Beheer

Security
Zeesluis IJmuiden

Security in OT-land: Zo pakken de Zeesluis en Tata Steel dat aan

Secure by design en monitoring onmisbaar.

De sluizen van IJmuiden © Shutterstock.com
18 april 2023

Secure by design en monitoring onmisbaar.

In een relatief klein gebied in Nederland staan twee op het oog compleet verschillende organisaties, die toch met eenzelfde uitdaging kampen. Bij zowel Tata Steel als de Zeesluis IJmuiden – die beide aan het Noordzeekanaal in IJmuiden zitten – werken met zogeheten operationele technologie. En de beveiliging daarvan is in veel opzichten uitdagender dan bij ‘gewone’ IT. Zo pakken zij dit aan.

De Sluizen van IJmuiden vormen samen de verbinding tussen het Noordzeekanaal en de Noordzee – een belangrijke doorvaarroute voor vrachtschepen. Meest bekend is de Zeesluis IJmuiden, die in 2022 in gebruik werd genomen. Maar de Sluizen omvatten ook het Gemaal uit 1975, de Spuisluis uit 1940, de Noordersluis uit 1929, de Middensluis uit 1896 en de Zuidersluis uit 1876. Allemaal bevatten zij zogeheten operationele technologie (OT)  – een verzamelnaam voor de verschillende systemen die we gebruiken om fysieke processen te automatiseren.

Het beveiligen van dergelijke systemen kan lastig zijn, onder meer omdat het vaak oudere omgevingen zijn. Apparatuur voor een zeesluis vervangen is immers vrij ingewikkeld en gebeurt daardoor niet vaak. “Ik zeg altijd maar: een lelijke eend upgraden naar een auto die veilig 140 kilometer per uur kan rijden, dat gaat niet. Dus je moet zoeken naar andere oplossingen”, zegt Eric ten Bos, bij beveiligingsbedrijf Thales verantwoordelijk voor Cyber OT.

“In essentie is een sluis een heel simpel ding. Je hebt twee deuren die open en dicht gaan, er staan wat pompen die er water in doen of uit halen, en dan heb je nog wat beveiligingssystemen – zoals stoplichten en slagbomen – en wat drukknoppen links en rechts om de boel aan en uit te zetten”, verklaart hij. “Het cruciale van dit soort systemen is dat ze zich stabiel moeten gedragen.”

Kapot of gehackt?

Doet zo’n sluis dat niet, dan zitten daar best wat risico’s aan, ook omdat het Nederland beschermt tegen overstromingen. Toch is een potentiële overstroming niet het eerste waar Ten Bos aan denkt. “Eén van de deuren zit altijd dicht. Die houdt de boel best wel droog.” Maar een aanvaller kan in theorie natuurlijk beide deuren open zetten. “Daarom moet een systeem zo ontworpen zijn dat je nooit dingen tegelijkertijd kunt doen, zoals aan beide kanten alles open zetten.”

Een veel groter risico is volgens de beveiligingsexpert dat de sluizen niet meer werken, wat een hoop geld kost en voor onveilige situaties kan zorgen. En dat is best reëel: “Er zijn allerlei voorwaardes waar aan voldaan moet worden voor een deur open mag. Het waterpeil moet in orde zijn, er moet van alles aan en uit staan en je rijwegbegeleiding moet de goede kant op wijzen. Dat gebeurt allemaal geautomatiseerd. Als je dat compromitteert, dan gebeuren er ongelukken. En dat zie je pas als het ongeluk is gebeurd.”

Rebooten gaat niet zomaar

Als een apparaat besmet raakt met malware, is de oplossing binnen de reguliere IT in de basis vrij eenvoudig: het wordt geformatteerd, opnieuw ingericht en het probleem is opgelost. “Maar als ik dat bij zo’n geautomatiseerde rijwegbegeleiding [begeleiding voor schepen om via de juiste waterweg bij de sluis te komen, red.] doe, heb ik per definitie een onveilige situatie. Je weet niet wat dan de staat is van die begeleiding of van bijvoorbeeld de stoplichten op die baan. Hier begint het belangrijke verschil te ontstaan tussen IT en OT: cybermaatregelen voor normale IT zijn in mijn ogen niet of zeer beperkt bruikbaar in een OT-omgeving.”

Gelukkig zijn er diverse maatregelen die vooraf al genomen kunnen worden om de situatie wel veilig te houden. Stoplichten op de gewone weg gaan bijvoorbeeld automatisch knipperen als ze uitstaan of niet aangestuurd worden. “Zo’n zelfde standaardmodus moet voor de weg naar de zeesluis zijn gedefinieerd en in een draaiboek zitten. Als dat klaarligt en goed wordt afgehandeld, kan ik rustig de machine herstellen.”

Veiligheid in gevaar

Ook verderop aan het Noordzeekanaal liggen de draaiboeken klaar. Want ook bij Tata Steel staat allerlei OT, die net als bij de sluizen niet zomaar kan worden uitgeschakeld. “Alle processtappen binnen onze fabriek voor de vervaardiging van staal zijn in grote mate geautomatiseerd. De hardware en software voor de proces- en installatiebesturing binnen de fabrieken noemen we vandaag de dag OT. OT is bovendien een grote databron voor IT. Bij de bouw van nieuwe installaties wordt dit ook meegenomen zodat we door middel van sensoren en digitalisering energie kunnen besparen en de productkwaliteit en onderhoud verder kunnen optimaliseren”, vertelt Thomas van Houten, Information Manager Process Control Systems bij Tata Steel.

Mocht daar wat fout gaan – van een cyberaanval tot gewoon een storing – dan heeft dat flinke impact. “In eerste instantie denk je direct aan productiederving. Maar we hebben ook een aantal installaties die kijken naar procesveiligheid. Die veiligheid kan dus mogelijk in gevaar komen. Daarom hebben we deze netwerken diep weggestopt achter firewalls en wordt er monitoring op gedaan.”

Daarnaast zorgt Thales ervoor dat systemen zoveel mogelijk up-to-date blijven met de beveiligingsupdates. Een uitdaging, gezien apparatuur dus niet zomaar kan rebooten na een update. Bovendien komt het soms voor dat systemen na een update niet goed meer werken. Hier heeft Tata Steel juist wel wel een IT-principe voor overgenomen. “Van IT-systemen zijn we gewend om een productiesysteem, acceptatiesysteem, testsysteem en ontwikkelsysteem te hebben. Dat hebben we ook in de OT-wereld.” Daardoor kan een update eerst goed getest worden en vervolgens op een opportuun moment worden uitgerold naar de daadwerkelijke apparatuur.

Hoe dichter bij de installatiebesturing, hoe lastiger zo’n principe van een acceptatiesysteem is aan te houden. “PLC’s zijn vaak qua hardware enkelvoudige systemen, dus dan moet dat anders getest worden, mogelijk tijdens een inspectiestop van de installatie.”

Monitoring

Daarnaast zet Tata Steel flink in op monitoring via zijn eigen Security Operations Center (SOC). Daarvoor maken ze gebruik van een systeem dat kan zien welke kwetsbaarheden er zijn. “Er wordt OT Asset discovery gedaan en vulnerability detection wanneer OS-versie en firmware versies te ver verouderd zijn. Er wordt per fabriek op een KPI-dashboard gerapporteerd.”

Dergelijke monitoring is ook bij een zeesluis van groot belang, benadrukt Ten Bos. Vooral omdat de systemen daarin vaak verouderd zijn en dus geen security-updates meer krijgen. “De oude zeesluis, de Noordersluis, komt uit de tijd rond de Eerste Wereldoorlog. Daar zit nog hardware in – en dat is geen grapje – uit die tijd. Dat is niet kapot te krijgen.” Zelfs de apparatuur in de nieuwe zeesluis is waarschijnlijk al niet supernieuw. “Hoe lang duurt het ontwerpen en bouwen van zo’n sluis? Je bent al gauw tien jaar verder. In cyberland is een half jaar al oud. Dus ieder OT-systeem dat neergezet en operationeel gebracht wordt, is per definitie oud.” Daarom is de secure by design-aanpak van belang, net als het stellen van hoge security-eisen voor de apparatuur én monitoring. “Je moet die OT-systemen goed monitoren op hun gedrag en die monitoring aanscherpen naar nieuwe bedreigingen. Dat kun je goed up-to-date houden. En daarnaast moet je altijd herstelacties controleren en testen. Je moet net doen alsof het schip een keer zinkt en met zijn allen naar de reddingsboot rennen.”

Verouderde apparatuur is bij Tata Steel echter een minder groot probleem, weet Van Houten. “Toen ik voor het eerst met de OT in aanraking kwam, was de insteek: software slijt niet. Inmiddels weten we dat dat niet meer werkt.” Apparatuur die toch zo ver verouderd is dat er geen updates meer voor verschijnen, worden dan ook zo snel mogelijk geïsoleerd. “Dat is de maatregel om de periode te overbruggen tot we wel een oplossing hebben gevonden. En die oplossing is het vervangen van het systeem.”

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (nummer 2 - 2023). Wil je alle artikelen uit dit nummer lezen, bekijk dan de inhoudsopgave.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.