Studenten hogeschool verkennen wereld van OT-security

6 oktober 2022

Tweedejaarsstudenten Technische Informatica aan de Hogeschool Rotterdam hebben onlangs bij Siemens het domein van de operationele technologie (OT) verkend. En dan met name de cyberbeveiliging van OT, die steeds belangrijker wordt.

Voor veel studenten was OT-beveiliging onbekende materie. “Interessant om te zien hoe dat in z’n werk gaat”, klonk het. “En héél anders dan IT-beveiliging.” Verder waren ze verbaasd over de sectoren waarin Siemens actief is. “Nooit geweten dat ze naast wasmachines ook treinen maken en industriële omgevingen automatiseren. Siemens werkt aan gave projecten die er echt toe doen.”

Veel te doen

Reacties waar Jan Plak, manager talent acquisition bij Siemens, blij mee is. “Wij willen jullie laten ontdekken wat er real live in de praktijk gebeurt”, sprak hij tot de studenten. “De technische sector wordt steeds mooier. Daar kunnen ook jullie straks een onderdeel van zijn. We hopen dat jullie als IT’ers ook interesse in OT krijgen. Er is veel te doen in de OT, vooral op cybersecurity-gebied.”

De detectie schiet nog regelmatig tekort. Uit recent onderzoek blijkt dat op het moment dat een hack wordt geconstateerd de hackers vaak al 200 dagen in huis waren.”
Ton Mes, product & solution security officer, Siemens Nederland

Grootschalige maatschappelijke ontwrichting

Ilse Gülsen-Stroo, manager innovation & digital business bij Siemens, vertelde over de kwetsbaarheid van gedigitaliseerde industriële bedrijven. Zonder goede cyberbeveiliging lopen zij het risico dat hackers binnendringen in hun processen en deze manipuleren of zelfs stilleggen. Met alle gevolgen van dien. Siemens bedient sectoren die de ruggengraat vormen van onze samenleving: industrie, zorg, infrastructuur, utiliteit en mobiliteit. Het uitvallen van hun processen kan leiden tot grootschalige maatschappelijke ontwrichting. Ilse Gülsen-Stroo: “Elke organisatie kan door cybercriminelen aangevallen worden. Ze worden innovatiever en richten zich steeds meer op operationele technologie (OT). Bij het beveiligen hiervan putten we onder andere uit de ervaring met de beveiliging van onze eigen Siemens-fabrieken.”

IT en OT: twee verschillende werelden

Alle landelijke Siemens-vestigingen hebben een product & solution security officer. Dat is in Nederland Ton Mes. Het cyberbeveiligen van OT is volgens hem specialistenwerk. “OT en IT zijn twee verschillende werelden. In de IT gaat alles om de vertrouwelijkheid, integriteit en beschikbaarheid van data. In de OT komt daar als belangrijkste speerpunt safety bij. OT-systemen gaan bovendien veel langer mee dan IT-systemen. Je hebt te maken met tot wel 40 jaar oude systemen, die veel moeilijker te beveiligen zijn. Ook de cybersecurity-aanpak verschilt: in de IT los je een kwetsbaarheid direct op, maar in de OT wacht je soms met updaten om de productie niet te verstoren.”

Onvoldoende inzicht in assets

Van veelal nog ontbrekende antimalware software tot niet-gescheiden of onvoldoende beveiligde netwerken, slechte authenticatie, achterstallig onderhoud/updaten en software met verouderde protocollen. Dit alles zet de deuren open voor hackers. Terwijl de meeste IT-afdelingen exact weten over welke systemen zij beschikken, hebben veel fabrieken nog onvoldoende overzicht van hun ‘assets’. Ton Mes: “Maar als je niet weet wat je hebt, weet je ook niet waar de risico’s zitten. Ook daarom is cyberbeveiliging in fabrieken een grote uitdaging. De detectie schiet nog regelmatig tekort. Uit recent onderzoek blijkt dat op het moment dat een hack wordt geconstateerd de hackers vaak al 200 dagen in huis waren.”

Maatregelen nemen in combinatie met technologie, mens en processen

Wereldwijd zijn zo’n 40 miljard machines en apparaten via internet met elkaar verbonden. Over tien jaar zullen dit er 50 miljard zijn. De snelle uitbreiding van het Internet of Things maakt cybersecurity steeds urgenter. Maar hoe pak je het aan? “Breng eerst je assets in kaart, bepaal dan de risico’s en neem maatregelen om ze te mitigeren”, leerde Ton Mes de studenten. “Je kunt heel straight forward een kwetsbaarheid verwijderen, maar ook iets in de periferie doen. Bijvoorbeeld een kwetsbaar netwerk afschermen. Denk bij het bepalen van security maatregelen los van de systemen. Denk ook aan de fysieke toegang én de medewerkers. Maatregelen moeten in een combinatie van technologie, processen en mensen worden getroffen – alles moet kloppen om goed beveiligd te zijn.”

Oefenen met netwerkbeveiliging

Tijdens een hands-on workshop werd cybersecurity voor de studenten heel tastbaar. Ze maakten kennis met het door Siemens gehanteerde ‘Defense in Depth’-concept. Daarbinnen gingen ze zelf aan de slag met netwerkbeveiliging. Iedere student had zijn eigen kastje met een switch, een firewall, een voeding en een PLC. De opdracht: plaats de PC en de PLC in twee gescheiden virtuele netwerken. Zorg er vervolgens voor dat, via een firewall, communicatie tussen deze twee netwerken plaatsvindt. Uitdagend, maar voor veel studenten niet onuitvoerbaar!

Digital Twins

In het Digital Experience Center van Siemens ontdekten de studenten waar cybersecurity nu staat en wat de toekomst nog zal brengen. Ze maakten kennis met Digital Twins, die je op allerlei niveaus kunt inzetten. De studenten vonden het informatief om te zien hoe al deze moderne technologie in de praktijk wordt toegepast. Waaruit ook bleek dat ze wel warm lopen voor de wereld van de OT. Hun antwoorden op de vraag naar hun toekomstplannen bevestigden die indruk. Van start-ups tot de Formule 1, de medische wereld en de industrie – allemaal omgevingen waarin zij later graag zouden willen werken. “OT is zelfs de reden waarom ik IT ben gaan studeren”, zei een van hen. “Ik speelde als kind al met lego-techniek en bouwde mijn eigen zelfrijdende auto’s. Ik ben altijd blijven knutselen en software schrijven. Na mijn studie hoop ik veel uitdagende projecten te gaan doen. Misschien wel bij Siemens!”