Het gemak van remote access: zo houdt u het veilig!

From |

In de moderne industriële omgeving worden internet en mobiel internet steeds vaker toegepast. Om industriële applicaties op afstand te beheren en om data op afstand op te kunnen vragen. Bij remote access is security uiteraard een belangrijk aandachtspunt.

In de industriële automatisering worden duidelijk andere prioriteiten gesteld aan de functies van een netwerk dan in de reguliere IT. Wanneer we vanuit het security aspect van een netwerk kijken zijn er 3 hoofdtaken te onderscheiden.

Confidentiality is de eigenschap dat de data niet zomaar door derden onderschept kan worden. Het zorgt er dus voor dat alleen de beoogde ontvangers toegang hebben tot de informatie.

Integrity is de zekerheid dat de ontvangen informatie vertrouwd kan worden en accuraat is. Het voorkomt dat data gemanipuleerd kan worden zonder dat dit gedetecteerd wordt.

Availability is de garantie dat de data beschikbaar is voor diegene die er toegang tot moeten hebben. In de praktijk houdt dit in dat het netwerk betrouwbaar moet zijn met een hoge up-time.

Beschikbaarheid voorop

In de IT-wereld wordt doorgaans de C-I-A volgorde aangehouden van belangrijk naar minder belangrijk. In de industriële omgeving is dit juist omgekeerd: A-I-C. Hier staat dus de beschikbaarheid van de installatie voorop. Dit betekent dat er ook een verschillende aanpak geldt voor patch-management: updates kunnen niet zomaar geïnstalleerd worden, maar worden doorgaans alleen tijdens geplande stops geïnstalleerd. Ook is het soort data anders dan in de IT-wereld, de real time eisen zijn in de industrie een stuk belangrijker.

Decentrale beveiliging

Een ander belangrijk verschil tussen IT en OT (operationele technologie) is de locatie van de beveiligingscomponenten zoals firewalls. In de IT is de Firewall doorgaans centraal geplaatst: daar waar het internet binnen komt.

In de industrie wordt juist gekozen voor decentrale beveiliging: de firewall zo dicht mogelijk bij de te beschermen machine geplaatst. Deze decentrale oplossing biedt als voordeel dat het netwerk meteen gesegmenteerd wordt. Bij een eventuele aanval of infectie met mallware blijven de gevolgen beperkt tot een deel van het netwerk.

De risico’s

Voor optimale beschikbaarheid van uw machines is het zeer belangrijk om beveiligingsrisico’s uit te sluiten. Zonder extra maatregelen kan dataverkeer van en naar de machine zonder beperkingen plaatsvinden. Op zich hoeft dit geen probleem te zijn, zolang er geen verbinding met het internet of het office-netwerk is en er ook geen vreemde apparaten worden toegelaten op het productienetwerk zoals USB-sticks of laptops. In de praktijk is dit geen realistische situatie. Onder andere omdat servicetechnici hun laptop aan het machinenetwerk koppelen, om snel en efficiënt hun servicewerkzaamheden uit te voeren.

De Firewall

Maar wat als zo’n laptop geïnfecteerd is met een virus? Op zo’n moment moet het productienetwerk hiertegen beschermd zijn met een firewall. Die kan – als bijkomend voordeel – in twee richtingen bescherming bieden. De firewall wordt dan zo ingesteld dat alleen de data die voor het proces nodig is, wordt toegestaan. Zo is uw machine beveiligd tegen risico’s uit het productienetwerk en is uw productienetwerk tegelijk beveiligd tegen gevaren uit de machine.

Remote service

Maar, zult u zeggen, hoe zit dat als er van afstand service verleend moet worden? Dankzij de integratie van TCP/IP kunt u via het internet toegang te krijgen tot de machine. Dit dient wel op een verantwoorde manier te gebeuren. Om de communicatie te beveiligen gelden hier weer de C-I-A eigenschappen. Dit kan met VPN-tunnels.

3 soorten tunnels

Ten opzichte van de router met NAT, Firewall en VPN-functie zal ik 3 soorten tunnels beschrijven:

1 De VPN-tunnel stopt voor de router.

Bijvoorbeeld bij de router die het productie-LAN verbindt met het internet. In deze situatie kan het netwerkverkeer richting de machine door de firewall gecontroleerd worden.

2 De VPN-tunnel loopt door de router

Hier wordt de tunnel bijvoorbeeld door een VPN-router in de machine opgebouwd. Nu kan het netwerkverkeer richting de machine niet meer door de firewall gecontroleerd worden, omdat de data gecodeerd is.

3 De VPN tunnel stopt op de router

In deze situatie kan het netwerkverkeer richting de machine gecontroleerd worden met separate firewall-regels in de tunnel.

De juiste balans

Uiteraard dienen bij remote access de noden tegen de risico’s afgewogen te worden. Moet een machine bijvoorbeeld wel altijd ‘online’ zijn? Daarnaast wilt u zelf de regie in handen houden op welk moment iemand toegang kan hebben tot uw machine. Als machineleverancier wilt u uw klant ook gerust stellen dat deze zelf ‘in control’ kan zijn, wanneer dat gewenst is. Hiervoor bieden we o.a. een oplossing middels een potentiaalvrij contact. Via dit contact kan een VPN-tunnel geactiveerd worden of bepaalde firewall-regels actief worden. Zo kunt u er voor zorgen dat een machine alleen te programmeren is als het contact gemaakt is (bijvoorbeeld met een sleutelschakelaar).

Reageer gerust

Wij informeren u natuurlijk graag over de juiste oplossingen voor securityvraagstukken in de industriële omgeving en remote access. Maar we zijn ook benieuwd naar uw mening over dit onderwerp. Reageert u dus gerust in de comments.

Call to action banner_whitepaper_Cybersecurity_download

Call to action banner_webinar secure cloud_inschrijven

 

Share

Share

Tell your friends about us!

Contact

Leave a Reply

Your email address will not be published. Required fields are marked *