Cyber security: van ‘kostenpost’ naar gedragsverandering
Nieuws | 3 februari 2020
Reportage
Omdat online veiligheid vooral gedrag is – en niet zozeer techniek – leren 25 technici in de ICD-workhop Cyber Security een hack van fabriekssystemen voorkomen. Niet alleen medewerkers van ICD-bedrijven ook concullega’s van andere bedrijven sluiten aan. Bij serieuze bedreigingen kun je elkaar immers beter waarschuwen en helpen dan beconcurreren.
De cursisten hebben nauwelijks hun laptops geïnstalleerd of enkele Raspberry Pi’s beginnen te trillen en te ‘tjirpen’. De computertjes liggen op de tafels en zijn verbonden met de meegebrachte laptops om vandaag praktijksituaties te simuleren. Een enkeling moppert geen verbinding te kunnen maken met het lokale wifinetwerk. Anderen negeren een melding om een nieuw wachtwoord aan te maken. ,,Ik maak het de cursisten vandaag wat moeilijker’’, lacht Vincent Denneman. Hij is student ICT Technology en Cyber Security aan de Fontys Hogeschool in Eindhoven en verdient een zakcentje bij als ‘hacker’. ,,Zojuist heb ik een berichtje gestuurd dat het password gewijzigd moet worden. Wie dit bericht opvolgt denkt zijn wachtwoord te veranderen, maar geeft in werkelijkheid toestemming aan mij om zijn systeem over te nemen. Ondertussen denkt de gebruiker dat hij met een nieuw wachtwoord veilig is.’’
Urgentie
Een lekkere binnenkomer, maar noodzakelijk om de urgentie van goed beveiligde systemen te voelen. De hele dag breekt Vincent in en laat hij activiteiten afgaan die niet de bedoeling zijn. Zo traint hij samen met cursusleider Egbert-Jan Sol, directeur bij TNO en programmadirecteur Smart Industry, bewustzijn op de gevaren die bedrijven met digitale systemen lopen. ,,Dat is nodig, want veiligheid wordt maar al te vaak gezien als kostenpost’’, houdt Sol de het mannenpubliek voor. ,,Wie data deelt loopt grote risico’s, groter dan menig bedrijf zich bewust is. Vandaag ga je zelf ervaren wat het is om gehackt worden, dat maakt je alerter op de risico’s waaraan je bloot staat. Maak je borst maar nat! Als je op school zou zitten zou je een half jaar doen over wat wij vandaag in één dag bespreken.’’
Open source
Zo tegenstrijdig als het lijkt en bewust van alle risico’s pleit Sol voor meer gebruik van open source. ,,Vijf jaar geleden zou ik dat niet durven zeggen, maar tegenwoordig is open source betrouwbaar. Niet alleen de software, maar ook de hardware. En het kost tegenwoordig een fractie van wat je er jaren geleden voor moest betalen. Kijk maar naar de PI.’’ Sol signaleert een trend, maar merkt meteen op dat iemand die al jaren in de IT werkt en vertrouwt op systemen van de bekende grote merken niet met open source mee wil werken. ,,Men twijfelt aan de betrouwbaarheid, zeker in de productieomgeving van een fabriek. Maar dat is aan het veranderen.’’ Naast de kostprijs van open source die aantrekkelijk is voert Sol aan dat iedereen aan oplossingen werkt om open source beter te maken. ,,Daardoor is het minstens zo goed bestand tegen inbraken als de gevestigde systemen en bovendien veel flexibeler.’’
Data
,,Dit is interessant’’, vindt Christian van der Kooi. Hij is businessanalist bij CSK Food Enrichment en bezig met een fabrieksoptimalisatie. ,,Ik ben hier naar toegekomen omdat ik meer wil weten over de beveiliging van data. Ik ben zelf geen programmeur, dus de praktijkoefeningen met de PI zijn niet aan mij besteed. Wel interessant is te horen wat anderen doen om bedrijfssystemen en data te beschermen. En misschien zit er een interessante samenwerking in met een van deze bedrijven. Want je kunt elkaar beter waarschuwen en helpen in plaats van slimme oplossingen alleen voor jezelf te houden.’’
Supply chain
Je eigen beveiliging kan nog zo goed op orde zijn, als dat niet geldt voor de hele supply chain dan is het nog lastig om cyberaanvallen en hacks te weerstaan. De keten is immers zo sterk als de zwakste schakel. Sol: ,,PLC’s worden IoT-computers en je ziet steeds vaker dit soort computers ingebouwd in eindproducten om allerlei data te verzamelen over het eindgebruik. De ambitie van de smart industry is om tot ‘zero defaults’ te komen. Daarom verzamel je data. Deze data is goud waard en wil je beschermen. Net als data van de gehele levensduur van een product. Welke data is bijvoorbeeld nodig om te begrijpen wat een klant doet? Welke data is dus écht van belang voor de klant om beter te functioneren? Deze data haal je uit het product, van alle exemplaren, bij alle gebruikers, altijd. De klant koopt dus een service en geen product meer. Dit maakt dat we gigantische hoeveelheid data gaan verzamelen. En dat willen we allemaal beschermen tegen onwenselijk gebruik.’’
De case
Tijd voor de opdracht. In een groot warenhuis liggen peren opgeslagen. Het binnenklimaat kent een constante temperatuur en luchtvochtigheid en alles werkt zo energiezuinig mogelijk. Een speciale sluis van deuren geeft toegang tot het warenhuis. De opdracht: vindt uit hoe deze deuren zo optimaal mogelijk gebruikt kunnen worden met het minste energieverlies, waarbij het binnenklimaat constant blijft. Deze opdracht komt volgens Pieter Haantjes, service engineer bij YP Your Partner, zo uit de praktijk. ,,Het had zo mijn werk kunnen zijn! Wij beheren, monitoren en beveiligen installaties van Hamburg tot Amsterdam. De kwaliteit van het water in het olifantenverblijf in Artis wordt bijvoorbeeld met onze software gemonitord.’’ Ook houdt Haantjes in de gaten of veiligheidssystemen goed werken. ,,Daarom is het interessant om aan deze workshop mee te doen. Ik leer weer andere invalshoeken, die ik in mijn werk kan gebruiken.’’
Begrijpelijk
Dat is precies is de bedoeling van de workshop, naast het ontwikkelen gevoel voor urgentie voor het toenemen van cyberrisico’s in de productieomgeving. Steeds meer productieapparatuur wordt aan het fabrieksnetwerk en aan internet gekoppeld. Dankzij de grotere hoeveelheden data en de analyse ervan kunnen processen worden bijgestuurd. Maar met de koppeling van de productie aan het kantoordomein en internet ontstaan nu juist de cyberrisico’s. Daarom moeten productielijnen en apparatuur veilig worden gekoppeld. Bij een hack kan de schade immers groot zijn. Daarom moeten cyberrisico’s begrepen worden, zodat bedrijven passende maatregelen kunnen nemen. Dat is precies de reden waarom informatieadviseur Sjaak Stuiver van gemeente Weststellingwerf ook meedoet. ,,Nou ja, vooral meeluistert’’, verklaart Stuiver zijn deelname. Hij is ambtenaar, geen techneut en kan ook niet programmeren. ,,Ik ben vandaag de vreemde eend in de bijt, maar ik voel wél de urgentie van het probleem. Wij hebben nu te maken met de haperende Citrixbeveiliging waardoor een deel van onze systemen noodgedwongen platligt.’’ Stuiver wil vooral begrijpen wat cyberrisico’s precies zijn en vindt het ook wel vermakelijk om te zien hoe gemakkelijk professionals zich laten hacken. ,,Ik ben verrast door de eenvoud waarmee je een systeem kunt binnenkomen en data kan verzamelen. Met deze kennis kan ik nu beter aan collega’s en ondernemers in onze gemeente uitleggen aan welke risico’s ze mogelijk bloot staan. (lachend) Nou, dat brengt een ambtenaar dus bij deze workshop!’’