naar de cloud voor proactief onderhoud.

We bekijken eerst even een naïeve benadering voor het implementeren van een machine-learningmodel, ontwikkeld en ingezet in de cloud, om een machine aan te sturen via een PLC. Het is de eenvoudigste manier, die ook veel waarde kan opleveren voor een bedrijf. De automatisering van het kwaliteitsinspectieproces met AI resulteert immers in minder verspilling, hogere efficiëntie, betere klantenervaring en kostenbesparingen. Maar er zijn ook veel risico’s, omdat de OT direct door de IT beïnvloed wordt en de DMZ er niet bij betrokken wordt.

Onderstaand schema toont een veilige implementatie van AI-modellen in een OT-omgeving. Verbindingen komen ofwel van IT of OT, nooit van binnen de DMZ zelf. Deze fungeert als grens of bufferzone tussen de IT- en OT-systemen, waardoor er geen communicatie tussen beide mogelijk is. Meestal is er een FTP-server binnen de DMZ die de gegevensoverdracht tussen IT en OT vergemakkelijkt. Naast de FTP-server worden aanvullende malwarescanning en antivirusmogelijkheden ingezet om te voorkomen dat kwaadaardig verkeer doorgelaten wordt. Deze aanpak combineert het beste van twee werelden. Cloudtechnologie wordt gebruikt om toegang te krijgen tot schaalbare computerbronnen, waardoor AI-modellen op krachtige hardware en gedistribueerde systemen getraind kunnen worden. Deze schaalbaarheid zorgt voor snellere en efficiëntere trainingsprocessen. Ook het Purdue-model wordt gerespecteerd door de DMZ erbij te betrekken. Dat gebeurde immers wel bij de bovenstaande naïeve benadering. Het creëert de cruciale scheiding tussen IT en OT en beschermt fysieke omgevingen tegen cyberaanvallen.