Industrie 4.0, de risico’s en aanbevelingen

29 april 2019 Jouke Albeda
In dit artikel:

Door de opkomst van nieuwe technologieën ontwikkelt zich een nieuwe vorm van industriële productie, aangeduid als smart manufacturing of ‘Industrie 4.0’. Het gebruik van deze nieuwe technologieën brengt vooruitgang, maar creëert ook nieuwe risico’s. De uitdagingen die de introductie van deze technologieën met zich meebrengt zijn in heel Europa aan de orde. Daarom heeft het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) eind vorig jaar een onderzoeksrapport gepubliceerd met aanbevelingen en maatregelen voor de beveiliging van Industrie 4.0. Het rapport draagt de titel ‘Good practices for Security of Internet of Things in the context of Smart Manufacturing’1. Het is een nuttig en praktisch bruikbaar rapport voor de IT Auditor.

De opkomst van nieuwe technologieën zoals Internet of Things (IoT), Artificial Intelligence (AI), Machine Learning (ML) en Robotic Process Automation (RPA) brengt nieuwe risico’s met zich mee. De EU-brede problematiek van een explosief groeiende hoeveelheid data die wordt verwerkt heeft ENISA in november 2017 getriggerd een beveiligingsrichtlijn (‘Baseline Security Recommendation for IoT’) op te stellen.2 Doel was om bedrijven te helpen de risico’s van deze nieuwe technologieën te beheersen. Ruim een jaar verder zien we dat deze trends zich verder doorzetten. Zo begint de digitale accountant onderdeel van de accountantscontrole te worden3, gebruikt de politie kunstmatige intelligentie om oude politiezaken te onderzoeken4 en wordt de blockchain steeds meer gebruikt door verzekeraars en banken5,6. Dit vormde voor ENISA de aanleiding voor een vervolgonderzoek. Het is een uitgebreide literatuurstudie waarbij gebruik is gemaakt van meer dan vijftig wereldwijd gebruikte standaarden, frameworks en initiatieven van onder andere ISO, IEC en NIST. Het rapport geeft voor alle aanbevolen maatregelen verwijzingen naar die standaarden, zodat je inzicht krijgt in de overlappingen. Ook zijn de ontwikkelingen in wet- en regelgeving meegenomen en wordt specifiek verwezen naar de AVG. Zodoende neemt deze ‘good practice’ maatregelen mee die nodig zijn om te voldoen aan meerdere standaarden, frameworks en wet- en regelgeving.

Industrie 4.0 en smart manufacturing

Industrie 4.0 is een recent ontstane aanduiding voor de nieuwe ‘slimme’ industriële productie met inzet van de genoemde nieuwe technieken zoals IoT, AI en ML. Door integratie van Informatie Technologie (IT) en Operationele Technologie (OT) vindt er verdere automatisering plaats in de industriële wereld zoals we deze kennen. Het gebruik van deze opkomende technologieën en het gebruik van sensoren en geconnecteerde apparaten, laten systemen nog efficiënter en effectiever functioneren. Ook kunnen deze technologieën zelf beslissingen nemen op basis van beschikbare informatie. Deze innovaties leiden tot smart manufacturing, kortom slimmere industriële productie. Apparaten communiceren onderling en kunnen de productiviteit verhogen en de productiekwaliteit verbeteren.

Een toenemende automatisering en onderlinge communicatie tussen devices en systemen zorgen ervoor dat er meer geautomatiseerde controles komen en meer data ontstaat. Smart manufacturing maakt de nieuwe industrie, Industrie 4.0, meer beheersbaar en controleerbaar. Meer, en verdere ontwikkeling van automatisering zal resulteren in meer werk voor de IT-auditor.

De ‘good practices’

Zoals gezegd, heeft het vervolgonderzoek van de ENISA geleid tot een document met good practices. Het document beschrijft de vernieuwde industriële IoT (met Industrie 4.0 en smart manufacturing), geeft voorbeelden van uitdagingen in de beveiliging waar we mee te maken krijgen en komt op gestructureerde wijze uit op de verschillende middelen/assets die (kunnen) meespelen in smart manufacturing. Ook komen verschillende voorbeelden van dreigingsscenario’s aan bod. Via een uitgebreide dreigingen- en risicoanalyse komt ENISA vervolgens tot een set aanbevolen maatregelen.

Deze maatregelen zijn geordend naar de volgende drie de gebieden:

  • Beleid en procedures
    Binnen organisaties is voldoende aandacht nodig, van voldoende niveau, voor cybersecurity. Dit moet geregeld worden in beleid en procedures. Ontwerp- en beheerrichtlijnen zijn hier onderdeel van.
  • Organisatorische maatregelen
    Binnen de organisatie moet de governance op orde zijn en moeten beveiligingsprincipes worden vastgesteld. Bepaald moet worden wat de regels zijn en waar de verantwoordelijkheden liggen: hoe om te gaan met cybersecurity-incidenten, met kwetsbaarheden en hoe wordt de veiligheid gewaarborgd?
  • Technische maatregelen
    Belangrijk in het technologisch domein zijn de technische maatregelen. Hierbij worden beveiligingsmaatregelen aangevuld met gerelateerde maatregelen zoals maatregelen ten behoeve van infrastructuur en continuïteit.

De maatregelen zijn meer principle-based dan rule-based beschreven. Het document geeft dus geen recept voor een blinde implementatie van maatregelen, maar beschrijft zo concreet mogelijk de onderliggende principes.

Wet- en regelgeving

Door de komst van de AVG is de beveiliging van eventuele persoonsgegevens een extra aandachtspunt bij het verwerken van grote hoeveelheden data. Naast de AVG die in de EU geldt, zie je ook wereldwijd meer aandacht voor cybersecurity. In de Verenigde Staten is in 2017 bijvoorbeeld de ‘US IoT Cybersecurity Improvement Act’ geïntroduceerd.7 Bij het opstellen van regelgeving wordt dan ook gekeken naar nationale en internationale standaarden, zoals die van NIST en ISO. Ook bij de AVG is er een zekere overlapping met nationale en internationale standaarden. Het voldoen aan een breed scala aan standaarden, zoals geïncorporeerd in de good practices van ENISA, helpt je om snel, soms ook direct, te voldoen aan huidige wet- en regelgeving en wet- en regelgeving die gaat komen. De ENISA heeft in de studie gebruikgemaakt van meer dan vijftig standaarden, initiatieven en frameworks van onder andere ISO, IEC en NIST. Het ENISA-rapport verwijst bij elke voorgestelde maatregel naar de relevante standaarden. Hierdoor kun je als gebruiker van het rapport de overlappingen vanuit compliance-oogpunt zelf bepalen. Omdat de AVG enkele specifieke eisen stelt zijn deze apart meegenomen in het rapport.

Relevantie voor de RE

De RE kan verschillende rollen vervullen, waaronder de audit-, de advies-, de quality assurance- en de implementatie-rol. Voor alle rollen kan dit document zeer waardevol zijn, zeker in een omgeving die gebruik maakt van IoT. In de implementatie-rol – voor het implementeren van de good practice zelf – zijn de gestructureerde aanpak en de definiëring van middelen, dreigingen, risico’s en maatregelen te gebruiken in de eigen risicoanalyse en kunnen ze uitdagen tot een uitgebreidere analyse. De maatregelen die ENISA noemt, kunnen via de leidende structuur in het rapport worden vertaald in concrete maatregelen voor het bedrijf. Vanuit een quality assurance-rol kan de RE de structuur heel mooi gebruiken om bij een implementatie-project bij smart manufacturing te toetsen of de juiste risico’s op de juiste manier worden afgedekt.

Ook is het document bruikbaar om vanuit een auditrol de risicoanalyse en de beveiligingsmaatregelen te toetsen. Deze ‘good practice’ geeft de RE houvast op het gebied van risico’s en maatregelen die van groot belang kunnen zijn voor de betreffende onderneming.

Kortom, het rapport is een welkome en veelzijdig bruikbare handreiking voor de IT-auditor!

Geen categorie

J. (Jouke) Albeda MSc RE CISSP | Security & Compliance manager bij Datacenter.com

Jouke’s interessegebied en rode draad in zijn carrière, is de koppeling tussen business-doelstellingen en de inrichting van de techniek. Dit zowel als auditor (kwaliteitschecks) als vanuit een adviesrol (hoe de aansluiting te verbeteren). Voor zijn overstap naar Datacenter.com was Jouke werkzaam bij BDO Audit & Assurance, Ernst & Young Advisory en DataLogix. Naast managementervaring heeft hij ruime ervaring met audits op de terreinen ERP (SAP, MS Dynamics), compliance (ISAE, PCI DSS, SOX, J-SOX en compliance in het kader van Europese Commissie) en business continuity. Ook is hij thuis op het terrein van logische en fysieke datacenter-beveiliging.