Machinerie safetyPremium

Slim omgaan met cybersecurity is een must

Cybersecurity en de Machineverordening

Cybersecurity en de Machineverordening8
De machineverordening is bedoeld om de veiligheid van machines te waarborgen, inclusief de digitale en AI-componenten ervan

De nieuwe Machineverordening (EU) 2023/1230 vervangt de huidige Machinerichtlijn 2006/42/EG en wordt vanaf 14 januari 2027 van kracht. Nieuw zijn de thema’s industrial security en digitalisering. Christophe Michiels, senior engineer Smart and Digital Factory bij Sirris, het collectief centrum van de Belgische technologische industrie legt uit hoe bedrijven zich kunnen voorbereiden op het thema cybersecurity.

Hackers worden slimmer

"Ontwikkelingen in automatisering en digitalisering gaan razendsnel. Veel machines wisselen tegenwoordig data uit met elkaar, met PLC’s of zijn verbonden aan het internet. Bijna alle nieuwe machines hebben wel één of andere vorm van connectie. Dat betekent dat cybersecurity op orde moet zijn. In de oude machinerichtlijn stond hierover nog niets vermeld. Daar komt binnenkort gelukkig verandering in", begint Christophe Michiels, senior engineer Smart and Digital Factory bij Sirris, het collectief centrum van de Belgische technologische industrie.

Cybersecurity en de Machineverordening1
Christophe Michiels, senior engineer Smart and Digital Factory bij Sirris

De risico’s op een cyberaanval zijn reëel. "Er zijn inmiddels veel aanvallen bekend en technisch is het niet meer zo moeilijk om aanvallen te faciliteren. Hackers kun je – de ethische hackers buiten beschouwing gelaten – grosso modo in twee categorieën verdelen."

"Een eerste categorie wil heel doelgericht een specifiek bedrijf hacken en is op zoek naar een manier om binnen te geraken. Anderzijds zijn er veel georganiseerde cybercriminelen die op zoek zijn naar beveiligingskwetsbaarheden in netwerksystemen van bedrijven, zonder voorkeur voor een specifiek bedrijf of sector. Zodra ze een kwetsbaarheid hebben gevonden, onderzoeken ze welke omvang en type bedrijf ze kunnen hacken, voor ze daadwerkelijk toeslaan. Ze zullen eerst bekijken of het de moeite loont om te hacken met het oog om een bepaalde som losgeld te kunnen vragen."

Door de digitalisering neemt de complexiteit van machines toe. "Ook cybercriminelen worden slimmer. Het is dus niet zozeer de vraag of je bedrijf zal worden gehackt, maar wanneer dit zal gebeuren en welke omvang het zal hebben. Daarom heeft de nieuwe Machineverordening een aantal zaken opgenomen met betrekking tot cybersecurity, om bedrijven te wapenen tegen aanvallen."

Veiligheid, authentificatie en toegangsbeheer

De nieuwe verordening erkent dat digitalisering en connectiviteit een direct risico kunnen vormen voor de veiligheid van personen. Zo kunnen er fysieke en veiligheidsrisico’s ontstaan als de systemen gehackt worden. De verordening stelt dan ook eisen aan de toegangscontrole zodat alleen bevoegde personen toegang kunnen krijgen tot instellingen die van invloed zijn op de veiligheid van de machine.

Michiels: "Een PLC is een pc die specifiek is gemaakt voor productie-omgevingen om in- en outputs te verwerken. Een inlogprocedure ontbreekt in veel gevallen waardoor de risico’s reëel zijn dat onbevoegden machines kunnen manipuleren, eenmaal ze in een netwerk zijn binnengedrongen. Het risico is niet alleen dat een machine niet naar behoren werkt, maar er kunnen ook onveilige situaties ontstaan."

Cbersecurity en de Machineverordening
De machineverordening eist dat alleen bevoegde personen toegang kunnen krijgen tot instellingen die van invloed zijn op de veiligheid van machines

Beveiliging van software-updates

Machines moeten volgens de nieuwe verordening zodanig zijn ontworpen dat software-updates veilig kunnen worden uitgevoerd zonder de veiligheid van de machine in gevaar te brengen. Michiels: "Dit betekent dat de fabrikant ervoor moet zorgen dat software-updates, inclusief beveiligingspatches, veilig en gecontroleerd moeten kunnen worden toegepast. In de praktijk is dit momenteel een lastig punt, zeker bij de reeds aangeschafte machines."

"Het risico is niet alleen dat een machine niet naar behoren werkt, maar er kunnen ook onveilige situaties ontstaan"

"Eenmaal een bedrijf een machine heeft aangeschaft, zal deze in het lokale netwerk worden aangesloten. Doorgaans is de IT-afdeling verantwoordelijk voor de connectiviteit binnen het bedrijf. De software op gewone pc’s krijgt regelmatig een update, maar bij operationele technologie is het connecteren en up-to-date houden van software van machines vaak complexer. Daarom is het essentieel dat de IT-afdeling samenwerkt met mensen werkzaam op de shopfloor om na te gaan hoe het OT-gedeelte veilig kan blijven draaien. In grotere bedrijven is dit gemakkelijk te organiseren. In kleinere bedrijven is dat lastiger."

NIS2 en de Cyber Resilience Act

De Machineverordening is niet de enige EU-regelgeving met aandacht voor cybersecurity. Zo is er ook de NIS2 Richtlijn (EU) 2022/2555. "De machineverordening is bedoeld om de veiligheid van machines te waarborgen, inclusief de digitale en AI-componenten ervan terwijl de NIS2-richtlijn zich richt op het verbeteren van de cybersecurity op bedrijfsniveau", verduidelijkt Michiels.

"Als een bedrijf wordt gehackt en niet kan aantonen dat voldoende maatregelen zijn genomen om de cyberveiligheid te waarborgen, krijgt het bedrijf een boete en wordt de CEO persoonlijk aansprakelijk gesteld. Het is dus ten zeerste aan te bevelen dat bedrijven een incident response plan opstellen, zoals in de NIS2-richtlijn is beschreven. Dat betekent dat je een plan als hardcopy hebt klaarliggen waarop je kunt teruggrijpen zodra er een hack heeft plaatsgevonden, want mogelijk zijn computers op dat moment niet beschikbaar."

Cybersecurity en de Machineverordening7
De verordening erkent dat digitalisering en connectiviteit een direct risico kunnen vormen voor de veiligheid van personen

"Mijn advies is om dit ook, net zoals een brandoefening eens per jaar te oefenen door een simulatie. Als er zich een aanval voordoet, wat doe je dan? Wie heeft welke rol? Daarbij is het ook belangrijk om een secundair communicatiesysteem op te stellen, zoals een WhatsApp-groep met alle medewerkers. Als je mailsysteem niet meer werkt, moet je ook op een andere manier met de werknemers onderling kunnen communiceren."

Beveiliging van netwerkintegratie

Wanneer machines verbonden zijn met netwerken of deel uitmaken van een groter geheel, zoals gebruikelijk in Industrie 4.0- omgevingen, moeten zij bestand zijn tegen netwerkgebaseerde aanvallen die hun veiligheid kunnen ondermijnen. Dat stelt de nieuwe verordening. "Ook hier zullen bedrijven moeten nagaan hoe ze hun netwerk concreet inrichten om aanvallen te voorkomen."

Michiels geeft een aantal tips. "Wanneer bedrijven nieuwe machines kopen, is dit vaak een beslissing van het operationele team. Degene die verantwoordelijk is voor de connectiviteit wordt vaak pas betrokken zodra de machine is geleverd. Dit is eigenlijk te laat omdat niet alle machines die op de markt worden aangeboden, voldoende veilig zijn qua cybersecurity. Daarom bevelen we aan om een buyers guide op te stellen, zodat vóór de aankoop wordt gekeken of een machine voldoet aan bepaalde voorwaarden. Betrek ook IT meteen erbij voor je beslissingen neemt."

Bestaand machinepark

De aanpak bij oudere machines is anders. "Door legacy hardware en software die je niet kunt updaten is het lastig om ze 'cybersecure' te maken. Een optie om toch data uit te wisselen is door servers en services in een afgezonderd netwerk te plaatsen", stelt Michiels. "Ze worden in een DMZ geplaatst terwijl de machines in het netwerk zitten maar in afzonderlijke segmenten kunnen worden geplaatst (typisch gebeurt dit door ze in andere VLANS te plaatsen). Kortom, als bedrijf kun je diverse maatregelen nemen om oude machines toch veilig in je netwerk te integreren."

"De minimale segmentering die je als bedrijf zou moeten hanteren is dat je IT en OT van elkaar scheidt"

Een van de belangrijkste maatregelen is segmenteren. Michiels: "De minimale segmentering die je als bedrijf zou moeten hanteren is dat je IT en OT van elkaar scheidt, bijvoorbeeld met een firewall. Kwetsbare plekken zijn vaak aan de IT-zijde te vinden, waardoor de kans dat je gehackt wordt aan deze zijde vele malen groter is. Daarnaast kun je ook in je OT-omgeving meer segmenten aanbrengen. Als er een aanval gebeurt, kan alleen in een specifiek segment schade worden aangericht en niet in de hele fabriek. Segregatie is een andere optie. Hierbij scheid je verantwoordelijkheden, systemen of data op specifieke plekken om risico’s nog verder te beperken." 

Cybersecurity en de Machineverordening2
Voorbeeldvragen en antwoorden uit de Cybersecurity Awareness Kit
Cybersecurity en de Machineverordening
Voorbeeldvragen en antwoorden uit de Cybersecurity Awareness Kit
Cybersecurity en de Machineverordening3
Voorbeeldvragen en antwoorden uit de Cybersecurity Awareness Kit
Cybersecurity en de Machineverordening4
Voorbeeldvragen en antwoorden uit de Cybersecurity Awareness Kit
1/4

Bewustwording

Er zijn diverse maatregelen die je kunt nemen, maar een beveiliging is maar zo sterk als de zwakste schakel en dat zijn vaak de werknemers zelf. "Bewustwording creëren rond cybersecurity is daarom erg belangrijk. Je kunt bijvoorbeeld tijdens een dagstartoverleg of toolboxmeeting op regelmatige basis een aantal minuten bij cybersecurity stilstaan", zegt Michiels.

"Daarvoor hebben wij samen met mtech+, een federatie in de metaalsector, de Cybersecurity Awareness Kit uitgewerkt. Deze kit bestaat uit ruim 200 kaarten waarbij steeds op één zijde een vraag en op de andere zijde een antwoord rond cyberveiligheidstopics worden geformuleerd. Bijvoorbeeld: wat is ransomware? Wat is de betekenis van de term ‘dark web’. Door er de aandacht op te vestigen neemt de bewustwording rond cybersecurity en de daarbij behorende risico’s toe."

Krijg GRATIS toegang tot het artikel
of
Proef ons gratis!Word één maand gratis premium partner en ontdek alle unieke voordelen die wij u te bieden hebben.
  • checkwekelijkse newsletter met nieuws uit uw vakbranche
  • checkdigitale toegang tot 35 vakbladen en financiële sectoroverzichten
  • checkuw bedrijfsnieuws op een selectie van vakwebsites
  • checkmaximale zichtbaarheid voor uw bedrijf
Heeft u al een abonnement? 
Geschreven door Evi Husson

Meer weten over

machinerie safetycybersecurity software

Gerelateerde artikels

Bent u al klaar voor de nieuwe Europese Machineverordening?

De huidige Machinerichtlijn 2006/42/EG zal op 20 januari 2027 worden vervangen door de nieuwe EU-Machineverordening 2023/1230. Wat staat er te veranderen en waarom? Remy Van Bokhoven en Johan Van den Broeck van Schmersal geven alvast wat duiding.

Interview met Despina Spanou

Cybersecurity is een hot topic. Meerdere incidenten wijzen ons voortdurend op de ingrijpende gevolgen die een aanval kan hebben. We hadden een gesprek met specialiste Despina Spanou, die bij de Europese Commissie vooropgaat in de strijd.

Cybersecurity in de maakindustrie

Tijdens het Food Process Seminar focust IIoT Engineer Christophe Michiels op praktische tips en handvatten om de eerste stappen te zetten naar een cyberveilige productieomgeving. U leert hoe u gericht risico’s kunt verminderen zonder daarbij de operationele flexibiliteit te verliezen.

CNC-besturing wordt cybersafe

Tegenwoordig zijn CNC-machines vaak verbonden met het web; al dan niet continu. Dat biedt veel mogelijkheden, maar ook bedreigingen. Geen wonder dat de bouwers van de CNC-besturingen een belangrijke nieuwe functie toevoegen: cybersecurity.

Print Magazine

Recente Editie

Nu lezen

Ontdek de nieuwste editie van ons magazine, boordevol inspirerende artikelen, diepgaande inzichten en prachtige visuals. Laat je meenemen op een reis door de meest actuele onderwerpen en verhalen die je niet wilt missen.

In dit magazine
Cookies

Metallerie maakt gebruik van cookies om uw gebruikservaring te optimaliseren en te personaliseren. Door gebruik te maken van deze website gaat u akkoord met het privacy- en cookiebeleid.