19/12/2017
Door Liam van Koert
Op de SPS IPC Drives in Neurenberg was het op de stand van Pilz vooral een slimme mat die heel veel aandacht trok. Maar wie net even verder keek kwam oog in oog met een klein product waarvan de impact wel eens een stuk groter zou kunnen zijn: de SecurityBridge. Dit slimme component fungeert als een soort firewall en VPN server in één en voorkomt ongeautoriseerd verkeer met het Safety-netwerk in de fabriek of machine.
// Factory Facts //
- SecurityBridge van Pilz biedt plug & play firewall en VPN-server over SafetyNET
- Hiermee kan het safetynetwerk van machines of de hele machinebesturing worden beveiligd
- Men dient wel te beschikken over een PNOZMulti2 veiligheidsrelais of een PSS4000 automatiseringssysteem van Pilz
Cybersecurity is ook voor industriële automatiseerders een steeds belangrijker onderwerp. Je kan namelijk niet aan de ene kant allerlei poorten naar het internet en de cloud openzetten om 4.0 te kunnen verkopen, en tegelijkertijd volhouden dat voor security de eindverantwoording volledig bij de eindgebruiker ligt. Pilz is bij uitstek een bedrijf dat dat heel goed snapt. Want was het met veiligheid eigenlijk niet net zo? Natuurlijk is de eindgebruiker volgens Arbowetgeving verantwoordelijk voor zijn personeel. Maar aanbieders van automatiseringsproducten moeten zorgen voor oplossingen die veiligere machines opleveren.
Beveiligde veiligheid
Met de SecurityBridge lijkt het er op dat Pilz ook voor cybersecurity een vergelijkbare redenering hanteert. Zo kwam het bedrijf in Hannover met de Industrial PI (lees hier ons verhaal over deze op de Raspberry Pi gebaseerde IIoT oplossing ) waarmee machines met het internet gekoppeld kunnen worden. Nu introduceert het een component dat met name het safety-deel van het netwerk beveiligt tegen ongeautoriseerd dataverkeer. Liesbeth Smits, Innovatie Specialist bij Pilz en afgestudeerd TU Delft ingenieur met achtergrond in Technische Informatica legt uit hoe het werkt. “De SecurityBridge vervult verschillende functies. Enerzijds is er een firewall die bepaalt welke berichten er wel en welke berichten er niet doorheen komen. Ten tweede is de SecurityBridge een VPN server. Dit betekent dat wanneer er na het authenticatie- en autorisatieproces groen licht, er tussen PLC en PC een versleutelde tunnelverbinding wordt opgezet. Hierdoor kan het dataverkeer tussen de twee netwerkdeelnemers onderweg niet kan worden aangepast. Tot slot wordt door ook de integriteit van het safetysysteem continue bewaakt door bijvoorbeeld de checksums van verschillende PNOZmulti2 en PSS400 bestanden te monitoren.”
Nieuwe realiteit
Dat brengt ons bij een belangrijk punt van de SecurityBridge: type1 werkt alleen met een PNOZMulti2 veiligheidsrelais, type 2 werkt ook met automatiseringssysteem PSS4000. Waarom een SecurityBridge die alleen met Pilz producten werk? Volgens Smits is dat vooral een verhaal van focus, gebruikersvriendelijkheid, kosten en veerkracht. “Natuurlijk moet je hackers en virussen zo goed mogelijk buiten de deur houden. Maar de realiteit is helaas dat ze waarschijnlijk al binnen zijn. Misschien heb jij je zaakjes wel op orde, maar heeft de producent van de koffiemachine of klimaatinrichting dat ook?” Volgens Smits werd de kwetsbaarheid van bedrijven dit jaar nog maar eens pijnlijk duidelijk. Enkele grote namen, die over infrastructuur beschikken, die voor wat betreft security jaren voorligt op het gemiddelde industrienetwerk, gingen plat. De schade liep in de miljoenen. Als dat soort bedrijven kwetsbaar blijkt, wie is er dan nog veilig? En hoe je omgaat met die nieuwe realiteit? Smits: “Op de eerste plaats zorgen voor extra beveilig waar het echt belangrijk is. Safetyfuncties bijvoorbeeld. Stilstand is vervelend, maar ongelukken zijn uit den boze. Daarom hebben we als Pilz de Securitybridge gemaakt. Hiermee kunnen ook machinebouwers met een niet-Pilz besturing in combinatie met de PNOZMulti2 toch hun machineveiligheid zekerstellen. De SecurityBridge. De SecurityBridge is extra interessant voor bedrijven die voor de besturing alleen de PSS4000 of PNOZmulti gebruiken. Dan is namelijk met de SecurityBridge de gehele besturing in één keer cyber secure."
Veerkracht door gebruikersvriendelijkheid
Maar waarom heb je hier de SecurityBridge voor nodig? Je kan toch al jaren firewalls en VPN-servers kopen? Smits: “Klopt. Maar ze zo inrichten dat je alles netjes hebt dichtgetimmerd, is niet eenvoudig. In veel gevallen ben je daar een paar dagen mee bezig. Met de SecurityBridge heb je het in 10 minuten voor elkaar. Dat kan omdat alles is geoptimaliseerd voor de PNOZMulti2, PSS4000 én SafetyNET en het maakt de cybersecurity een stuk laagdrempeliger.” Dat laatste is volgens Smits belangrijk in verband met de voornaamste aanpassing aan de nieuwe cybergevoelige realiteit: het introduceren van veerkracht. “Ga er vanuit dat je gehackt wordt en bedenk hoe je na een ‘reboot’ zo snel mogelijk weer up and running bent. In die strategie passen geen oplossingen die kostbare urenverslinders zijn.”
Tot slot de vraag wat de garanties geeft dat er in de SecurityBridge zelf geen kwetsbaarheden kunnen zitten. Dat 100 procent uitsluiten, dat kan volgens Smits geen enkel bedrijf. Maar doordat het product volledig is opgebouwd met streng gecontroleerde Duitse onderdelen, durft ze met een aan zekerheid grenzende waarschijnlijkheid te stellen dat, het met de SecurityBridge wat dat betreft wel goed zit.