Industry 4.0 stelt nieuwe eisen aan cybersecurity

Industriële cybersecurity is een hot topic. Dat was duidelijk op het event rond innovatieve cyberbeveiliging voor Industry 4.0 dat TomorrowLab organiseerde samen met Howest, UGent en Vlaio. Het risico op een cyberaanval is groot en omdat alles met elkaar verbonden is, zijn de gevolgen van een aanval ook groot geworden. Tegelijk maakt dat toestellen, machines etc. ook heel moeilijk te beschermen.

‘Om een systeem veilig te houden moet je het continu updaten’, zegt Kurt Callewaert, professor Computer & Cyber Crime op Howest. ‘Dat is al vervelend op je pc of smartphone, maar in de industrie is het vaak zelfs onmogelijk om een machine uit te schakelen en een update te installeren, omdat dan bijvoorbeeld de hele productie stilvalt.’

Om een antwoord te bieden op de uitdagingen waarmee onze industrie op het vlak van cybersecurity geconfronteerd wordt, begon Callewaert het Proeftuinproject samen met UGent en Vlaio. ‘IT en IoT (Internet of Things, red.) zijn twee compleet verschillende dingen’, stelt hij. ‘Vroeger was het ondenkbaar dat industriële toepassingen aan het internet werden gekoppeld. Nu de mogelijkheid er is, willen mensen vanop afstand kunnen samenwerken, machines beheren. De gewoontes op het vlak van cybersecurity die goed ingeburgerd zijn in de corporate omgeving moeten we nu vertalen naar de industrie. Maar niemand lijkt erg happig om die vertaalslag te maken. In veel bedrijven is er zelfs nog altijd geen policy over paswoorden op machines.’

Veilige authentificatie

Om ‘veilig’ in te loggen maken we nog te vaak gebruik van de combinatie login en paswoord. ‘Maar we weten intussen dat die combinatie qua beveiliging een ramp is’, zegt Hendrik Ballegeer, Senior Innovation Designer bij TomorrowLab. ‘Onderzoek heeft uitgewezen dat een persoon die nu ongeveer 20 jaar online is gemiddeld 80 combinaties heeft gehad van diezelfde paar logingegevens. Vaak worden op toestellen de paswoorden behouden die de fabrikant bij productie heeft ingesteld op alle toestellen. Dat is natuurlijk een droom voor hackers.’

Het alternatief is een multifactorverificatie bijvoorbeeld met een token of een eenmalig paswoord dat je op je smartphone ontvangt. Het principe is de combinatie van something you are (biometrische gegevens), something you do (de snelheid waarmee je een paswoord typt) of something you have (je smartphone) met something you know (je paswoord).

Een van de belangrijkste spelers wereldwijd op het vlak van veilige authentificatie online en documenten elektronisch ondertekenen is het Belgisch-Amerikaanse OneSpan. Dat bedrijf – tot voor 2018 Vasco Data Security – is de ontwikkelaar van de digipass, ‘het bakske’ dat we allemaal gebruiken voor internetbankieren. De digipass bestaat al twintig jaar en daar zijn goede redenen voor, want omdat ‘het bakske’ op geen enkele manier verbonden is met de app voor internetbankieren zelf, zijn er geen fysieke mogelijkheden om het te hacken.

De expertise van OneSpan in cybersecurity voor de banksector past het nu al toe in talloze andere sectoren en zou van groot belang kunnen zijn voor Industry 4.0. ‘Wij kunnen instaan voor de veiligheid van elk platform waar online een identiteit moet worden geauthentificeerd of een document elektronisch moet worden ondertekend. En we beheren en beveiligen de volledige lifecycle van dergelijke processen’, zegt Giovanni Verhaeghe, Vice President bij OneSpan.

‘Elk individu bouwt een digitale omgeving op, maar niet elk element daarvan moet even sterk beveiligd worden. Ik kan me voorstellen dat je voor je vakantiefoto’s niet dezelfde beveiliging wilt, als voor je financiële gegevens. Het is dus zaak om data correct te identificeren en gepast te beveiligen. Hetzelfde geldt voor Industry 4.0: wat OneSpan voor individuen doet, kunnen we ook perfect voor de industrie en IoT.’

OneSpan werkt al geruime tijd samen met TomorrowLab en Verhaeghe vindt dat partnership bijzonder interessant omdat het OneSpan helpt om te kijken wat er in andere sectoren gebeurt. ‘We zien het als een manier om ideeën te delen, maar ook als een validatieplatform om nieuwe ideeën af te toetsen. TomorrowLab heeft toegang tot data die wij niet hebben, maar wel nuttig is voor ons.’ Ballegeer vult aan: ‘Wij weten vanuit onze visie op de toekomst, wat er op ons afkomt en daarmee challengen we bedrijven als OneSpan terwijl zij ons laten inzien hoe hun expertise toepassingen kan vinden buiten hun specifieke sector.’

Vijf voor twaalf in Vlaanderen

Expertise delen en elkaar inspireren is een must. Vooral in Vlaanderen, waar we op het vlak van cybersecurity voor de industrie achteroplopen in vergelijking met de buurlanden. ‘We zeggen lachend wel eens dat er maar twee soorten bedrijven zijn. Bedrijven die al gehackt werden en bedrijven die nog niet weten dat ze al gehackt werden’, zegt Callewaert. ‘Dat is misschien wat overdreven, maar er is toch een groot risico.’

‘Er is in Vlaanderen een groot gebrek aan talent in cybersecurity en er wordt behalve door ons op Howest geen onderwijs in voorzien, terwijl we nochtans snel in actie moeten schieten.’ Verhaeghe is het daar volmondig mee eens: ‘Dat gaat de komende jaren alleen maar problematischer worden, omdat er veel vlugger vacatures gaan bijkomen dan talent.’

Met het Proeftuinproject wil Callewaert vooral aan bewustwording doen bij Vlaamse bedrijven. ‘Om sneller actie te kunnen ondernemen naar de bedrijven werken we samen met de cybersecuritycommissie en het VBO. Daarom zijn events als het cybersecurity event bij TomorrowLab zo belangrijk. We kunnen iedereen die ermee bezig is bijeenbrengen en cases delen.’

Dit artikel is eerder gepubliceerd in het branded channel van TomorrowLab.