Industriele automatisering
30 augustus 2022

Safety en security voor IoT

Deze gaan vandaag de dag hand in hand

Hoe goed de stand van de machinebouw en de industrie ook is op het gebied van safety, op het gebied van security laat die helaas nog te wensen over. Security, of ook wel de beveiliging tegen hackers en andersoortige inbreuk door veelal ongewenste personen, is al lang niet meer één van die onderwerpen die misschien af en toe aan de orde moeten worden gesteld. Nee, het is momenteel misschien wel het belangrijkste en meest urgente onderwerp in de machinebouw, en zelfs in de hele industrie.

Vroeger was security in de vorm van IT-veiligheid de taak van de informatietechnologie (IT). Tegenwoordig zijn ook productie- en industriële installaties sterk verbonden met de informatietechnologie. We noemen dit OT of Industrial Security. Industrial Security beschrijft de bescherming van productie- en industriële installaties tegen opzettelijk of onbedoeld geïntroduceerde fouten. Het doel van Industrial Security is om de beschikbaarheid van machines en installaties alsmede de integriteit en vertrouwelijkheid van machinale gegevens en processen te waarborgen.
Safety gaat over de functionele veiligheid van installaties, dus de bescherming van mens en milieu tegen voorzienbare bedreigingen die van machines kunnen uitgaan. Hierbij mogen restrisico’s, die min of meer aanwezig zijn, de aanvaardbare niveaus niet overschrijden. Om dit te garanderen, worden onder meer componenten zoals veiligheidsrelais en veiligheidsschakelaars gebruikt, die ervoor zorgen dat de machine bij een probleem in een veilige toestand wordt gebracht, waardoor geen gevaar voor mens, machine en milieu wordt veroorzaakt.
Nadat de functionele veiligheid van een machine overeenkomstig de voorschriften van de machinerichtlijn was goedgekeurd, hoefden de exploitanten van installaties zich over safety geen zorgen meer te maken, zolang daarna bij de machine geen belangrijke veranderingen meer werden uitgevoerd. Die tijden zijn echter voorbij, want door de bedreigingen uit de cyberwereld is security een onmisbaar element voor safety geworden.
Het motto bij Pilz over dit onderwerp is; “als ik geen controle heb, staat het bedrijf en de veiligheid van mijn werknemers op het spel: zonder security geen safety en zonder safety geen bescherming van de mens”.
Pilz is ervan overtuigd dat alleen een holistische visie op safety en security de bescherming van mens en machine kan garanderen. Daartoe is het absoluut noodzakelijk om ook security-maatregelen rechtstreeks in de apparaten (zoals besturingen) te implementeren. Daarbij moet de hele levenscyclus van het systeem in aanmerking worden genomen. Security begint dus al bij de ontwikkeling.
Pilz laat zijn Functional Safety Management (FSM), d.w.z. de “safety”, al ongeveer 20 jaar controleren en certificeren en sinds enkele jaren stemt Pilz zijn ontwikkelingsprocessen ook af op IEC 62443-4-1 “Veiligheid voor industriële controle- en automatiseringssystemen – Deel 4-1: Lifecycle vereisten voor ontwikkeling van veilige producten” en ontwikkelt het bedrijf aantoonbaar “secure”. TÜV Süd heeft dit nu in een audit gecertificeerd. De certificering is strategisch gezien van even groot belang als de certificeringen voor functionele veiligheid. Deze weg wil Pilz ook gaan bewandelen voor security. Niet alleen heeft het bedrijf al de nodige slimme componenten voor deze taak ontwikkeld, maar heeft ook teams in het leven geroepen die klanten kunnen helpen met het op orde brengen van dit stuk van de veiligheid.

Wisselwerkingen
Omdat productieprocessen door safety-functies kunnen worden onderbroken, wordt vaak geprobeerd deze – illegaal – te omzeilen, wat tot nu toe met name met behulp van mechanische maatregelen wordt voorkomen. Een voorbeeld hiervan zijn verzegelde schroeven, die voorkomen dat veiligheidsschakelaars eenvoudig kunnen worden verwijderd. Tegenwoordig is het echter mogelijk deze manipulaties via het netwerk uit te voeren. Wanneer bijvoorbeeld een machine bij een signaal uit een lichtscherm overschakelt naar een bepaalde veilige toestand, kan door het veranderen van het programma van de besturingscomputer de signalering uit het lichtscherm niet meer gevolgd worden. Hierdoor is de beveiligingsfunctie uitgeschakeld en blijft de machine gewoon actief in plaats van te reageren zoals gewenst is.
Anderzijds kunnen safety-mechanismen ook worden gebruikt om machines via het netwerk gericht tot stilstand te brengen. Hiervoor hoeft alleen de datacommunicatie te worden onderbroken. Safety-mechanismen controleren immers cyclisch of netwerkdeelnemer aan de andere kant van de verbinding nog actief zijn. Als er geen antwoord volgt, stopt de machine. Een mogelijkheid om dit te bewerkstelligen, zijn bijvoorbeeld DoS-aanvallen die een overbelasting in het netwerk veroorzaken.
Via het netwerk worden echter niet alleen productieprocessen belemmerd, maar er dreigen ook nog andere risico’s. Aanvallers kunnen ook safety-mechanismen gebruiken die controleren of de aandrijving van een machine wordt aan- of uitgeschakeld. Als deze mechanismen zodanig worden veranderd dat de aandrijving continu loopt, kan dit ertoe leiden dat een machine in het ergste geval wordt vernield. Daarom worden windturbines vaak dubbel en drievoudig beveiligd.

Afbeelding 1. Door gebruik te maken van RFID-technologie is PITmode een meer dan intelligent sleutelsysteem.

Lokaal
Het bedrijfsmoduskeuze- en toegangsautorisatiesysteem PITmode verenigt safety- en security-functies in één systeem (afbeelding 1). Hiermee is het mogelijk om de toegangsrechten op machines en installaties te regelen. Hij wordt dus gebruikt om de toegang ter plaatse te regelen. Hierbij moet u denken aan de rechten die operators hebben die anders zijn dan die van servicepersoneel, maar ook om bijvoorbeeld de softwarematige rechten te regelen voor een USB-stick met nieuwe software of data. Met de RFID-transpondersleutels met intern geheugen voor het opslaan van de toegangsrechten, zijn deze rechten veel beter te regelen dan bijvoorbeeld met wachtwoorden die vrij gemakkelijk te delen zijn of zelfs te achterhalen zijn.
PITmode-apparaten kunnen dus worden gebruikt in machines en installaties waarin tussen verschillende besturingsprocessen en bedrijfsmodi moet worden geschakeld. Via de gecodeerde transpondersleutels met RFID-technologie kunnen aan elke medewerker de aan zijn vaardigheden aangepaste machinevrijgaves en rechten worden verleend. De veilige evaluatie-eenheid (Safe Evaluation Unit) herkent de ingestelde bedrijfsmodus zoals bijvoorbeeld automatisch bedrijf, handmatig ingrijpen onder beperkte voorwaarden of servicebedrijf, evalueert hem en schakelt functioneel veilig om. Hierdoor worden een foutieve bediening en manipulatie voorkomen en mens en machine beschermd.
Nieuw bij de PITreader S is de integratie van de OPC UA-standaard waarbij gebruik gemaakt wordt van certificaten. Deze verhogen enerzijds de veiligheid van de communicatie tussen server en client. Anderzijds zorgt de PITreader S voor een uitbreiding van de aansluitmogelijkheden op systemen van andere fabrikanten die eveneens OPC UA “spreken”.
Uiteraard kan er met een PITreader S worden voldaan aan eisen ten aanzien van het toegangsbeheer voor machines en installaties. Of het nu gaat om eenvoudige vrijgave, als er authenticatie voor bepaalde functies moet worden gerealiseerd of als er een complexe hiërarchische autorisatieoplossing nodig is.

Afbeelding 2. De firewall van Pilz beschermt de machine tegen indringers die van buiten komen.

Van buiten
Omdat machines meer en meer via een netwerk op de één of ander manier verbonden zijn met internet, moet toegang van buiten ook op een goede manier beveiligd worden. Pilz heeft daar al een tijd de firewall SecurityBridge voor. Deze beveiligt in het besturingsnetwerk de verbindingen van de diagnose- of configuratietools met de besturingen. Manipulatie vanuit de buitenwereld weet deze te voorkomen door o.a. gebruik te maken van VPN-tunnels. Daarbij weet hij de data praktisch zonder vertraging over te dragen.
De firewall is ontwikkeld volgens de norm IEC 62443-4-1 en is zonder aanpassing van netwerkparameters te installeren. Daarbij zijn wijzigingen in de configuratie alleen door bevoegde gebruikers aan te brengen. Ongeoorloofde veranderingen in het project weet hij te voorkomen door gebruik van controle van de checksum (CRC) en beschikt hij over uitgebreide diagnosefuncties.

Regelgeving
Als “ambassadeur van de veiligheid” werkt Pilz al tientallen jaren intensief mee aan de vormgeving van de huidige normen en richtlijnen. Meer dan 30 Pilz-experts zijn in bijna 80 normcommissies actief betrokken bij de uitwerking van circa 100 product- en toepassingsnormen en zetten zich in voor de totstandkoming van veiligheidsnormen over de hele wereld.
Normen zijn leuk, maar echte handhaving vraagt om wetgeving. Ook dat ontstaat op vele plekken in de wereld. Naast veiligheid zal binnenkort dus de beveiliging tegen ongewenste indringers ook in vele landen wettelijk vastgelegd zijn. Zeker vandaag de dag is dat geen overbodige luxe.

Dit artikel heeft betrekking op het volgende thema
Meer nieuws van Pilz
Meer nieuws over Industriele automatisering
Meer nieuws over veiligheidsbesturingen en componenten

Columns / Opinie

Paul Petersen 17 november 2022

Cyber Security

Hoe kunnen we de voordelen van deze tijd benutten en versterken, zonder de toenemende ondermijning van technische mogelijkheden te moeten bevechten?
Meer columns & opinie