Taal selecteren

Thema's
Cyber-security op schepen

Met digitalisatie en netwerkvorming groeit ook aan boord van schepen het risico van misbruik van gegevens en cybercriminaliteit. Wie over de mogelijkheden van Maritim 4.0 nadenkt, moet ook rekening houden met de steeds strengere eisen op het vlak van cyber-security – en vooral de gepaste oplossingen vinden om eraan te voldoen.

Op schepen zorgen diverse intelligente subsystemen voor een soepele werking: van het tank- en ballastwatermanagement over de aandrijvingsbesturing tot de alarm- en monitoringsystemen. Al die systemen maken gebruik van industriële automatiseringstechniek.

Cyber-security op het schip – zo ondersteunt WAGO u:

  • Met de toenemende koppeling van systemen in de scheepvaart neemt ook de uitwisseling van gevoelige gegevens toe.
  • Elektronica als navigatie-, tracking- en botsingswaarschuwingssystemen brengen externe verbindingen tot stand en creëren op die manier een zwak punt voor cybercriminaliteit. Bij „IT-Security by Design“ wordt vanaf het begin een layer-gebaseerde veiligheidsarchitectuur in de besturingen geïntegreerd
  • WAGO vertrouwt bijvoorbeeld op een VPN-tunnel via OpenVPN of IPsec direct vanuit de controller PFC200 van WAGO.

Focus op veiligheid van gegevens

Op vele punten levert de koppeling van de subsystemen aan boord voordelen op, bijvoorbeeld wanneer de werking van het schip zuiniger of energie-efficiënter kan gebeuren. Maar hoe meer er gekoppeld wordt, hoe meer de uitwisseling van gevoelige gegevens toeneemt. En daar blijft het niet bij: in vergelijking met toepassingen aan land beschikken schepen immers over bijkomende elektronica, zoals navigatie-, tracking- en waarschuwingssystemen om botsingen te voorkomen. Ze dienen de veiligheid van het schip, maar vormen tegelijkertijd een extra bedreiging; vooral omdat ze niet alleen de graad van netwerking aan boord verhogen maar ook een externe verbinding tot stand brengen. Voor deze verbindingen worden steeds vaker internetgebaseerde netwerktechnologieën of mobiele diensten gebruikt. En gewoonlijk vertonen deze communicatiekanalen veel zwakke punten voor manipulatie – vooral bij communicatie tussen schip en land.

Functionele veiligheid in gevaar?

Het afluisteren of aflezen van gevoelige gegevens is daarbij eerder een klein probleem, in vergelijking met de effecten die hackers kunnen veroorzaken door malware in de besturingstechnologie van schepen of booreilanden te plaatsen, coördinaten te wijzigen of toegang hebben tot veiligheidsrelevante subsystemen aan boord en daarmee niet alleen de cyber-security maar ook de functionele veiligheid en dus de veiligheid van de bemanning aan boord in gevaar brengen. Het is dan ook geen toeval dat met een hogere graad van digitalisering en netwerkvorming ook de instructies op het vlak van cyber-security steeds belangrijker worden: het American Bureau of Shipping, de Baltic and International Maritime Council, de Lloyds Register Group, de Britse Chamber of Shipping en het European Union Agency for Network and Information Security publiceren richtlijnen over cyber-security op schepen. Ze definiëren meestal processen, procesmodellen of technische maatregelen voor de implementatie van cyber-security, die grotendeels overeenkomen met richtlijnen voor automatiseringstechnologie.

De redenen voor toegang op afstand zijn helemaal anders voor rederijen dan voor OEM's.

„IT by Design“ in plaats van „Defense in Depth“

Men lijkt het erover eens te zijn dat er met Industrie 4.0 of Maritim 4.0 extra communicatierelaties ontstaan, die een toenemend potentieel voor cyberaanvallen creëren. Wat bovendien steeds duidelijker wordt is dat de bestaande veiligheidssconcepten hun grenzen hebben bereikt. Enerzijds omdat de mogelijkheden die ontstaan door netwerking het aantal externe toegangen stijgt, anderzijds omdat veel ingrijpender wordt ingegrepen in het automatiseringssysteem van een schip dan voorheen. Om perfect begrijpelijke redenen: met remote oplossingen hebben rederijen de mogelijkheid hun schepen op afstand aan diagnoses te onderwerpen; dat stelt hen in staat hun vloot te optimaliseren of eenmaal geregistreerde gegevens verder te verwerken. Bovendien kunnen de personeelskosten gedrukt worden wanneer aan boord minder of minder gekwalificeerd personeel wordt ingezet, dat in geval van reparaties ondersteuning kan krijgen van een ingenieur aan land.

Waarom externe toegang verlenen?

En ten slotte kan een beter netwerk van rederijen en havenbedrijven zelfs de logistiek in havens verbeteren en het verbruik van brandstoffen van schepen doen dalen. Het blokkeren van externe toegang is dan ook geen oplossing om de veiligheid op schepen weer te herstellen. Defense-in-depth-modellen, die tot nu toe als "state of the art" beschouwd werden, zullen binnenkort echter niet meer volstaan, zelfs niet wanneer ze met toegangsbeperkingen, segmenteringen van het netwerk en controlesystemen op de meest uiteenlopende niveaus van de scheepsautomatisering uitpakken.
Er is steeds meer vraag naar beveiligingsconcepten die altijd werken, ongeacht het tijdstip of het toegangspunt van de toegang op afstand. Er is vraag naar „IT-Security by Design“-concepten: functies van de cyber-security, die van meet af aan in de vorm van een layergebaseerde veiligheidsarchitectuur in de besturingsapparaten geïntegreerd worden.

Typische systemen op schepen die deel uitmaken van big data en onderhevig aan een toenemende netwerkvorming.

Voor een veilige overdracht van gegevens - van PLC tot in de cloud

Dergelijke technische mogelijkheden bestaan reeds en zijn perfect in staat veiligheidslekken te dichten. Dat lukt bijvoorbeeld op heel betrouwbare wijze door het opzetten van een virtueel privénetwerk (VPN) op basis van OpenVPN met SSL/TLS-verbindingen (Secure Sockets Layer, Transport Layer Security). Dergelijke verbindingen maken het mogelijk gecodeerde gegevens veilig te verzenden, zelfs via draadloze communicatiekanalen. WAGO vertrouwt op dergelijke VPN-tunnels via OpenVPN of IPsec direct vanuit de besturing PFC200 van WAGO. De WAGO-controller registreert daarvoor alle relevante meet- en besturingsgegevens, versleutelt die nog in de besturing met SSL-codering en verzendt ze via VPN. Hierdoor hoeven geen extra VPN-tunnels door middel van modems of routers worden opgebouwd en - wat zelfs nog belangrijker is: het traject tussen besturing en modem is hierdoor eveneens gecodeerd.

Tekst: Norman Südekum, Eva Bannholzer | WAGO

Foto: WAGO