Cyberbeveiliging in industriële installaties met IIoT

Bij de implementatie van een IIoT-oplossing in een industriële installatie, zijn er altijd gevoelige gegevens waarvoor extra bescherming nodig is. Verder verdient de connectiviteit met het internet permanent aandacht en zorg. De technologie ontwikkelt zich razendsnel en elk systeem moet continu de evolutie van cyberbeveiliging volgen – zowel in een industriële installatie als elders.

Betrouwbaar informatiebeveiligingsbeheer bestaat niet alleen uit gegevensversleuteling, het vereist ook een algehele aanpak, waaronder:

• Naleving van wetgeving en normen: Aan relevante wettelijke richtlijnen en aanbevolen normen moet worden voldaan (bv. ISO 27001, ISO 27017 en AVG).
• Gegevensbeveiliging: het spreekt voor zich dat een IIoT-oplossing gevoelige gegevens bevat. Deze moeten met zorg worden behandeld volgens strikte processen.
• Serverlocaties: Als de technologie van cloud-computing wordt gebruikt, worden gegevens op servers opgeslagen die door de provider worden gehost. Afhankelijk van lokale jurisdictie geeft de locatie van de servers een hoger of lager niveau cyberbeveiliging aan. Europese locaties bieden de hoogste standaarden dankzij de privacywetgeving omtrent gegevens.
• Organisatieprocessen: cyberbeveiliging is niet mogelijk zonder de toepassing van organisatieprocessen die bepalen welke gegevens door wie moeten worden behandeld, op welke manier en op welk moment.
• Transparantie: betrouwbare providers van digitale oplossingen hebben een helder en transparant ondersteuningssysteem waarmee de klant de status van zijn aanvraag op elk gewenst moment kan bekijken.
• Toepassingskenmerken: alle eisen van ISO 27001 en ISO 27017 zijn geïmplementeerd door Endress+Hauser. Een totaal van 121 maatregelen dekken alle bewerkingen van het bedrijf. Deze worden continu bewaakt en zo nodig bijgewerkt.

Al deze punten moeten worden overwogen, geïmplementeerd en regelmatig worden gecontroleerd bij het leveren van IIoT-technologie. Bestaande audit- en standaardisatie-frameworks, wetten en beste werkwijzen kunnen een handige ondersteuning bij de implementatie zijn.

Endress+Hauser heeft bewezen dat zijn IIoT-ecosysteem Netilion voldoet aan strenge normen in de informatiebeveiliging door beoordeling van externe cerctificeringsorganen. Vanaf de eerste dag hebben criteria met betrekking tot informatiebeveiligingsbeheer maximale aandacht en dienen deze als een handige richtlijn voor de implementatie van digitale diensten en het waarborgen van een goede cyberbeveiliging in de industrie.

• Naleving van wetgeving en normen: Bij het tot stand brengen van een professioneel informatiebeveiligingsbeheer met IIoT-technologieën ontving Endress+Hauser de volgende certificeringen voor het beheer van Netilion:
• ISO 27001 Informatiebeveiligingsbeheer
• ISO 27017 Praktijkrichtlijn voor informatiebeveiliging voor clouddiensten
• ISO 9001 Kwaliteitsbeheersysteem
• Gegevensbeveiliging: klantgegevens opgeslagen en verwerkt in het Netilion-ecosysteem worden altijd met de meeste zorg behandeld. Gebruikers kunnen inloggen en kunnen hun gegevens oproepen, bijwerken en wissen. Alle maatregelen voldoen aan de eisen van de AVG.
• Serverlocaties: De servers waarop het Netilion-ecosysteem staat, staan in Frankfurt en Dublin. Uit een oogpunt van cyberbeveiliging worden de servers binnen de Europese Unie als zeer veilig beschouwd.
• Organisatieprocessen: Endress+Hauser heeft processen ingesteld voor snelle reacties in geval van noodsituaties aangaande gegevensbeveiliging, die allemaal voldoen aan de AVG. De desbetreffende partijen worden onmiddellijk geïnformeerd, waarna tegenmaatregelen worden genomen.
• Transparantie: Endress+Hauser heeft een transparant ondersteuningsproces geïmplementeerd dat de klant op een duidelijke manier informeert hoe zijn aanvraag wordt behandeld.
• Toepassingskenmerken: de gebruikersinterface van het Netilion IIoT-ecosysteem heeft alle noodzakelijke voorzieningen, inclusief maar niet beperkt tot, een state-of-the-art wachtwoordrichtlijn, geautomatiseerd wachtwoordbeheer, timed logout en exportfuncties.

Een aantal criteria die worden beschouwd als essentieel voor een professioneel informatiebeveiligingsbeheer worden gedekt door het Netilion-ecosysteem:

• Versleuteling van gevoelige informatie: het IIoT-ecosysteem Netilion van Endress+Hauser zorgt voor professionele bescherming van informatie:
• Wachtwoorden worden versleuteld met ‘bcrypt + salt + pepper’.
• De gebruikersidentificatie werkt met OAuth2-ondersteunde token-procedures.
• De communicatie is https-versleuteld.
• De overdracht van procesgegevens via gateways: bij het overwegen van cyberbeveiliging in industriële installaties verdient één punt extra aandacht, namelijk de gateway, omdat dit het toegangspunt is. De Netilion-gateways maken gebruik van eenrichtingscommunicatie: procesgegevens passeren de gateway en worden verstuurd naar de cloud, maar communicatie in de andere richting is niet toegestaan. Deze architectuur is ontworpen voor het beschermen van het proces tegen manipulatie.
• Certificering: een onafhankelijke certificerende instantie heeft bevestigd dat het IIoT-ecosysteem Netilion voldoet aan de eisen van ISO 27017. Deze internationale norm bevat eisen voor cloudplatformen. Het Netilion-ecosysteem voldoet aan de eisen van ISO 27017, wat betekent dat klanten er zeker van kunnen zijn dat hun gegevens veilig zijn. En Endress+Hauser Digital oplossingen, het bedrijf dat het IIoT-ecosysteem Netilion ontwikkelt, ontving de ISO 27001-certificering voor informatiebeveiliging.