DE GEDEMILITARISEERDE ZONE IN MET ZENON SERVICE GRID:
..when the brownfield becomes a minefield..
Recente gebeurtenissen hebben aangetoond hoe kwetsbaar industriële installaties en hun digitale processen echt zijn. Zo leidde de hackeraanval op de exploitant van de grootste pijplijn in de VS onlangs tot wekenlange downtime. zenon Service Grid is een krachtige tool om dergelijke aanvallen af te weren.
Industriële infrastructuur verwijst meestal naar "brownfield-toepassingen" of, met andere woorden, bestaande infrastructuur die meestal al vele jaren in gebruik is. De grote uptime-eisen en de hoge investeringskosten betekenen dat modernisering of vervanging - zoals meestal gebeurt voor standaard IT-componenten - financieel niet haalbaar is voor deze infrastructuur. Nieuwe technologieën en verhoogde computer- en opslagcapaciteit maken daarentegen een optimale werking van de infrastructuur mogelijk. Het is absoluut noodzakelijk om toegang te hebben tot fabrieks data. Daarnaast is het nog beter als productielocaties en technologieën over de hele linie worden gekoppeld en gegevens worden verzameld om met behulp van modellen of simulaties geoptimaliseerd te worden.
Zo'n virtuele weergave van een productielocatie of een proces wordt een "digital twin" genoemd. Maar u hoeft uw infrastructuur niet volledig aan te passen als u wilt profiteren van het digitaliseren van uw operationele technologie (OT). Zijn er geen alternatieven?
Service Grid kan meer
Bij COPA-DATA werd precies deze vraag gesteld en ontwikkelde men een oplossing op basis van zenon Service Grid. Aanvankelijk werden de benaderingen in IEC 62443 gevolgd en ook voor andere normen, zoals die in NIST-richtlijnen, die allemaal draaien om cybersecurity.
Deze standaarden bevatten enkele basisvereisten voor het netwerken van OT-componenten. Aan het begin van elk project moet een risicoanalyse worden uitgevoerd om kritieke componenten of processen te identificeren. Het is belangrijk om deze activa zoveel mogelijk te beschermen. Met andere woorden, directe externe toegang tot deze kritieke activa via web- of externe toegang moet fundamenteel uitgesloten zijn. Als u desondanks een digitale infrastructuur wilt creëren die op zijn minst leestoegang voor procesgegevens mogelijk maakt, moet u zones of segmenten in het netwerk definiëren. De kritieke activa moeten speciale aandacht krijgen en zo ver mogelijk van het externe toegangspunt worden geplaatst. De operator moet ervoor zorgen dat de meest winstgevende doelen, vanuit het oogpunt van een aanvaller, verborgen zijn achter zoveel mogelijk technische obstakels.
Kritische Overgangspunten
Zelfs op dit niveau beschikt zenon over een eigen versleuteld netwerk en volledig flexibel multi-project management. Projecten kunnen zo diep als gewenst worden genest en op verschillende dataservers worden uitgevoerd. De bandbreedte varieert van puur "faceless" bediende data gateways (zenon Service Engine as a Service) tot volwaardige interactieve gebruikersinterfaces. Om aan de eisen van state-of-the-art beveiliging te voldoen, is meer nodig dan alleen een goede segmentatie en verdeling van de datastromen. Als u data wil delen en netwerken, heeft de ervaring geleerd dat het belangrijk is om speciale overgangspunten te definiëren waarlangs uitsluitend data uitwisseling plaatsvindt. De term "edge" wordt vaak gebruikt voor deze gecodeerde overdrachtspunten, vooral in verband met services uit de cloud. Vanuit uw oogpunt, als persoon die verantwoordelijk is voor productie of processen, is dit een cruciaal onderdeel omdat het de deur opent naar de buitenwereld. Een eenvoudige, slecht onderhouden webserver is waarschijnlijk niet het ideale onderdeel. Dit is precies het punt waar zenon om de hoek komt kjiken met Service Grid. Met dit onderdeel kunt u een gedemilitariseerde zone (DMZ) implementeren voor veilige gegevensoverdracht van of naar de productie.
Gedemilitariseerde zones bieden veiligheid
Een DMZ is een apart deel van het netwerk waarlangs de volledige gegevensuitwisseling tussen industriële OT en externe netwerken wordt geleid. Hetzelfde principe geldt ook hier: directe verbindingen moeten ten koste van alles worden vermeden, vooral op analoge productieapparatuur. Binnen de DMZ zijn alleen die communicatiekanalen of relaties toegestaan die nodig zijn voor het onderhouden of optimaliseren van de werking van uw systeem. Dat is minder dan u denkt. En elke extra verbinding is een extra beveiligingsrisico. Als u deze basisprincipes volgt, kan een DMZ ervoor zorgen dat cyberaanvallers geconfronteerd worden met een extra onoverkomelijk obstakel en dat er een efficiënte bescherming gecreëert wordt voor het productienetwerk.
De essentie van cross-site networking
Applicaties in het Wide Area Network (WAN) lijken op het eerste gezicht eenvoudig te implementeren. Er zijn veel technische oplossingen op de markt. En u kunt eenvoudig een Virtual Private Network (VPN) instellen dat alleen geverifieerde toegang tot alle gegevens toestaat. Of ziet u misschien iets over het hoofd? Al deze oplossingen vereisen een stabiele netwerkverbinding. De verbinding tussen de communicatiedeelnemers moet betrouwbaar zijn en een hoge bandbreedte bieden. Langere onderbrekingen in de connectiviteit, zoals kan optreden bij een internetverbinding, leiden meestal tot gegevensverlies tijdens de lopende overdracht. De netwerkverbinding moet fysiek worden beschermd tegen onbevoegde toegang. Veel communicatieprotocollen in de industriële sector zijn echter niet of onvoldoende beveiligd. Ze zijn minder geschikt voor data overdracht in openbare netwerken omdat de informatie in platte tekst wordt verzonden. Met zenon Service Grid kunt u deze beperkingen overwinnen. U kunt geografisch afgelegen dochterondernemingen integreren in een intern bedrijfsnetwerk. Conventionele internetverbindingen tussen sites zijn alles wat u nodig hebt. De architectuur van Service Grid ondersteunt gecodeerde en veilige gegevensoverdracht, zelfs via openbare netwerken. Tijdelijke onderbrekingen van de connectiviteit wordt gecompenseerd omdat Service Grid buffers gebruikt die ervoor zorgen dat er geen data verloren kan gaan.
zenon Service Grid in vogelvlucht
zenon Service Grid bestaat in weze uit verschillende platform onafhankelijke software services. Service Grid breidt zowel de functionaliteit als de connectiviteit van het zenon-platform uit. Het koppelt een groot aantal applicaties, diensten en apparaten aan elkaar. Service Grid ondersteunt ook verschillende installatieopties, variërend van een native Windows-installatie op een lokale computer tot een flexibel schaalbare containerinstallatie in de cloud (bijvoorbeeld Docker). Historische en live gegevens van de bestaande infrastructuur worden via zenon Service Hub overgebracht naar een controlecentrum en optioneel naar centrale gegevensopslag. Service Grid zorgt er standaard voor dat beveiligde architecturen worden ontwikkeld via certificaat versleutelde TLS-verbindingen, geïntegreerde authenticatie- en autorisatiemechanismen, evenals individueel definieerbare lees-, schrijf- of configuratierechten in overeenstemming met de individuele beveiligingsvereisten van de apparatuur operator.
TUV approved
Van tekentafel tot productielijn, zenon Service Grid is ontworpen en getest in overeenstemming met de "Security by Design" principes. Het gehele ontwikkelings proces voor zenon Service Grid is gecertificeerd door TUV Sud en voldoet aan IEC 62443-4-1. Met behulp van het zenon Software Platform als basis kunt u een veilige infrastructuur opzetten om te voldoen aan de eisen van de huidige normen, met name voor brownfieldtoepassingen, zonder dat u analoge machines en processen hoeft aan te passen.
REINHARD MAYR Hoofd informatiebeveiliging en onderzoeksactiviteiten, strategische projecten
Reinhard Mayr maakt al bijna 20 jaar deel uit van het team. De afgelopen tien jaar was hij verantwoordelijk voor het productmanagement. In zijn huidige rol is hij verantwoordelijk voor alle gegevens- en informatiebeveiliging aangaande topics voor de organisatie en blijft hij onderzoeks gerelateerde activiteiten coördineren samen met universiteiten en onafhankelijke onderzoekspartners.
Reinhard Mayr maakt al bijna 20 jaar deel uit van het team. De afgelopen tien jaar was hij verantwoordelijk voor het productmanagement. In zijn huidige rol is hij verantwoordelijk voor alle gegevens- en informatiebeveiliging aangaande topics voor de organisatie en blijft hij onderzoeks gerelateerde activiteiten coördineren samen met universiteiten en onafhankelijke onderzoekspartners.
