Auteur: Karl D’haveloose
Weet dat er op deze aardkluit in 2022 amper 6% van de totale budgetten voor industriële cybersecurity werd gespendeerd aan IoT- en OT-beveiliging. Wetende hoe snel de geconnecteerde industrie evolueert, is dit stilaan om te huilen. Wij gaan de klaagzang niet aan, maar straks op ABISS2023 maken we de markt alvast alerter en leggen we inhoudelijk de focus op Security of Things.
Het beveiligen van industriële activiteiten is geen sinecure. De diversiteit van het ecosysteem maakt de taak ingewikkeld, omdat nieuwe slimme apparaten en verbonden operationele technologieën (waaronder gevirtualiseerde activa) worden toegevoegd aan het gefragmenteerde geheel van eigen en oude systemen, die er al van vorige decennia zijn. We alles even samen op basis van een studie van ABI Reseach en Globalsign in 2022.
Legacy (lees oudere) apparatuur beperkt accurate uitrol
Er zijn talrijke uitdagingen bij het implementeren van uniforme veiligheidsbescherming op apparatenniveau:
- Apparaten met hoge beperkingen en weinig rekenkracht
- Eisen inzake ultralow latency en beperkte bandbreedte voor realtime operaties
- Beperkte upgradebaarheid/retrofitbaarheid van oudere apparaten
- Apparaten die na meer dan 10 jaar nog steeds operationeel zijn
- Luchtdichte en offlinesystemen, die je zomaar niet kan updaten
Dit maakt het moeilijk om krachtige IT-cyberbeveiligingsoplossingen toe te passen, omdat veel industriële processen dergelijke vereisten zelden verdragen, zelfs niet voor zoiets belangrijks als beveiliging. Het is dan ook een grote uitdaging voor de bedrijfsleiding om een samenhangende beveiliging van de industriële infrastructuur mogelijk te maken.
Heel wat cyberbeveiligingssoftware en integratoren hebben te weinig ervaring met IioT- en OT-beveiliging.
Als beursorganisator merkt Industrialfairs op dat er heel wat cybersecurity-aanbieders en -ontwikkelaars zijn, die weinig kennis hebben over specifieke OT-processen. Industrialfairs besloot alvast om daar met de industriële digitaliseringssummit ABISS2023 iets aan te doen binnen het thema Security of Things.
Cybersecurity moet niet alleen aan verouderde industriële systemen worden aangepast, maar tevens rekening houden met het grote aantal nieuw aangesloten industriële sensoren en IoT-apparaten. De sleutel tot een succesvolle beveiligingsintegratie ligt eveneens in het minimaliseren van de conflicten tussen al deze elementen als in de zoektocht naar van de meest geschikte oplossing.
In werkelijkheid zijn er niet veel beveiligingstechnologieën die makkelijk toepasbaar zijn zonder aanzienlijke investeringen in de aanpassing van de beveiliging van industriële activa. De meeste commerciële off-the-shelf beveiligingsoplossingen zijn enkel op het netwerkniveau of hoger implementeerbaar. Industriële bescherming moet echter veel dichter bij het eindpunt worden geïnstalleerd om voor industriële klanten echt waardevol te zijn.
Aanpak: iedere component zijn digitaal certificaat
Een deel van de oplossing is begrijpen dat het opbouwen van een effectieve vertrouwensketen in de eerste plaats de vaststelling van elke asset-identiteit vereist. Identificatie van activa dient niet alleen voor activabeheer, maar biedt ook de mogelijkheid om een beveiligingsbeleid op te stellen.
Met machine-identificatiemaatregelen kunnen industriële exploitanten tal van functies mogelijk maken, waaronder verificatie en toegangscontrole, monitoring, detectie, reactie op bedreigingen en levenscyclusbeheer.
Het ander deel van de oplossing bestaat uit het vinden van een geschikte identificatiemethode, die bruikbaar en agnostisch is voor de zeer gefragmenteerde massa-apparaten en machines in onder andere productie. Bovendien moet er gezorgd worden dat deze oplossing makkelijk schaalbaar en flexibel is.
Digitale certificaten vormen dergelijke technologie. Oorspronkelijk gestandaardiseerd in 1988 onder het X.509 formaat zijn ze vandaag ingeburgerd en alomtegenwoordig in iedere IT-omgeving. Ze zijn trouwens zeer aanpasbaar, waardoor ze goed passen in een heterogene omgeving. Digitale certificaten bieden een vertrouwensanker om een verifieerbare identiteit vast te stellen voor elk goed (individu, machine, toepassing, enz.).
De populariteit ervan is te danken aan de fundamentele rol binnen PKI (Public Key Infrastructure voor digitale certificaten) , dat de afgelopen 30 jaar het fundament van digitaal vertrouwen vormde. KPI-technologie doorstond al ruim 30 jaar de test of time, ook voor industriële apparaten.
“De wereldwijde PKI-markt wordt geschat op iets meer dan 2 miljard dollar in 2022. Het percentage inkomsten uit IioT vertegewoordigt amper 10 % van de inkomsten.”
PKI is een unieke en wendbare technologie, die geschikt is voor een verscheidenheid aan toepassingen: van ‘publiek vertrouwen’ (zoals Secure Sockets Layer (SSL)-/Transport Layer Security (TLS)-certificaten voor openbare websites) tot ‘particulier vertrouwen’ (Secure/Multipurpose Internet Mail Extensions (S/MIME) voor privégebruik door organisaties voor het versleutelen van e-mails). Digitale certificaten kunnen op verschillende manieren worden geïmplementeerd, waaronder Secure Shell (SSH)-certificaten, code signing-certificaten, digitale handtekeningen en digitale identiteiten en dergelijke.
PKI biedt duidelijk een business case voor industriële platformen mits juiste keuzes
De juiste PKI-oplossing kan een grote bijdrage leveren aan het verlichten van enkele uitdagingen omtrent de invoering en het levenscyclusbeheer van industriële activa. Tevens biedt PKI het broodnodige inzicht in industriële activiteiten tot op alle randapparatuur.
PKI-oplossingen, die op industriële activiteiten afgestemd zijn, bieden uitgebreide certificaatmogelijkheden binnen een uitgebreid identiteitsplatform, dat het beheer vanuit operationeel oogpunt vereenvoudigt en stroomlijnt. Een uitgebreide set functies kan fijnmazige controles laten uitvoeren samen met de afstemming van het activagedrag, wat industriële processen optimaliseert.
Nood aan de juiste keuzes en expertise
Zoals reeds aangegeven is er weinig standaard of the shelf-software voor industriële processen en organisaties met sterke integraties en interconnecties. Er wachten u als lezer van dit artikel en hopelijk ook bezoeker van onze beurzen nog heel wat keuzes (vermoedelijk maatwerk), die vooral samen met uw integrator of intern gemaakt moeten worden. Finaal schetsen we hieronder nog een paar belangrijke keuzes om het nog wat uitdagender te maken. We hopen u wijzer te maken op de volgende editie van ABISS op 5 oktober 2023.
Belangrijke kenmerken die industriële klanten moeten overwegen zijn:
- de keuze van het soort apparaatcertificaten
- het creëren van een vertrouwde root-hiërarchie (CA) voor uitgifte
- de keuze in communicatie- en registratieprotocollen
- vereist maatwerk voor het definiëren van passende regels en beleidslijnen voor registratie
- de configuratie- en leveringsmogelijkheden voor certificaten
- het aanbod aan intrekkingsdiensten
- het onderhoud van certificaatinventarissen
- Integratie met onder meer IoT-platforms en cloudtoepassingen
Idealiter geeft een geavanceerde oplossing prioriteit aan automatisering, vooral omdat een hoog volume en schaalgrootte belangrijke eisen zijn in industriële omgevingen.