This page contains a Flash digital edition of a book.
actief aanpakken. De cyberbeveiliging kan worden verhoogd met diverse systemen en maatregelen. In tegenstelling tot de syste- men voor functionele veiligheid, die in de eerste plaats mensen beschermen, dienen deze technische informatiesystemen om te beveiligen tegen opzettelijke, maar ook ongewenste manipulaties en aanvallen die bedoeld zijn om productieprocessen te ver- storen of industriegeheimen te stelen. De beschreven omstandigheden leiden ertoe dat de thema’s ‘Safety’ en ‘Security’ vandaag nauw met elkaar verweven zijn. Vooral bij veiligheidsgerichte systemen speelt cyberbe- veiliging een heel centrale rol, bijvoorbeeld in de procesindustrie, aangezien deze de laatste frontlijn voor een eventuele catastrofe vormt.


Normen bepalen het kader Het ontwerp, de werking en de specificaties van beveiligingsinrichtingen zijn onderwor- pen aan belangrijke, internationale normen. Hierbij moet de basisnorm voor veiligheids- technische systemen IEC 61508 worden ge- noemd; deze geldt over de sectoren heen voor alle veiligheidsgerichte systemen (elek- trische, elektronische en programmeerbare elektronische toestellen). De van deze basis- norm afgeleide IEC 61511, die we reeds heb- ben beschreven, zet de algemene standaard voor de procesindustrie en bepaalt welke selectiecriteria toe te passen zijn voor de componenten van de beveiligingsfuncties. Daarnaast moet er rekening worden gehou- den met de normenreeks IEC 62443 voor IT-veiligheid in netwerken en systemen - de feitelijke norm voor cyberbeveiliging. Deze reeks vereist onder meer een beheerssysteem voor de IT-veiligheid, gescheiden bescher- mingsniveaus met van elkaar onafhankelijke werk- en beveiligingsinrichtingen en ook maatregelen om de IT-veiligheid gedurende de volledige levenscyclus van een installatie te garanderen. Bovendien stelt deze normen- reeks ook aparte zones voorop voor het be- drijfsnetwerk, de controlekamer, het beveili- gingssysteem (Safety-Instrumented System, SIS) en het procesbesturingssysteem (Basic Process Control System, BPCS) die telkens door een firewall beschermd dienen te wor- den tegen ongewenste toegang (zie afbeel- ding 2).


Cyberbeveiliging door design De Engelse begrippen ‘Safety’ en ‘Security’ worden beiden vertegenwoordigd in de Ne- derlandse term ‘veiligheid’. Dit is niet enkel taalkundig interessant, maar ook qua inhoud een zeer boeiend gegeven: het toont duide- lijk hoe sterk beide thema’s vandaag met el- kaar verbonden zijn en dat ze als een geheel moeten worden beschouwd.


32 | nummer 5 | 2017


Afbeelding 2: De norm voor cyberbeveiliging eist niet alleen een scheiding van de beveiligings- en automatiseringslogica, maar voert ook beveiligings- zones (DMZ, demilitarized zone), gedefinieerde verbindingen en bijkomende firewalls aan de overgangen tussen de zones in.


De gestandaardiseerde hardware en soft- ware van het procesbesturingssysteem heeft regelmatig behoefte aan patches om de zwakke plekken in de software en het besturingssysteem weg te werken. Door de complexiteit van de softwarearchitectuur is het evenwel moeilijk en zelfs onmogelijk om een analytische beoordeling uit te voeren van de risico’s die gepaard kunnen gaan met een systeemupdate. Zo kunnen de in het procesbesturingssysteem doorgevoerde patches bijvoorbeeld ook de functionele ei- genschappen van het daarin geïntegreerde beveiligingssysteem beïnvloeden. Om te voorkomen dat er kritische fouten met onoverzienbare gevolgen optreden tijdens het doorvoeren van patches in het besturingssysteem van veiligheidsrelevante processen, moeten het proces- en het be- veiligingssysteem technologisch van elkaar worden gescheiden. Alleen zo is het zeker dat updates van het besturingssysteem geen afbreuk doen aan de functionele vei- ligheid.


Voor een doeltreffende cyberbeveiliging volstaat het niet om een bestaand product achteraf te verbeteren met bijkomende softwarefunctionaliteit. Oplossingen voor


Bij de besturingsinrichtingen van HIMA zijn de processor en de communicatieprocessor gescheiden, zodat zelfs bij een aanval op deze laatste een hoge bedrijfszekerheid kan worden gegarandeerd.


functionele veiligheid dienen van bij het begin uitgedacht en ontworpen te worden met het oog op cyberbeveiliging. Dit geldt zowel voor de firmware als voor de applica- tiesoftware.


Doeltreffende bescherming tegen cyberaanvallen Op de autarkische beveiligingsinrichtingen van HIMA loopt een eigen besturingspro- gramma dat speciaal voor veiligheidsge- richte toepassingen werd ontwikkeld. Dit omvat alle functies van een veiligheids-PLC, maar vervult daarnaast geen andere taken. Daardoor hebben typische aanvallen op IT-systemen geen succes. De besturingssys- temen van deze inrichtingen werden reeds in de ontwikkelingsfase getest op weerstand tegen cyberaanvallen.


SILworX Bij de besturingsinrichtingen van HIMA zijn de processor en de communicatieprocessor gescheiden, zodat zelfs bij een aanval op deze laatste een hoge bedrijfszekerheid kan worden gegarandeerd. Ze maken het mogelijk om meerdere, fysiek gescheiden netwerken te bedienen op een enkele com- municatieprocessor of processormodule. Zo kan de directe toegang op een automatise- ringsnetwerk vanaf een aangesloten ontwik- kelingspost worden verhinderd. Bovendien kunnen afzonderlijke, ongebruikte interfa- ces worden uitgeschakeld. Daarnaast loopt de configuratie-, program- meer- en diagnosetool SILworX in een Win- dows-omgeving die werkt op een manier


Voor een rendabele werking van de beveiligingssystemen is de integratie van een omvangrijke hoeveelheid bedrijfs- en onderhoudsinformatie absoluut nodig...


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48