Maakbedrijven zijn kwetsbaar vandaag. Deze twee experts weten hoe ze hun cybersecurity fors opkrikken

Industrie 4.0-bedrijven die te weinig aandacht besteden aan hun digitale veiligheid zijn kwetsbaar. 

Kurt Callewaert van Howest en Jeroen Baeten van TomorrowLab kennen de problemen. Vanuit de proeftuin ‘Innovatieve cyberbeveiliging voor industrie 4.0' werken zij, de academische partners en aangesloten ondernemingen aan veiligere Vlaamse maakbedrijven.

We stellen deze vragen aan twee hoofdrolspelers van deze VLAIO-proeftuin:

• Welke problemen stellen jullie vast bij maakbedrijven?
• Er bestaat nochtans een eenvoudig wapen: het regelmatig updaten van software. Waarom is dit zo moeilijk in een productieomgeving?
• Hoe kan cybersecurity verbeterd worden?
• Hoe zal de proeftuin bijdragen aan het verbeteren van cybersecurity in industrie 4.0?
• Welke boodschap wil de proeftuin geven aan ondernemingen?
• Wat moet er veranderd zijn binnen drie jaar?
• Wat zijn de innovatieve trends in industriële cyberveiligheid?

Welke problemen stellen jullie vast bij maakbedrijven?

Kurt Callewaert: “Er gaan een aantal zaken fout in industriële security. Eén van de oorzaken is de grote kloof tussen IT-afdelingen en de operationele technologie (OT ) binnen maakbedrijven. Deze kloof belet dat deze diensten elkaar begrijpen en samen aan veilige oplossingen werken. Dat is desastreus omdat er geen kloof is tussen hun netwerken. Bedrijfsnetwerken lopen doorheen de marketing, sales, boekhouding en werkplaatsen. Iedereen heeft data nodig, verzamelt deze, koppelt ze aan elkaar en verbetert er de onderneming mee. Maar omdat mensen niet met elkaar praten is de segmentatie niet goed, zijn er lacunes, houden ze bij het installeren en verbeteren van de productie geen rekening met beveiliging, enzovoort. Eens hackers binnen geraken, beschadigen ze gemakkelijk het hele bedrijf.”

Jeroen Baeten: “Productieomgevingen zijn heel kostgedreven. Dit weegt door in de investeringen die ondernemingen doen én in het onderhoud en het beveiligen ervan. Cybersecurity krijgt initieel zelden veel aandacht. Wanneer bedrijven productiemachines aan het internet koppelen, ligt de focus op het verzamelen van data, niet op het beveiliging ervan.

Bedrijven en overheden moeten zich voorbereiden op een wereld waarin informatie- en gegevensbeveiliging slechts een deel is van onze zorg. Een bredere lens is nodig, één die rekening houdt met risico's voor de mens en de productiesystemen. We moeten ons bijvoorbeeld afvragen welk gevaar mensen lopen wanneer een productiesysteem gehacked wordt. Kan een onverwachte beweging door gehackte machines mensen in gevaar brengen?”

Er bestaat nochtans een eenvoudig wapen: het regelmatig updaten van software. Waarom is dit zo moeilijk in een productieomgeving?

Kurt: “Er bestaat een groot verschil tussen een pc en een plc , wat een computer is die gebruikt wordt om een productielijn te automatiseren. De levensduur van productieapparatuur is twintig tot dertig jaar. Een pc leeft vaak maar drie jaar. Dit wil zeggen dat productieapparaten veel ouder zijn omdat ze lang en prima werken. Op deze toestellen is vaak geen cybersecurity mogelijk. Daarenboven krijgen oudere computers van de bureaus soms een tweede leven in de productie, zonder dat hun software nog te updaten is. Ook modernere apparaten updaten is niet evident. Stel je eens voor dat ze de productie elke avond stilleggen om software te updaten tegen de laatste bedreigingen?  Nee, dat doe niemand. Waardoor iedereen dus kwetsbaar is voor hackers.” 

Jeroen: “Die interoperabiliteit tussen verschillende productie-entiteiten zijn vaak ook moeilijk in te schatten en na te bootsen. Hoe verloopt de interactie na een update? Gaat het volledig productieproces nog werken na het uitvoeren van een update? Er zijn voldoende voorbeelden terug te vinden van ondernemingen die een update moesten terugdraaien. Die onzekerheid zorgt er vaak voor dat bedrijven liever in die huidige situatie blijven.”

Hoe kan cybersecurity verbeterd worden?

Kurt: “We willen eerst de huidige situatie kennen. Daartoe lanceren Agoria en Howest een groot onderzoek dat bij alle Vlaamse ondernemingen peilt hoe het is gesteld met hun cybersecurity. Met de verzamelde kennis willen we extra positieve druk zetten om plannen uit te werken, attesten en certificaten te behalen die aantonen dat ze veilige producten en diensten produceren in een beveiligde omgeving. 

Dit klinkt nu nog als een kost, maar binnen een paar jaar heb je een commerciële troef in handen als je kunt aantonen dat je cyberveilig werkt. Om aan grote ondernemingen te kunnen toeleveren, zal je dit sowieso zwart op wit moeten aantonen.”

Jeroen: “Het is cruciaal dat experten en beleidsmakers de mogelijkheid hebben om zich te bevrijden van kortetermijndenken.

Langetermijndenken, multidisciplinair overleg en de uitwisseling van innovatieve ervaringen zijn de beste garantie voor succes in de toekomst. Als Living Tomorrow / Tomorrowlab maken we dit mogelijk via onze neutrale en besloten manier van werken. Het binnenbrengen van een netwerk, expertise, trends en ideeën geeft de juiste ondersteuning aan deze transitie.”

Hoe zal de proeftuin bijdragen aan het verbeteren van cybersecurity in industrie 4.0?

Kurt: “In de proeftuin brengen we iedereen samen uit de academische wereld, de overheid, Vlaamse ondernemingen en partners zoals TomorrowLab. We zetten verschillende initiatieven op om het bewustzijn bij ondernemingen te vergroten, standaarden te implementeren, onderzoek te doen en opleidingen te geven.
Een van de projecten loopt samen met Siemens, dat zowat 60 procent aanlevert van alle slimme apparaten die we in Vlaamse ondernemingen installeren. We kijken met hen om twee standaarden (de ISO standaard voor informatiebeveiliging ISO27001 en IEC62443) te combineren.”

Welke boodschap wil de proeftuin geven aan ondernemingen?

Kurt: “De proeftuin wil maakbedrijven informeren over hun kwetsbaarheid. Ook willen we aandringen om enkele eenvoudige oplossingen meteen te implementeren, bijvoorbeeld multifactor authenticatie . Dit zou standaard moeten worden omdat het de enige manier is om heel veilig aan te tonen dat je bent wie je zegt te zijn. Ikzelf heb onlangs de directie van Howest overtuigd om dit in te voeren. Binnenkort moet elke docent inloggen via een code op zijn of haar smartphone. Later breiden we dit uit naar onze 10.000 studenten. Dit wil zeggen dat niemand meer zal kunnen inloggen met geleende of gestolen inloggegevens.”

Jeroen: “We willen ook in industriële omgevingen het thema cyberveiligheid opkrikken tot het niveau van CEO’s. In industrieën waar de transitie reeds heeft plaatsgevonden, zien we nieuwe rollen verschijnen zoals Chief Information Security Officer's (CISO's). Zij zorgen ervoor dat nieuwe wet- en regelgeving, veranderende verwachtingen, risicomanagement en nieuwe uitdagingen gelinkt aan cyberbeveiliging de juiste aandacht krijgen op management niveau. Die transitie ondersteunen we volop vanuit de proeftuin.

Van daaruit moet iedereen in elk bedrijf doordrongen worden van cyberveiligheid. 
In een tijdperk van continue bedreigingen, is het onmogelijk om volledig kogelvrij te zijn, maar veiligheid moet worden gezien als een paraplu die een bedrijf kan beschermen tegen de ergste elementen, zelfs als voeten nat worden in de grootste stormen.”

Kurt: “Aandeelhouders moeten meer druk zetten op de CEO. Vandaag laten ondernemingen wel cybersecurity -scans uitvoeren en audits waarin digitale beveiliging wordt aangestipt. Maar vervolgens doen ze niets met de resultaten. En dat wanneer ze nood hebben aan een jaarlijks risk assessment om hun risico’s in kaart te brengen en te verlagen.”

Wat moet er veranderd zijn binnen drie jaar?

Kurt: “Er is al veel veranderd. Vandaag zeggen acht op de tien ondernemingen bezig te zijn met cyberveiligheid . Nog niet zo lang geleden was dit één op de tien. Toch zal er binnen drie jaar meer dan nu geïnvesteerd worden in digitale veiligheid, zullen IT  en OT beter samenwerken, zullen meer bedrijven hun cybersecurity aantonen met certificaten en zullen meer studenten opgeleid zijn.”

Jeroen: “Bedrijven staan vandaag op het kantelpunt. Het capteren van data is voor veel organisaties nog nieuw. Ze starten ermee, wat meteen hét ideale moment is om dit doordacht en veilig te doen. Ik zie hierin dat open source-systemen de beste garantie en flexibiliteit bieden naar veiligheid en de toekomst. Want alles wordt intelligenter. De wereld verandert snel. Alleen open systemen kunnen om met de veelheid en complexiteit aan tools, software van verschillende fabrikanten en nieuwe oplossingen.”