Secure by design

Als Product Security Officer maak ik deel uit van een team met een behoorlijk zware verantwoordelijkheid. Cyberbeveiliging is al geruime tijd een cruciaal aandachtspunt voor de procesindustrie, en het belang ervan neemt met de dag toe. Slimme sensoren bieden grote voordelen: ze maken het mogelijk om procesinstallaties tot op het laagste veldniveau te verbinden, waardoor installatiebeheerders meer inzicht krijgen in hun processen en daardoor meer mogelijkheden hebben om deze te optimaliseren. Maar deze ontwikkelingen hebben ook een keerzijde: ze bieden cybercriminelen, die steeds slimmer worden, meer mogelijkheden om aanvallen uit te voeren. Daarom hebben we cyberbeveiligingsexperts in dienst – om ervoor te zorgen dat onze klanten maximale beveiliging krijgen.

Dit geldt ook voor sensoren, want elke sensor met een digitale interface vormt een potentieel toegangspunt voor cyberaanvallen. Om dergelijke aanvallen te voorkomen, hanteren wij het principe van "secure by design", wat inhoudt dat wij bij Endress+Hauser beveiliging al vanaf de eerste ontwikkelingsfase in onze software en hardware inbouwen en die beveiliging gedurende de gehele levenscyclus van het product handhaven. Daarnaast brengen we voortdurend software- en firmware-updates uit om ervoor te zorgen dat de beveiliging van onze producten altijd up-to-date is.

Onze strategie, die al in de productontwerpfase begint, is om vanuit een risicoperspectief te bekijken wie toegang moet hebben tot welke functies. Stelt u zich een brouwerij voor die is uitgerust met onze sensoren: de brouwmeesters moeten het suiker- en alcoholgehalte van het bier weten, dus moeten ze de meetwaarden van de instrumenten kunnen bekijken. Maar ze hebben geen volledige toegang nodig waarmee ze de sensorinstellingen zouden kunnen wijzigen. Dat soort bevoegdheden is terecht voorbehouden aan het onderhoudspersoneel.

Door op deze manier gebruik te maken van op rollen gebaseerde toegangscontrole, kunnen we het risico op aanvallen verminderen. Schrijfbeveiliging tegen ongeoorloofde wijzigingen hoeft niet alleen digitaal te zijn. Bij veel instrumenten kan dit ook worden gerealiseerd via een hardwareschakelaar – een handmatig bediende schakelaar. Tijdens de productontwikkeling voeren we ook penetratietests uit, waarbij we ons in de huid van hackers verplaatsen en proberen de beveiliging van onze producten te omzeilen. Dankzij deze gesimuleerde cyberaanvallen kunnen we mogelijke kwetsbaarheden opsporen en onze beveiligingsmaatregelen verbeteren.

De Verordening cyberweerbaarheid van de Europese Unie is afgelopen december in werking getreden. Krachtens deze verordening moeten producten met digitale elementen aan bepaalde cyberbeveiligingsnormen voldoen. Bedrijven krijgen een overgangsperiode van drie jaar om hun producten aan deze nieuwe eisen te laten voldoen.

We zijn goed voorbereid op deze verordening. Onze productontwikkelingsprocessen hebben al in 2021 de IEC 62443-4-1-certificering behaald van de onafhankelijke certificeringsinstantie TÜV Rheinland en zijn vorig jaar opnieuw gecertificeerd. Het mooie hieraan is dat onze certificering al aan veel van de eisen van de Verordening cyberweerbaarheid. Onze vroege start op dit traject en onze actieve betrokkenheid bij normalisatie- en brancheorganisatie-initiatieven zijn meer dan de moeite waard gebleken. We hebben alomvattende beveiligingsoplossingen nodig voor de procesindustrie, en de enige manier om die te ontwikkelen is door nauw samen te werken met onze klanten.

De oplossingen die we hebben bedacht, zetten nu al de toon. Endress+Hauser heeft bijvoorbeeld een extra beveiligingslaag voor Bluetooth ontwikkeld, met het CPace-protocol als kerncomponent. In 2020 riep een onderzoeksgroep van de IETF, een internationale organisatie die internetstandaarden ontwikkelt, onze oplossing uit tot winnaar van een cryptografiewedstrijd. En los daarvan heeft het in München gevestigde Fraunhofer-instituut AISEC in 2016 het beveiligingsniveau van de Bluetooth-beveiligingsoplossing van Endress+Hauser als "hoog" beoordeeld. Daar zijn we toch wel trots op. Dat is wat mijn team en mij inspireert om de cyberbeveiliging van onze producten voortdurend te verbeteren.