Hoe een wereldwijde norm voor cybersecurity en een schema voor conformiteitsbeoordeling, downtime en omzetverlies kan voorkomen.

In een wereld van connectiviteit vormt vertrouwde apparatuur de ruggengraat van veilige netwerkomgevingen. Naarmate meer fabrikanten en industrieën slimme IIoT-apparaten bouwen en inzetten, wordt de beveiliging en veiligheid van essentiële systemen belangrijker en moeilijker te beheren. Deze complexiteiten zijn deels te wijten aan een gebrek aan een wereldwijde geaccepteerde norm voor cybersecurity en een schema voor conformiteitsbeoordeling van verbonden producten.

Tegenwoordig ontwikkelen landen over de hele wereld vereisten zonder rekening te houden met wereldwijde conformiteit. Door deze conformiteitskloof kunnen fabrikanten moeilijk vaststellen aan welke normen zij moeten voldoen, met name bij de productie en verkoop van producten over de hele wereld. Daarom is het belangrijk dat industriepartners en normeringsinstituten proactief stappen ondernemen om beveiligingsverwachtingen en best practices voor IIoT-ecosystemen te definiëren. Dit draagt bij aan een consistente ingebouwde beveiliging in producten en zal bedrijven uiteindelijk miljarden euro's aan kosten van systeemontwerp en herstelkosten na cyberaanvallen besparen.

De beveiligingsrealiteit waarmee bedrijven worden geconfronteerd

Doordat de integratie van IIoT-apparatuur in oudere systemen en oplossingen toeneemt, neemt ook de kwetsbaarheid van kritieke infrastructuren en andere netwerken van industriële systemen voor cyberaanvallen toe, die bovendien steeds moeilijker tegen te houden zijn. Momenteel wordt het totale verlies dat wordt veroorzaakt door cybercriminaliteit geschat op 600 miljard dollar¹, 0,8% van het wereldwijde BBP. De afgelopen jaren hebben zich diverse incidenten voorgedaan in de vorm van een reeks ernstige beveiligingsschendingen die wereldwijd de aandacht trokken, waaronder de “Industroyer” of “Crash Override” malware die in 2015 het elektriciteitsnet in Oekraïne platlegde, en de enorme Mirai-botnet aanvallen in 2016, waardoor IoT-beveiligingscamera's en -routers verschillende gedistribueerde DOS-aanvallen konden starten.

Dergelijke aanvallen zijn doorgaans geavanceerder en schadelijker dan veel cyberaanvallen van vóór het tijdperk van IIoT, vanwege hun omvang en fysieke gevolgen voor systemen. En ze zijn moeilijker tegen te gaan. Hoewel overheden en fabrikanten cyberverdedigingswaarschuwingen geven en updates voorstellen, zijn protocollen afhankelijk van de mate waarin individuele eigenaren van bedrijfsmiddelen zich hieraan houden en gedetailleerde instructies opvolgen. Hoewel aanbevelingen van overheidsinstanties en fabrikanten meestal tijdig zijn, kunnen de procedures voor systeemupdates traag, ineffectief en ondoordacht zijn. Maar vaak worden bedrijven beperkt door het ontbreken van systeemarchitecturen die directe systeemupdates ondersteunen zonder dat dit downtime met zich meebrengt. Het offline zetten van deze essentiële infrastructuursystemen om updates toe te passen, leidt tot verlies van productiviteit en omzet. Vaak moeten updates voor cyberbeveiliging worden gepland of afgestemd op de jaarlijkse onderhoudsschema's. 

Uitdagingen en mogelijke oplossingen voor het beveiligen van verbonden ecosystemen

De unieke kenmerken van IIoT-technologieën brengen technische en economische uitdagingen met zich mee. Vanuit technisch oogpunt hebben IIoT-apparaten een beperkte verwerkings- en opslagcapaciteit. Ze zijn niet ontworpen om effectieve beveiligingsmaatregelen te ondersteunen, zoals geavanceerde codering of management van kwetsbaarheden en patches. De oplossing voor deze uitdaging vereist de ontwikkeling van lichtgewicht cryptografische algoritmes en bedrijfsmodellen die snellere upgrades van IIoT-producten mogelijk maken en het ontwerp van systemen die draadloze firmware-upgrades ondersteunen. De beveiliging van een netwerk of systeem is slechts zo sterk als de zwakste schakel. Organisaties moeten de basis voor cybersecurity hanteren en voortdurend nieuwe bedreigingen analyseren om ervoor te zorgen dat systemen veilig worden geïmplementeerd. Bovendien moeten bedrijven een inventarisatie maken van alles wat met hun netwerken is verbonden en een zero trust-model implementeren. Hiervoor is samenwerking met vertrouwde leveranciers vereist om bedreigingen te identificeren. 

De economische uitdagingen voor de bescherming van IIoT-ecosystemen komen voort uit de complexe toeleveringsketen van de productie en de moeilijkheid om duidelijke verantwoordelijkheden aan fabrikanten en systeemintegrators toe te wijzen voor eventuele kwetsbaarheden die worden geïntroduceerd. De meeste producten en systemen bestaan uit componenten van verschillende leveranciers. Waar moet het vertrouwensaspect beginnen en eindigen als er geen wereldwijd schema voor conformiteitsbeoordeling is om ervoor te zorgen dat geïntegreerde componenten vrij zijn van beveiligingslekken? Een gemeenschappelijke set geverifieerde productvereisten op wereldwijd niveau, vergelijkbaar met wat we al hebben voor veiligheidsevaluaties, is een geweldig uitgangspunt. Mogelijke oplossingen voor de aansprakelijkheidskwestie zijn onder meer conformiteitsbeoordelingen van IIoT-apparaatcomponenten door derden, evenals de periodieke inventarisatie van geïmplementeerde IIoT-technologieën in netwerken, om er zeker van te zijn dat alleen vertrouwde apparaten zijn geïnstalleerd. 

Het ontbreken van een wereldwijde norm voor naleving van cybersecurity

Hoewel de genoemde oplossingen haalbaar zijn, worden de acceptatie en implementatie van dergelijke opties aanzienlijk vertraagd door het ontbreken van geharmoniseerde wereldwijde productnormen voor IIoT-beveiliging. Ongecoördineerde cybersecurity-normen, -richtlijnen en -voorschriften van verschillende entiteiten over de hele wereld maken het op elkaar afstemmen van de algemene vereisten voor cyberbeveiliging op IIoT-systeemniveau voor fabrikanten moeilijk, zo niet onmogelijk. Veel landen, regio's en lokale overheden ontwikkelen hun eigen best practices en normen voor cyberbeveiliging voor IIoT-apparaten en kritische infrastructuur, wat leidt tot een gebrek aan uniformiteit. In veel gevallen beschikken overheidsinstanties niet over de expertise die nodig is om rekening te houden met de complexiteit van IIoT-apparaten en hun toepassing.

Bovendien zijn de normen en vereisten voor cybersecurity sterk gefragmenteerd per regio en land, omdat overheden zijn begonnen met het reguleren van IIoT-technologieën op zeer verschillende en soms tegenstrijdige manieren.  Dit brengt uitdagingen met zich mee voor fabrikanten en systeemintegrators die services voor een wereldwijde markt proberen te ontwikkelen en te implementeren.

Totstandkoming van wereldwijde industrienorm voor IIoT versnellen

Organisaties in de industrie en normeringsinstituten moeten passende conformiteitsbeoordelingsschema's ondersteunen om wereldwijde vereisten voor producten en systemen te valideren en op die manier de complexiteit van het voldoen aan meerdere vereisten uit verschillende landen en regio's op te lossen.

Normalisatie-instanties kunnen de leiding nemen bij de ontwikkeling van wereldwijde IIoT-normen voor cybersecurity, inclusief de juiste schema's voor conformiteitsbeoordeling. Wereldwijde normen zullen ook de weg vrij maken voor zakelijke en wetenschappelijke partnerschappen. Ze zullen talenten ontwikkelen die nodig zijn om het tekort aan vakmensen op het gebied van cybersecurity en met name IIoT op te vullen. 

Wat industrieën nu kunnen doen

De uitdaging die voor ons ligt, is het bevorderen van de dialoog tussen normaliseringsinstituten door fabrikanten, leveranciers en consumenten van IIoT te informeren over de risico's die gepaard gaan met onbeveiligde producten en oplossingen. Hoewel de normaliseringsinstituten kunnen helpen bij het aansturen van de discussies over cybersecurity, vergt cybersecurity een gezamenlijke inspanning - en samenwerking kost tijd, vooral in sectoren die langzamer reageren op technologische ontwikkelingen.

Naarmate industrieën langzaam prioriteit geven aan cybersecurity, zijn er stappen die bedrijfseigenaren en vestigingsmanagers vandaag al kunnen zetten om de risico's op het gebied van cybersecurity in systemen en netwerken te verminderen: 

Integreer cybersecurity in productontwerp en -ontwikkeling 

Beveiliging is een doorlopend traject. Productcomplexiteiten, dreigingsscenario's en technologieën ontwikkelen zich voortdurend, dus het is van cruciaal belang dat er protocollen aanwezig zijn voor elke fase van de productontwikkelingscyclus - van het modelleren van bedreigingen tot het analyseren van vereisten, verificatie en doorlopend onderhoud. Deze procedures helpen organisaties opkomende bedreigingen te herkennen, manieren te vinden om zich hiertegen te beschermen en klanten te helpen hun efficiëntie, betrouwbaarheid en veiligheid te maximaliseren. Het Secure Development Life Cycle (SDLC)-proces van Eaton is een uitstekend voorbeeld van een model waarbij beveiliging wordt geïntegreerd in elke fase van de productontwikkeling.  

Pas basis cybersecurity toe op netwerken

De basis voor cybersecurity zorgt ervoor dat de inventaris van bedrijfsmiddelen up-to-date blijft en bekend is wat er met een netwerk is verbonden. Dit moet fysieke apparatuur en gegevens omvatten, waarbij patches worden toegepast wanneer kwetsbaarheden worden ontdekt, een sterk toegangscontrolebeleid wordt gegarandeerd en wordt gezorgd voor continue bewaking van logboeken en systemen op abnormaal gedrag. Organisaties moeten ook een reeks updates voor cybersecurity plannen op basis van hun risicobeoordelingen die bij elke beveiligingspatch worden uitgevoerd.

Samenwerken met deskundige externe organisaties

Het ontwikkelen van strikte procedures in elke fase van de productontwikkeling helpt om meetbare cybersecurity-criteria te definiëren voor producten en systemen die met het netwerk zijn verbonden. Partnerschappen met vertrouwde derde partijen kunnen organisaties helpen hun best practices op het gebied van cybersecurity uit te breiden, omdat deze instituten vaak wereldwijd geaccepteerde richtlijnen opstellen in de internationale gemeenschap. Onze samenwerking met UL is een werkend model, omdat Eaton nu producten test met intelligentie of geïntegreerde logica volgens de belangrijkste aspecten van de normen UL 2900-1 en IEC 62443, die verplichte testprotocollen vereisen voor kwetsbaarheden, zwakke plekken in software, en malware.

Nu is het tijd om te handelen

Fabrikanten kunnen zich niet langer permitteren om onder verschillende beveiligingsnormen te werken. Cybercriminelen en de technologieën die ze gebruiken, blijven zich ontwikkelen en door uiteenlopende normen ontbreekt de uniformiteit die nodig is om de nieuwste bedreigingen tegen te gaan.

Het is nu tijd voor een wereldwijde conformiteitsbeoordeling voor cybersecurity in verschillende bedrijfstakken. Industrieën en normaliseringsinstituten over de hele wereld moeten de dialoog versnellen die nodig is om de huidige uitdagingen op het gebied van cybersecurity het hoofd te bieden en het tempo waarmee technologieën veranderen bij te houden.

Referenties

1, 2 - Lau, Lynette (februari 2018). 'Pandemie' van cybercriminaliteit heeft de wereld vorig jaar mogelijk 600 miljard dollar gekost. Bron: https://www.csis.org/analysis/economic-impact-cybercrime.