Wie zijn machines niet cyberveilig bouwt, zal uit de boot vallen

Met NIS2 en de Cyber Resilience Act drukt Europa door, zodat bedrijven meer werk zouden maken van cyberveiligheid. “Maar zie dit nu niet als een Europees verhaal van extra regeldruk die in de weg staat van jouw competitiviteit. Nee, ook elders in de wereld is dit al in wetten gegoten. Cyberveiligheid is geen nice-to-have meer, maar een essentiële voorwaarde om concurrentieel te blijven”, zet Lars-Peter Hansen, head of business development cybersecurity bij Siemens Digital Industries, de toon meteen op scherp.

Meer dan vijftien jaar geleden ging de cybersecuritylamp branden bij Hansen bij het lezen van een handleiding. “Ik was toen actief binnen Siemens rond netwerktechnologie. Het was dezelfde periode dat Stuxnet ontdekt werd, een computervirus dat een kwetsbaarheid in Siemens-apparatuur uitbuitte en bedoeld was om het Iraanse kernprogramma te saboteren. Maar ik besefte toen al dat de gevolgen op langere termijn veel verstrekkender zouden zijn. Dat we standaarden zouden nodig hebben om onze systemen te versterken. En dan moest het tijdperk van IoT eigenlijk nog losbarsten.”

Geopolitiek

Na vijftien jaar van prediken in de woestijn staat Hansen al lang niet meer alleen met zijn betoog. Met NIS2 (vanaf oktober 2024) en de Cyber Resilience Act (vanaf januari 2027) dwingt Europa bedrijven om van cyberveiligheid een hoeksteen van hun strategie te maken. “Maar het gebeurt overal ter wereld. Cyberveiligheid heeft een geopolitiek belang. Daar zijn voorbeelden genoeg van. Het is de reden waarom Amerikanen en Europeanen Huawei-technologie liever niet gebruikt zien worden en waarom China het gebruik van Amerikaanse en Israëlische cybersecuritysoftware eerder mijdt.”

Maakbedrijven steeds vaker slachtoffer

Van de hoogste politieke regionen tot helemaal op de productievloer, het gevaar dreigt overal. Want de meeste hackers willen gewoon munt slaan uit kwetsbaarheden. In maakbedrijven vinden ze een ‘gewillig’ slachtoffer. Hansen: “Productie is heilig, productiviteit de topprioriteit. Hackers redeneren dat ze daarom sneller dan in andere sectoren losgeld zullen ophoesten om de bedrijfscontinuïteit te waarborgen en productiviteitsverliezen tot een minimum te beperken. Vandaag richt 26% van de aanvallen zich al op maakbedrijven. De impact? Gemiddeld kost het 24 dagen om weer up and running te zijn. Het is ook ‘makkelijker’ geworden voor cybercriminelen. Door de steeds grotere verwevenheid van IT en OT zijn productieprocessen bereikbaarder dan ooit voor cyberaanvallen. Niets doen is geen optie meer. We moeten nu werk maken van cyberbeveiliging.” Siemens heeft dat al gedaan voor zijn eigen fabrieken en slaat jaarlijks meer dan 100.000 aanvallen af. “Ervaring die ook onze klanten weer vooruithelpt.”

Kennis OT nodig voor adequate beveiliging

Evident is het immers niet om een productie te beveiligen. “Als je naar een IT-omgeving kijkt, dan vind je heel wat beproefde tools. Cyberveiligheid is daar immers al meer ingeburgerd. Je kunt die echter niet zomaar kopiëren naar een productieomgeving waar tot 50.000 I/O’s in één fabriek aanwezig kunnen zijn. De spelregels zijn er anders. Een productielijn moet zoals gezegd vooral draaien. En eenmaal ze draait, wil je er liefst zo weinig mogelijk aan veranderen. Je zit met verschillende merken, legacy-systemen. Die waren nooit bedoeld om data uit te halen en te verbinden met hoger liggende systemen. Je kunt ook niet zomaar patches of beveiligingsupdates gaan doorvoeren; je moet weten wat de impact kan zijn op bijvoorbeeld het PLC-programma. Met andere woorden: het vraagt de ervaring uit IT in combinatie met de kennis van OT-processen om tot cyberveilige oplossingen te komen. Die vind je niet in één persoon. Cyberveiligheid is daarom een verhaal van teams, van partners”, vertelt Hansen.

Snel stappen zetten

Maar ook vooral van urgentie. “De Europese wetgeving inzake cyberbeveiliging wordt steeds strenger en zal binnenkort de hele toeleveringsketen omvatten, inclusief eigenaren van fabrieken en infrastructuur, machinebouwers en productfabrikanten. Niet-naleving kan leiden tot administratieve boetes tot 15 miljoen euro. Veel fabriekseigenaren en machinebouwers moeten echter vanaf nul beginnen met het nemen van maatregelen om aan de wetgeving te voldoen, terwijl de deadline nu snel nadert – er staat nog minder dan een jaar op de klok …” Ook Geert De Coninck, business unit manager Factory Automation bij Siemens Digital Industries ziet dat er nog veel werk op de plank ligt om hier bewustzijn rond te creëren. “We hebben een event georganiseerd rond NIS2 en aan de deelnemers gevraagd om hun hand op te steken als ze meenden met hun bedrijf onder de scope te vallen. 10% stak zijn hand in de lucht, terwijl het eigenlijk 70% van de zaal had moeten zijn. Ze weten wel van het bestaan van de wetgeving af, maar zijn zich niet bewust van alle implicaties voor hun business.”

Risico’s kennen

Maar wat moeten ze dan concreet gaan doen? “Je bent er niet vanaf met gewoon het installeren van een firewall. Het begint met het analyseren van je processen om te weten wat er kritiek is en wat de risico’s zijn. Als je hele fabriek stilvalt door een geblokkeerde stofafzuiging, moet je die extra beveiligen. Hetzelfde geldt voor machines. Weet waar je kwetsbaarheden liggen en doe er iets aan”, waarschuwt Hansen. Veel machinebouwers (die producten voor de Europese markt leveren) zijn onder de Cyber Resilience Act trouwens verplicht om minimaal vijf jaar beveiligingsupdates en patches te leveren voor producten met digitale elementen. “Je moet dus goed nadenken over hoe je dat realiseert. Maar je kunt van die nood ook een deugd maken. Waarom die connec­tiviteit niet benutten om een nieuw businessmodel te ontwikkelen, waarbij klanten tegen een jaarlijkse vergoeding niet alleen veiligheidsupdates ontvangen, maar ook toegang krijgen tot nieuwe functies?”, stelt De Coninck voor.

Duidelijke strategie

Daarnaast is er een duidelijk plan van aanpak nodig. “Iedereen moet zijn rol kennen in dit verhaal. Van de operator aan de machine die niet zomaar een usb-stick inplugt en degene die de patches zal installeren, tot het management dat voldoende tijd en middelen moet vrijmaken om productie en machines cyberveilig te maken. De NIS2-wetgeving heeft wat dat betreft de rollen omgedraaid door het management persoonlijk verantwoordelijk te stellen”, gaat De Coninck verder. Dat plan van aanpak moet ook spreken over wat er moet gebeuren als er een cyberaanval gebeurt. “Het is niet de vraag of dat gebeurt, maar wanneer. Hackers worden ook steeds slimmer. We zien nu ook hoe AI daarvoor wordt ingezet. Als je machine of productie stilvalt, moet je dus een back-upplan hebben. Letterlijk en figuurlijk. Wat is er gebeurd, wat moet je doen?”

Standaarden, segmenteren, isoleren, prioriteren

Hansen geeft ook nog enkele tips mee voor wie het nog steeds in Keulen hoort donderen. “Volg de standaarden die vandaag al bestaan rond cybersecurity. Ze vormen een uitstekende leidraad. Investeer daarnaast in segmentatie. Bij sommige machines of systemen zul je de risico’s niet kunnen uitsluiten. Probeer die dan zo goed mogelijk te isoleren in je netwerk. Investeer ook in tools om je netwerk te monitoren en actief kwetsbaarheden op te sporen. En vergeet niet om een duidelijke strategie voor patches uit te werken. Er zijn websites die helpen om daarin de juiste prioriteiten te stellen. Ze geven elke patch een score die iets zegt over hoe urgent de update is, zodat kritieke patches zo snel mogelijk gebeuren en andere meelopen met bijvoorbeeld een onderhoudsstop.”

Ecosysteem

Maar het belangrijkste van allemaal is misschien wel het werken met goede partners. Je hebt specialisten nodig om je te adviseren hoe je een goede beveiliging kunt opzetten en wat je nodig hebt voor een veerkrachtig herstelplan. “Bij Siemens hebben we de producten en de ervaring, vaak opgebouwd in onze eigen productieomgevingen. Maar ook wij pretenderen niet alles te kunnen. We kiezen voor een open ecosysteem van partners (met klinkende namen als Palo Alto, Microsoft en Nvidia), zodat we onze klanten altijd op de best mogelijke manier en met de best mogelijke technologie kunnen ondersteunen die hen in staat stelt om de vereiste evolutie te versnellen”, besluit Hansen.