Niveaumeting, goed beschermd tegen cyberaanvallen

De universele VEGAPULS 6X meet betrouwbaar het niveau van vloeistoffen en bulkgoederen, zelfs onder de moeilijkste procesomstandigheden. Ook als het op IT aankomt, kunnen gebruikers op beide oren slapen. Deze radarsensor werd als een van de eerste niveaumeters ontworpen met de IEC 62443-4-2 standaard voor ogen.

Moderne, geïntegreerde automatiseringsoplossingen vereenvoudigen de verwerking en maken processen flexibeler en efficiënter. Maar door de openheid van deze systemen moeten automatiseringsingenieurs zich ook meer toeleggen op cyberveiligheid. Volgens Bitkom e.V. ziet de Duits economie jaarlijks 203 miljard euro verloren gaan door de diefstal van IT-apparaten en bedrijfsdata, maar ook door e-spionage en sabotage. Ook in de procesindustrie beginnen bedrijven zich bewust te worden van de gevaren: elke aanval op de IT-infrastructuur kan immers gevolgen hebben op de OT-processen. 

Toch houdt die openheid net talrijke voordelen voor gebruikers in. Niveausensoren leveren bijvoorbeeld belangrijke data over heel wat industriële activiteiten en maken procesdata van overal toegankelijk, zodat systemen voor wereldwijd voorraadbeheer mogelijk worden. De ontwikkeling van draadloze communicatie via Bluetooth heeft het gebruik van dergelijke toepassingen nog verhoogd. Hiermee kan men immers sensoren en controllers in gebruik nemen of parametriseren, wat overigens helpt om de veiligheid te verbeteren. Waar de data ook vandaan komen, VEGA-sensoren maken ze beschikbaar waar ze nodig zijn. 

Maar ook dat werpt uiteraard weer vragen op in verband met cyberveiligheid. Daarom heeft VEGA veel tijd en moeite gestoken om een IEC 62443-4-2 certificatie te verkrijgen voor zijn nieuw paradepaardje, de radarniveaumeter VEGAPULS 6X. Deze reeks internationale standaarden voorziet in een flexibel kader om veiligheidsstandaarden systematisch te beoordelen, te evalueren en toe te passen. Veiligheidsvereisten voor hardware en software worden in deze richtlijnen gedefinieerd. Het volledige ontwikkelingsproces achter de VEGAPULS 6X werd aangedreven door de IEC 62443-4-2 veiligheidsstandaard. Dat omvatte onder andere al van bij de start de analyse van potentiële bedreigingen om zodoende zwakke plekken vroeg te identificeren en tegenmaatregelen te nemen. Dit had niet alleen te maken met de beveiliging van de component, maar ook van het volledige productieproces van het bedrijf, overzien door het onafhankelijk instituut TÜV NORD, dat elke maatregel aan de nodige testen heeft onderworpen.

De veiligheidsmaatregelen beginnen met de inkapseling van de elektronica van de VEGAPULS 6X om manipulatie tegen te gaan. Ook een zogenaamde ‘Defense-in-Depth’ strategie is geïntegreerd, een concept opgebouwd uit verschillende IT-beveiligingslagen. Voor de VEGAPULS 6X komt dat neer op bescherming tegen potentiële bedreigingen zoals:

- Datamanipulatie (schending van de integriteit)

- Denial of Service (DoS, schending van de beschikbaarheid)

- Spionage (schending van de vertrouwelijkheid)

Verder werden ook bijkomende veiligheidsfeatures voorzien:

- Gebruikersauthenticatie: elke VEGAPULS 6X wordt geleverd met een unieke apparaatcode en Bluetooth toegangscode. De Bluetooth verbindingen zijn geëncrypteerd met gestandaardiseerde cryptografiemethodes  die de gebruiker ook kan deactiveren nadat hij zijn toestel geconfigureerd heeft;

- Event geheugen (logging): de VEGAPULS 6X registreert vergrendelings- en ontgrendelingsprocessen; zowel de geslaagde als
de gefaalde. Deze veiligheidsfunctie kan gecontroleerd worden door de sensor met een verkeerde code te proberen te ontgrendelen. Deze verkeerde authenticatie moet dan opgeslagen worden in het ‘IT VEILIGHEID’ event geheugen. Door dit regelmatig te controleren, kun je aanvallen of manipulatie opsporen;

- Firmware veiligheidscontroles: het software-updatepakket is geëncrypteerd en getekend, zodat er geen niet-geautoriseerde software kan ingeladen worden;

- Data back-up herstel: de parameters van de VEGAPULS 6X kunnen opgeslagen worden met behulp van de ‘Create backup’ functie. Dat kan ook via controle systemen die HART ondersteund zijn.

Wanneer er een cyberaanval gebeurt, is tijd essentieel. Elk bedrijf moet zich voorbereiden en een noodplan uittekenen, zodat er geen kostbare tijd verloren gaat als het ergste gebeurt. Daarbij moet ook nagedacht worden over hoe men het veiligheidssysteem wil heropbouwen als het ernstig beschadigd geraakt is. Bij VEGA staat het PSIRT (Product Security Response Team) altijd paraat om klanten te ondersteunen. Deze experten zoeken continu naar kwetsbaarheden, zorgen voor assistentie met updates en patches, en beantwoorden klantenvragen om meteen actie te kunnen ondernemen in kritieke situaties, bijvoorbeeld wanneer er een zwakke plek in de verdediging ontdekt wordt. Tegelijk werkt VEGA nauw samen met CERT@VDE, een IT-veiligheidsplatform voor industriële bedrijven om kwetsbaarheden te rapporteren en te onderzoeken. 

VEGA niveausensoren maken het al decennia gemakkelijker voor gebruikers om hun industriële processen te monitoren. Ook op vlak van cyberveiligheid maakt VEGA het zo eenvoudig mogelijk. Uiteraard zal een deel van de verantwoordelijkheid altijd bij de fabrieksuitbater blijven liggen. Cyberveiligheid is immers een continu, dynamisch proces dat voortdurend voldoende aandacht nodig heeft. VEGA zorgt echter wel voor de juiste ondersteuning. Door gebruikers aan te moedigen om de maatregelen in de richtlijnen te volgen, zodat de sensor correct en veilig toegepast wordt. Daarin staan ook bijkomende tips over hoe een volledig productiesysteem cyberveilig kan worden. Gebruikers kunnen zich dus optimaal voorbereiden.