Productieautomatisering beweegt zich steeds vaker in het domein van de administratieve automatisering. De expertise van de ict-afdeling wordt ingezet om productiesystemen beter te beveiligen. Die draaien meer en meer in Microsoft Windows-omgevingen.
Op de vakbeurs Industrie&ICT, die nog tot en met vrijdag in Utrecht plaatsgrijpt, is een van de thema's de integratie tussen de productie- en de kantoorautomatisering. Een van de aanleidingen daarvoor is het ontstaan van een nieuwe generatie productiesystemen die in een MS Windows-omgeving draaien en koppelingen hebben met administratieve systemen, zoals software voor enterprise resource planning (erp).
"Veel oudere productiesystemen zijn gespecialiseerd en draaien op geïsoleerde VAX- en Unix-platforms. De looptijd van dit soort systemen is twintig jaar, waarbij er om de zes jaar een update plaatsvindt plaatsvindt en de systemen dus 24/7 gedurende zes jaar lang beschikbaar moeten zijn. Niet al te vaak updaten dus, omdat migratietrajecten omslachtige processen zijn waarvoor de productie soms een tijdje wordt stilgelegd", zegt Ruud Welschen, productmanager process control & safety systems bij Siemens Nederland.
Geen paniek
De procesindustie loopt achter als het gaat om het gebruik van Microsoft Windows. Siemens heeft in een testlocatie computers staan waarop patches voor Windows 3/11, 95, 98, NT4.0 en XP worden getest. Vista is nog nauwelijks beproefd. De favoriete serverversie is Windows Server 2003; de 2008-versie is amper in trek. De industrie gebruikt al helemaal geen open source software. Bij productiesystemen die twintig jaar in omloop moeten zijn, willen bedrijven er zeker van zijn dat de software al die tijd ondersteund wordt, aldus Welschen.
Hij merkt dat de procesindustrie langzamerhand overstapt op een moderne Microsoft Windows-omgeving. Bijkomend probleem is dan de beveiliging. "Tot een jaar geleden was het gebruik van antivirus-software en firewalls op productieservers in een fabrieksomgeving niet toegestaan. Die belastten de prestaties van de productiesystemen. Nu is dat aan het veranderen. MS Windows-systemen moet je echter beveiligen en er zijn regelmatig patches nodig. Ik wil geen paniek schoppen, maar producenten zullen hiervoor een beleid en protocollen moeten ontwikkelen."
Als anti-virussoftware voor de procesomgeving zijn inmiddels de pakketten van Norton, McAfee en TrendMicro als afdoende gebrandmerkt.
ICT-afdeling inschakelen
Welschen is namens Siemens betrokken bij initiatieven van een aantal partijen binnen de procesindustrie om een bewustwordingsproces in gang te zetten. Zo is er een nieuwe beveiligingsstandaard voor industriële automatisering (ISA 99) in de maak, die gaat over de koppeling tussen kantoorautomatisering en procescontrolesystemen.
De standaardenorganisatie ISA bekijkt bovendien of de informatiebeveiligingsstandaard ISO/IEC 27000, die in de ict-wereld gangbaar is, op de procesindustrie kan worden toesneden. "Voor het afdoende beveiligen van het productienetwerk moeten bedrijven ook hun ict-afdeling inschakelen. Die heeft veel kennis van het beschermen van het kantoornetwerk en het uitrollen van patches. Daarbij is wel belangrijk dat de kantoor- en procesautomatiseerders dezelfde taal spreken want de aanpakken zijn soms verschillend."
Hij geeft als voorbeeld dat in een industrie-omgeving een ringnetwerk met diverse servers en switches normaal is, terwijl deze inrichting in een kantooromgeving niet mag, omdat berichten anders blijven circuleren en het dataverkeer verstopt raakt.
Uienschil
Het maximale zicht van de ict-afdeling gaat nu nog tot aan de erp-systemen; op de fabrieksvloer regelen de procesautomatiseerders de productieuitvoerings- en controlesystemen. Die harde scheiding valt weg, verwacht Welschen. Hij raadt aan om voor patches een dubbele server in te richten: één voor patches in de kantooromgeving, waaraan een tweede updateserver hangt voor patches in de productie-omgeving. "Tot voor kort was het niet mogelijk een process control system te patchen tijdens productie, dat gaat tegenwoordig wel."
De productmanager van Siemens spreekt over het uienschil-model. "De buitenkant van de ict-omgeving van een producent is het best beveiligd, net als het interne netwerk. Maar hoe dieper je het processysteem in gaat, des te slechter de beveiliging. Ik ken voorbeelden van medewerkers die op de productievloer hun usb-stick in een procescontrolserver staken. Als er dan een virus wordt overgebracht gaan er geen alarmbellen af." Ook wijst hij op het toenemend gebruik van VPN-verbindingen om ook buiten de fabriek de productiesystemen in de gaten te houden. "Die zijn eigenlijk ingericht op TCP/IP en niet zozeer op protocollen uit de procesautomatisering. Besef je dat te laat, dan ruiken hackers hun kans."
Patches
Als 'process control system'-leverancier test Siemens Microsoft-patches direct, ook op oudere versies. Het bedrijf publiceert de resultaten zodat producenten hun patches betrouwbaar kunnen doorvoeren.
Zie ook: www.siemens.nl/dcs, www.isa.org en www.iso.org
Ik zou zelf zeer terughoudend zijn met het koppelen van productie en de KA omgevingen. Er zijn nog teveel risico’s waar nog geen voldoende maatregelen voor beschikbaar zijn.
In design zijn de scada (en plc’s met industrieel ethernet) niet gebouwd op veiligheid. Meer op beschikbaarheid en integriteit.
Door de koppelingen (direct of via USB sticks) worden de SCADA / PLC omgevingen vatbaar voor bedreigingen uit de KA omgeving. Zeker als daar een voor bedreigingen vatbare technieken als windows, linux en internet connectivity voor worden ingezet.
Even een paar voorbeelden:
Een ‘normale’ portscan is al voldoende om een scada component te laten crashen. Alleen al veel beveiligingsmaatregelen / IT afdelingen gebruiken deze techniek om opzoek te gaan naar bedreigingen. Voor de scada omgeving is het een bedreiging.
De eerste KA virussen zijn al gevonden die op zoek gaan naar koppelingen met scada netwerken. Als potenti?le concurrent uit Verweggistan biedt het mij mogelijkheden om anoniem, thuis op de bank een productielijn te gaan gijzelen.
Verder ben ik ook benieuwd naar de werkbaarheid van KA technieken in de productie omgevingen. Het testen, accepteren en update’s en patches in productie nemen lijken mij toch wel lastig. Een productielijn is niet zomaar te na te bouwen voor acceptatie. Wil je een productie (proces) omgeving wel voorzien van het geneuzel van patchmanagement, alleen maar om verkeerd gekozen technieken te beheren.
Is het dus allemaal wel zo verstandig om een redelijk beheersbare omgeving te vervuilen met de problemen (die maar niet beheersbaar worden) vanuit de KA omgeving.
Dus bezin eer men begint en met het betrekken van de KA kennis van pushende leveranciers zou ik toch voorzichtigheid mee zijn.
Ben het wel eens met de stelling dat je de omgevingen wil gaan integreren en zie ook dat je daardoor problemen gaat krijgen zoals voorgaande persoon beschrijft.
Ik vindt de insteek dat alleen commerciele software gebruikt wordt echter wat kort door de bocht. De problemen zoals we die bij ka pc kennen windt ik geen vooruitgang en het idee om een productie server elke week/dag te moeten rebooten danwel virus updates en os update te moeten laten draaien. Dit zijn is mijn ogen geen vooruitgang zoals hier in het artikel wordt gesuggereerd. Ik geloof zelf meer in het idee dat een pc en ka omgeving zoals de industiele controle server moeten worden gezien. De software die iemand nodig heeft voor zijn werk moet er opstaan en verder is deze een soort telefoon centrale. iemand gaat toch ook niet zijn telefoon aanpassen. Ons nerds daargelaten.
Linux en de oude embedded os systeemen kunnen ook prima aangepast worden om de security risicos te voorkomen. En je wil toch zeker niet dat je op zondag middag een programeur op moet gaan trommelen omdat je productie lijn van 10 miljoen of meer stil ligt door een patch welke onvoldoende is getest. Ontwerp voor beschikbaarheid en veiligheid en houd rekening met integratie. Veel productie lijnen draaien ook in de weekeindes door en kennen dus heel andere beschikbaarheids eisen dan de kantoor omgevingen waar alleen maandag tot vrijdag wordt gewerkt.
Voor veel machines is windows een brug die je niet wilt oversteken. Denk dan meer aan linux of kijk naar de fabrikant van de machine. Deze dient mee te gaan met de behoeften van de tijd.
Tot afsluiting mischien de vraag. Wat levert integratie op. Kunnen we daardoor effiecienter aansturen of beter onze inkoop afstemmen op de gebruikte grondstoffen.
Het moet wat opleveren. Anders laat het voorlopig zitten.