urity E
Redactie Process Control
en Safety Instrumented System (SIS) is de ‘last automated line of defense’ van een productie- proces in de industrie en is als
zodanig vastgelegd in de IEC 61511 norm.
Een SIS is daarmee feitelijk een geautomati- seerde bewaking van het proces om in geval van nood het proces gecontroleerd veilig af te schakelen en een rampscenario te voor- komen. Na het SIS is er dus geen geautoma- tiseerd systeem dat ingrijpt om een ophan- den zijnde calamiteit te voorkomen. Naast de reeds genomen schadebeperkende/ reducerende maatregelen blijft alleen nog de oplettendheid van operators over om na een calamiteit in te grijpen om zo serieuze schade en letsel te beperken.
Offline Maar die SIS systemen zijn steeds vaker het doelwit van cyberaanvallen, weet Van der Veen. “Door in het beginstadium van een cyberaanval het SIS systeem buiten werking te stellen, of offline te krijgen, kan in een vervolgstadium van de aanval serieuze schade aan de productie-installatie en letsel aan medewerkers toegebracht worden. Dat zijn dus serieuze aanvallen met potentieel grote schades tot gevolg. Het laat ook goed zien dat er onderdelen van het proces zijn waar safety en cybersecurity heel dicht bij elkaar komen.”
Intrinsiek veilig Laten we eerst eens kijken naar die over- eenkomsten tussen safety en cybersecurity, want volgens Van der Veen zijn die er wel degelijk. “Cybersecurity en safety vergen een vergelijkbare aanpak en methodologie om de risico’s te beheersen. Middels een risicoanalyse (RVA) dienen risico’s geïdenti- ficeerd te worden, geanalyseerd of geprio- riteerd en daarna gemitigeerd of geredu- ceerd middels maatregelen.” Ook de volgorde van risicoreductiestappen is bij cybersecurity min of meer hetzelfde als bij safety. “Je begint met de risico’s; eerst maak je de systemen intrinsiek veilig, zodat een gevaar simpelweg niet aanwezig is. Denk bij safety voor mechanische gevaren aan het beperken van de snelheid van be- wegende delen en denk bij cybersecurity aan het segmenteren of zoneren (DMZ invoeren) van het industriële netwerk”, legt Van der Veen uit.
PBM’s en passwords Na deze eerste stappen kunnen technische maatregelen genomen worden: hekken in geval van safety, firewalls in geval van
cybersecurity. Om de nog overgebleven risico’s te beheersen, moeten procedurele maatregelen genomen worden, bijvoor- beeld door Persoonlijke Beschermings Mid- delen in geval van safety, of door een goed wachtwoordbeheer voor cybersecurity. Als laatste dient men informatie te verschaffen over de restrisico’s. “Dan moet je bij cyber- security en bij safety vooral denken aan awareness training”, licht Van der Veen toe.
SIL en SL Nog een overeenkomst tussen safety en cybersecurity is dat voor beiden in een me- thode is voorzien voor de beoordeling of waardering van systemen met betrekking tot de betrouwbaarheid en veiligheid van de processen. “Wat Safety Integrity Levels (SIL) zijn voor safety, zijn Security Levels (SL) voor cybersecurity”, vertelt Van der Veen. “Middels SL’s kan de mate van cybersecurity weerbaarheid van IACS beschreven worden. Ook zijn SL’s een maatstaf voor de capaciteit van producten om aan een bepaald cyber- security niveau te kunnen voldoen.”
V&G Verschillen tussen safety en cybersecurity zijn er echter ook. Safety is al lange tijd een bekend onderdeel van de bedrijfsvoering van industriële bedrijven. Onder andere duidelijke wet- en regelgeving op het ge-
William van der Veen, Senior Safety/Security Consultant, werkzaam bij Hudson Cybertec.
7
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48
