Behoud het overzicht over uw netwerk en beveilig uw installatie integraal.
De EU heeft onlangs nieuwe richtlijnen geïntroduceerd om de cyber security te versterken, zoals de "Cyber Resilience Act" (CRA) en de NIS 2-richtlijn. Aan welke concrete verplichtingen zullen automatiseerders moeten voldoen?
Dr. Tebbe: Automatiseerders moeten zowel aan eisen van de CRA-richtlijn als aan eisen van de NIS 2-richtlijn voldoen. Hierbij streeft het CRA ernaar netwerkproducten gedurende de gehele levenscyclus te beschermen tegen onbevoegde toegang en manipulatie. Een belangrijk aspect hierbij is het op tijd beschikbaar stellen van veiligheidsupdates. De NIS 2-richtlijn breidt de voorschriften van de bestaande NIS 1-richtlijn verder uit en verplicht bedrijven, afhankelijk van categorie en sector, tot een effectief risicobeheer voor het gebruik van hun digitale infrastructuur en services. Net als bij de Cyber Resilience Act (CRA) moeten significante cyberincidenten aan nationale instanties worden gemeld. Dit betekent dat wij als fabrikanten en systeemintegratoren zowel onze infrastructuur als onze producten en systemen uitgebreid op mogelijke veiligheidsproblemen moeten controleren en de juiste veiligheidsmaatregelen moeten implementeren. Dit gaat vaak gepaard met lange ontwikkelingstijden. Bovendien moeten we zekerstellen dat onze leveranciers ook aan deze hoge normen voldoen, hetgeen een nauwe samenwerking en regelmatige audits vereist.
Het veiligheidsconcept conform IEC 62443 van WAGO omhelst onder andere veilige netwerken, beveiliging van informatie, gebruikersauthenticatie en kwetsbaarheidsbeheer.
Er is een nauwe interactie tussen de CRA en de NIS 2-richtlijn, aangezien deze betrekking heeft op zowel producten voor eindgebruikers als industriële componenten in kritische infrastructuren.
Hoe zet WAGO de nieuwe eisen om? Welke rol speelt de internationale norm IEC 62443 voor de cyber security in de industriële automatisering?
Dr. Tebbe: WAGO maakt al sinds geruime tijd gebruik van een ISMS - een Information Security Management System - op basis van de internationale standaard ISO 27001 en is hierdoor goed voorbereid op de eisen van de NIS 2-richtlijn. Voor de productontwikkeling hebben we een integraal veiligheidsconcept ontwikkeld dat op de internationale norm IEC 62443 baseert en gecertificeerd is. Deze norm is een belangrijke standaard voor de cyber security van industriële automatiserings- en besturingssystemen en bevat basismaatregelen om risico's te vermijden: hiertoe behoren bijvoorbeeld het gebruik van zogenoemde Trust-zones, een defense-in-depth-aanpak, Least Privilege-principes en het beheer van zwakke plekken. Deze maatregelen helpen ons om aan de veiligheidseisen van de nieuwe EU-richtlijnen te voldoen en onze producten gedurende de gehele levenscyclus optimaal te beschermen.
In de toekomst zullen producten die onder de "Cyber Resilience Act" vallen niet meer worden voorzien van een CE-keurmerk als deze niet voldoen aan de wettelijke vereisten. Op welke productklassen heeft dit betrekking?
Dr. Tebbe: De Cyber Resilience Act is een horizontale regelgeving en is zodoende van toepassing op alle klassen van producten waarin een digitale component of een digitale module is geïntegreerd. Er zijn slechts een paar uitzonderingen, bijvoorbeeld medische apparatuur of motorvoertuigen, waarop speciale regelgevingen van toepassing zijn. Huishoudelijke apparaten, smartphones of speelgoed vallen dus net zo goed onder de CRA als industriële besturingen en softwaretoepassingen. Om een CE-keurmerk te krijgen en op de Europese markt te mogen worden gebracht, moeten al deze producten in de toekomst dus ook voldoen aan de vereisten van de Cyber Resilience Act. Bijzonder belangrijke of kritische componenten moeten altijd door een geaccrediteerde keuringsinstantie op conformiteit worden gecontroleerd. Volgens de plannen van de EU dient dit echter voor een paar producten te gelden, die over het algemeen security-functies realiseren of ondersteunen. Voor alle andere producten volstaat een zelfbeoordeling, bijvoorbeeld op basis van een geharmoniseerde standaard. Een van de kandidaten voor een dergelijke geharmoniseerde standaard is de reeds genoemde IEC 62443. De procedure conform IEC 62443-4-1 en -4-2 adresseert de verplichtingen van de CRA over de gehele levenscyclus van het product en omhelst de principes "secure-by-design", "secure-by-implementation" en "secure-by-default". Pas na een succesvolle controle wordt het CE-keurmerk aangebracht en wordt de conformiteitsverklaring in het kader van de EG-richtlijnen opgesteld.
Welke rol speelt het "Product Incident Response Team" - PSIRT - bij WAGO met het oog op de integrale cyber security?
Dr. Tebbe: Het kwetsbaarheidsbeheer is bij ons al sinds jaren een vaste waarde. Ons PSIRT functioneert als centraal contactpunt voor de melding van zwakke plekken in onze producten en oplossingen. Het doel is om onze klanten te helpen hun toepassingen en processen optimaal te beschermen. Het team beoordeelt potentieel zwakke plekken, overlegt met relevante stakeholders zoals de ontwikkelingsafdeling en het productmanagement en neemt de noodzakelijke maatregelen – van aanbevelingen en updates tot patches. Een voorbeeld van ons werk is het verhelpen van een zwakke plek die we samen met het bedrijf Intilion bij switches in accuopslagsystemen hebben verholpen. Dankzij de gestructureerde processen van PSIRT konden we het potentiële gevaar zo snel mogelijk elimineren. Ons team werkt continu aan de uitbreiding van deze processen naar alle nieuwe en bestaande producten.
Hoe weten klanten of en in welke producten er sprake is van een potentieel gevaar?
Dr. Tebbe: Bij de coördinatie en publicatie van informatie gaan we niet alleen te werk, maar worden we ondersteund door onze coördinatiepartner, CERT@VDE, als onderdeel van de Duitse branchevereniging van elektrotechnici. CERT@VDE informeert over bugfixes en veiligheidslekken door zogenoemde advisories en biedt aanvullend een RSS-feed aan. Om de informatieveiligheid als kritische succesfactor voor Industrie 4.0 en de digitalisering te versterken, heeft de VDE een IT-beveiligingsplatform geïmplementeerd. Dit platform dient als centraal contactpunt voor klanten. Veiligheidslekken van verschillende bedrijven worden hier gebundeld en concrete oplossingen worden ter beschikking gesteld.
Wat adviseert u bedrijven om bij de realisatie van veiligheidsmaatregelen in acht te nemen en hoe ondersteunt u hierbij?
Kilian Fröhlich: Bedrijven moeten zowel hun OT- als IT-netwerken in de gaten houden en een uitgebreid veiligheidsconcept implementeren. Dit wordt ook in de NIS2-richtlijn voorgeschreven. WAGO biedt hiervoor advies op het gebied van OT-security aan, dat door een combinatie van hard- en softwareoplossingen wordt aangevuld. Een voorbeeld hiervan is onze samenwerking met Radiflow om wereldwijd integrale OT-security oplossingen aan te kunnen bieden die zijn afgestemd op de individuele behoeften van speciale markten zoals Smart Factory, Smart Building of Smart Energy. Dankzij onze knowhow op het gebied van industriële automatisering en de expertise van Radiflow op het gebied van OT-cyber security kunnen we in integraal security-advies voorzien en helpen we onze klanten om OT-netwerken zo veilig mogelijk vorm te geven.
Integrale cyber security: door de samenwerking met OT-security-specialist Radiflow implementeert WAGO innovatieve oplossingen voor de real time bewaking en de analyse van veiligheidslekken.
WAGO hanteert een integraal veiligheidsconcept om producten en systemen optimaal tegen mogelijke cyberdreigingen te beschermen.
Kunt u een voorbeeld van het samenspel van de Radiflow-softwareoplossingen en uw producten resp. oplossingen noemen?
Fröhlich: Ons klantenadvies is opgedeeld in twee fasen om de aanvalsvectoren in netwerken van klanten systematisch te verkleinen. In de eerste fase ligt de nadruk op de netwerkbewaking en de detectie van afwijkingen. Op basis hiervan kan in de tweede fase een grotendeels geautomatiseerde risicobeoordeling en afleiding van maatregelen worden uitgevoerd. Een goed voorbeeld van de eerste fase van de samenwerking is de naadloze integratie van Radiflows iSID in het softwarelandschap van WAGO. Dit complete "Intrusion Detection"-systeem draait op onze Edge Devices en wordt bij ons "WAGO Cybersecurity Network Sight" genoemd. In grote netwerken vereenvoudigen speciale netwerktaps, de "WAGO Cybersecurity Collectors", de bewaking. Bovendien kunnen de verzamelde OT-gegevens ook worden benut voor het asset management – onder het motto: "Je kunt alleen beschermen wat je kent." Zo reduceren we de handmatige inspanningen en de personeelskosten van onze klanten.
Hoe kunnen bedreigingen in de OT-omgeving herkend en geminimaliseerd worden?
Fröhlich: Bedrijven moeten hun huidige OT-veiligheidsmaatregelen herzien en een omvangrijke risicobeoordeling uitvoeren. Met "WAGO Cybersecurity Analysis" bieden we, baserend op Radiflows "Ciara", een tool die de eindklant in staat stelt om dreigingen te identificeren, risico's te beoordelen en gerichte veiligheidsmaatregelen zoals netwerksegmentatie te realiseren. Dit maakt een efficiënte beperking van het risico mogelijk. Het platform ondersteunt klanten bij de continue bewaking en aanpassing van de veiligheidsstrategie om de conformiteit met internationale standaards zoals NIST, IEC 62443 en ISO 27001 te waarborgen. Dit is met name belangrijk voor bedrijven die actief zijn in sectoren die sterk gereguleerd zijn.