Fri Apr 19 2024

04 19

Pilz breidt cybersecurityportfolio verder uit

08/07/2022

Door Liam van Koert

Op de Hannover Messe 2022 kon Pilz eindelijk weer eens uitpakken. Naast de te verwachten veiligheidsoplossingen en een eigen AGV, viel vooral de verdere uitbreiding van het cybersecurityaanbod op. Uiteraard was er hun relatief nieuwe Security Bridge, een industriële firewall die een goed beveiligde brug slaat tussen fabrieksnetwerk en de buitenwereld. Om ook lokaal toegangsbeheer te beveiligen, waren hier een PIT oe USB- én een PIT oe Ethernet-interface aan toegevoegd.


     

Als één van de weinige bedrijven communiceerde Pilz open met zowel pers als klanten toen het bedrijf in oktober 2019 slachtoffer werd van kwaadwillende hackers. Gelukkig bleef hun ERP-systeem SAP onaangetast, maar de productie lag een kleine vier weken stil. Volgens Martin Mielke van Pilz was het een geluk bij een ongeluk dat dit aan de vooravond van corona gebeurde. “Door het opnieuw moeten inrichten van enkele systemen waren we ten tijde van de lockdown helemaal klaar om tal van taken veilig remote te kunnen voortzetten. En door hier eerlijk en transparant over te zijn, hebben we onze klanten niet alleen met producten kunnen behoeden voor vergelijkbare kwetsbaarheden. Ook de opgebouwde kennis en ervaring kwamen uit de eerste hand.”

 

Veilige brug naar buiten

“De Security Bridge die we als Pilz een kleine drie jaar leveren, is een industriële firewall die de communicatie tussen twee netwerken beheert”, licht Mielke de functie van de Security Bridge toe. “Dit is dus beduidend anders dan een gateway of switch waarmee meerdere verbindingen binnen een netwerk worden afgehandeld. Het verlenen van toegang van buiten naar binnen of binnen naar buiten gebeurt op basis van IP- of MAC-adres. Door een Security Bridge tussen bijvoorbeeld een client-pc en een PSSuniversal PLC of een PNOZmulti te zetten, is alleen geautoriseerd dataverkeer naar en vanuit de productie mogelijk. Deelnemers van het productienetwerk kunnen AGV’s of robots zijn, maar bijvoorbeeld ook hele verpakkingslijnen. Het verkeer tussen het machinepark en de client wordt bovendien versleuteld binnen een VPN-verbinding, zodat naast ongeautoriseerde manipulatie ook spionage wordt uitgesloten.”

 

Industrietaal

Nu zijn firewalls die ‘remote’ toegang via een VPN-tunnel mogelijk maken op zich niets nieuws. Dat geldt ook voor checksum controles voor een verhoogde data-integriteit en een web-gebaseerde gebruikersinterface waarmee ze kunnen worden geconfigureerd. Wat de Security Bridge dan anders maakt dan gangbare firewalls? Dit zit hem met name in het feit dat de firewall van Pilz de taal van de industrie spreekt. Zo kan de firewall ook overweg met veldbussen en kan er onderscheid gemaakt worden in latency van gegevensstromen voor tijd-kritische processen.

 

Lokaal beveiligen

Een goed begin is het halve werk. Maar ook voor die andere helft die zich binnen de fabrieksmuren bevindt, wilde Pilz een beveiligingsoplossing bieden. In 2020 kwamen ze daarom met PIT oe USB. Hiermee kan middels een unieke RFID-sleutel een USB-poort worden vrijgegeven voor communicatie. Dit kan nodig zijn om bijvoorbeeld bepaalde procesdata uit een machine op te halen of om nieuwe firmware te installeren. Omdat je natuurlijk niet wil dat iedereen te pas en te onpas dit soort dingen kan doen, kan een beheerder middels een web-gebaseerde interface instellen wat voor soort toegang een sleutel aan welke persoon geeft. Zo kan een operator een sleutel nodig hebben voor fysieke toegangscontrole van een bepaald deel van de productielijn. En een onderhoudsmedewerker kan in het weekend bijvoorbeeld voor enkele uren digitale toegang krijgen voor die belangrijke firmware-update.

 

USB en ethernet poorten

Mielke: “Om security tot op de productievloer te brengen, introduceerden we als Pilz twee jaar geleden de eerste RFID-sleutel voor digitale toegangscontrole. Afhankelijk van de rol van de sleutelhouder kan een aangestelde beheerder vanuit een gebruikersvriendelijke beheeromgeving aan deze RFID-sleutels bepaalde rechten toekennen. Deze kunnen betrekking hebben op fysieke of digitale toegang tot een machine, maar ook op het tijdstip en de geldigheidsduur. Aanvankelijk moesten de bijhorende RFID-readers hierbij los bedraadt worden voor een verbinding met bijvoorbeeld de PLC. Voor meer gebruikersgemak en mogelijkheden hebben we hier vorig jaar een USB-variant aan toegevoegd. En om het beveiligingsverhaal compleet te maken, komt er dit jaar ook een ethernet-variant met RS45-aansluiting. Hoewel je hier al een sneakpreview kunt zien, is de lancering ervan waarschijnlijk tijdens de aanstaande SPS in Neurenberg. Wordt dus vervolgd.”

 

Links