Met de komst van de vierde industriële revolutie, ook wel bekend als Industrie 4.0, kunnen machines, apparaten en systemen met elkaar communiceren en data delen via het internet. Processen kunnen hierdoor sterk worden geoptimaliseerd, maar het vergroot tegelijk ook de kwetsbaarheid voor indringers. Met nieuwe wetgeving legt de EU de verantwoordelijkheid voor cyberveilige systemen en producten bij de eigenaren, fabrikanten en importeurs.
‘We willen dat mensen nadenken over de veiligheidsrisico’s van verbonden apparaten’
In 2030 zijn naar schatting 32 miljard (Industrial) Internet of Things-apparaten (IoT) direct verbonden met het internet. De apparaten kunnen gegevens verzamelen, uitwisselen en analyseren, maar zijn misschien niet allemaal even goed (meer) beveiligd. Het maakt het aanvalspotentieel voor hackers schier oneindig, constateert Harm Geurink, Product Manager Industrial Automation bij Phoenix Contact. Het Duitse familiebedrijf, opgericht in 1923, is gespecialiseerd in industriële aansluittechniek en automatisering. ‘We ondersteunen bedrijven bij hun beveiligingsvraagstukken door de markt te informeren over nieuwe wetgeving, zoals de Cyber Resilience Act (CRA) en de Network and Information Security-Richtlijn 2 (NIS2), via publicaties en webinars,’ aldus Geurink. ‘Ons doel is om bewustwording te creëren en bestuurders en bedrijfsleiders aan te zetten tot actie. We willen dat mensen nadenken over de veiligheidsrisico’s van verbonden apparaten. Het belangrijkste deel van onze producten voldoet al aan internationale standaarden zoals IEC 62443 en wordt wereldwijd ingezet om industriële machines en installaties meer secure te maken. Daarmee bieden wij klanten niet alleen advies, maar vooral ook concrete, gecertificeerde oplossingen die bijdragen aan een veiligere industriële omgeving.’
Het Zero Trust-principe
‘Cybercriminelen ontwikkelen steeds geavanceerdere hackingmethodes en -tools, die zelfs ook in abonnementsvorm te koop zijn op het darkweb’, vertelt Geurink. De combinatie van een enorm potentieel aan aan te vallen apparaten en de snel groeiende groep hackers, zorgt voor een explosieve toename aan cyberincidenten. Hij wijst erop dat je er als organisatie alles aan moet doen om te voorkomen dat kritische systemen, zoals het waterbeheer, tijdelijk niet toegankelijk zijn waardoor de maatschappij wordt ontwricht. Volgens het Zero Trust-principe moet je altijd uitgaan van een hack, stelt hij. ‘Onderzoek toont aan dat de kans één op vijf is. Sommigen zeggen zelfs één op één.’ Professionele hackers bereiden zich vaak maandenlang voor op een aanval. Bij ransomware-aanvallen is de gemiddelde tijd dat een hacker al in het systeem zit en zich op de aanval voorbereidt twee maanden. Ze doen onderzoek naar het lokale netwerk, kijken waar ze het hardst kunnen toeslaan en onderzoeken of de organisatie een cyberverzekering
heeft om het losgeld te verhogen.’ Wat extra zorgwekkend is, is dat het verdienmodel is uitgebreid naar dienstverlening. ‘Hackers beschikken over professionele tools die ze op het darkweb voor bijvoorbeeld 40 dollar per maand verhuren, inclusief helpdesk. Hierdoor kunnen mensen met weinig technische
kennis op een eenvoudige manier en zonder grote investeringen beginnen met hacken.’ Geurink benadrukt dat hij met zijn verhaal geen angst wil zaaien. ‘Ik wil mensen aanzetten tot nadenken over de gevaren en beveiliging van verbonden apparaten. Veel apparaten zijn laagdrempelig, maar brengen ook veiligheidsrisico’s met zich mee.’ Als voorbeeld noemt hij de videodeurbel bij de voordeur, die razend populair is. ‘Die is via de app verbonden met het internet. Een videodeurbel is een potentieel cybersecurityrisico als deze niet is voorzien van de laatste security-updates en de leverancier wellicht toegang heeft tot het lokale netwerk waarmee de deurbel is verbonden.’
De Cyber Resilience Act
Europa is zich terdege bewust van de toenemende dreigingen, stelt Geurink. ‘Al in 2016 is de NIS-wetgeving geïntroduceerd, gericht op vitale infrastructuren, zoals banken, energiebedrijven en waterschappen. Met de nieuwe NlS2-richtlijn verplicht Europa een grotere groep bedrijven haar systemen tegen cyberaanvallen te beschermen. In Nederland wordt de richtlijn omgezet naar de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Hierbij is sprake van hoofdelijke aansprakelijkheid voor bestuurders van de organisaties die onder de NIS2 vallen. Daarnaast gelden zware boetes voor niet-naleving van de wettelijke verplichtingen. ‘Aan de strenge eisen van de NIS 2-richtlijn kan eigenlijk alleen worden voldaan, wanneer de gebruikte producten volgens het security-by-design- principe zijn ontwikkeld,’ vertelt hij. Om dit op te lossen heeft de EU de Cyber Resilience Act (CRA) opgesteld. ‘Uiteindelijk zorgt de CRA voor een veiliger IoT. Het verplicht leveranciers om aan te tonen dat hun producten goed zijn beveiligd. Dat geldt voor zowel consumentenproducten als industriële producten.’ Geurink maakt hierbij de vergelijking met de Machinerichtlijn, die sinds 1995 in werking is. ‘Als fabrikant ben je al ruim 30 jaar verantwoordelijk voor een veilige machine. Die verantwoordelijkheid wordt nu uitgebreid naar cybersecurity.’
‘Verouderde’ producten
‘Fabrikanten, importeurs en winkeliers mogen straks alleen nog goed beveiligde apparaten verkopen. Als importeur of winkelketen ben je aansprakelijk dat de apparaten die je verkoopt voldoen aan Europese wetgeving, waaronder de CRA. De CRA verplicht fabrikanten om producten met digitale elementen, die direct of indirect verbonden zijn met een ander apparaat of een netwerk (IoT), te ontwikkelen volgens het security-by-design-principe. Dit betekent dat vanaf het ontwerp, de ontwikkeling en de productie al rekening moet worden gehouden met cybersecurity. Achteraf beveiliging toevoegen is niet meer voldoende.’ Het houdt ook in dat fabrikanten “verouderde” producten met digitale elementen compleet opnieuw moeten ontwikkelen of versneld uit hun leveringsprogramma moeten nemen. ‘Vanaf eind december 2027 mogen apparaten die vallen onder de CRA en die niet volgens het security-by-design-principe zijn ontworpen niet meer worden geleverd. Ook machinebouwers moeten wellicht hun ontwerp herzien om te voldoen aan de nieuwe eisen. Veel van de bestaande apparaten, machines of installaties kunnen niet zomaar worden aangepast. Dat betekent dat een nieuw ontwerp nodig is en bedrijven alternatieven moeten zoeken.’ Het leidt tot een dringend advies aan bedrijven die investeringsplannen hebben. ‘Automatiseer niet op basis van “verouderde” producten, maar kies meteen voor producten die ontwikkeld zijn volgens een security-by-design-ontwerpproces én een cybersecurity-certificering hebben. Zodat je niet in december 2027 erachter moet komen dat je verkeerd hebt ingekocht. Uiteindelijk zal de CRA de cyberveiligheid in Europa verhogen maar zal het ook de innovatie vertragen en de kosten verhogen,’ verwacht Geurink
Het security-by-design-principe
Security-by-design betekent dat vanaf het ontwerp, de ontwikkeling en de productie al rekening moet worden gehouden met cybersecurity. Daarbij kan worden aangehaakt bij de internationale IEC 62443-standaard voor het waarborgen van cybersecurity binnen industriële automatisering en besturingssystemen. IEC 62443 is een wereldwijd erkende set aan richtlijnen en best practices voor het beveiligen van operationele technologie (OT) tegen cyberdreigingen. Door de implementatie van IEC 62443 kunnen organisaties een systematische aanpak hanteren om hun producten en systemen te beschermen, risico’s te beheren en de integriteit van hun operationele processen te waarborgen.
