Hans van Wijk

Hans van Wijk is van oorsprong een werktuigbouwkundig ingenieur maar al jaren werkzaam op het terrein van industriele automatisering en mechatronica. De laatste jaren werkzaam als Business Development manager bij een grote systeem integrator. Daar kijkt hij zowel naar de ontwikkelingen binnen de diverse marktsegmenten maar ook naar nieuwe technologieen die toegepast kunnen gaan worden. Hij verzorgt regelmatig presentaties en gastcolleges over diverse onderwerpen en zijn er een groot aantal artikelen van zijn hand gepubliceerd. Hij is alweer enige jaren de vice-voorzitter van de FEDA, de branchevereniging voor aandrijftechniek en automatiseren.

Tijdens congressen over veiligheid van IT-netwerken duiken ze steevast op: bekende hackers en ex-cybercriminelen die hun kennis komen delen met gewone stervelingen. Je mond valt soms open als je hoort hoe makkelijk ze vanaf hun eigen computer op veilige afstand het netwerk van een bedrijf of organisatie binnendrongen en hier alle mogelijke informatie uit konden halen. Of, soms nog erger, hier een programmaatje in konden stoppen dat de hele boel in de war schopte. Firewalls zijn tegen dit soort superintelligente aanvallen nauwelijks bestand. Dan zou je denken dat de IT-afdelingen daar zelf volop induiken en additionele maatregelen treffen. Maar wat me opvalt is dat dit weinig gebeurt, wat vooral komt omdat maar heel weinig mensen verstand hebben van ‘cybersecurity’. De risico’s worden in feite dus alsmaar groter, want we blijven vrolijk doorgaan met het aan elkaar knopen van verschillende automatiseringslagen. Verticale integratie heet dat en door toepassing van slimme hard- en software toveren we informatie van de werkvloer rechtstreeks op het beeldscherm van de directiekamer. Ook koppelingen met ERP-systemen rukken op, waardoor planners weten wat er in voorraad is en productieafdelingen eerder weten wat ze moeten gaan maken. Hoe zit het echter met de beveiliging van al die lagen? Velen zoeken dit vooral in de techniek. Zet er maar een firewall tussen en het is in orde. Bedenk echter dat techniek maar voor 10 tot 20 procent invloed heeft op de veiligheid van uw netwerken. Want bedenk ook dat virusscanners alleen maar werken voor IT in kantooromgevingen en niet voor de systemen in de fabriek. Je kunt immers geen virusscanners op een DCS of PLC-systeem draaien. En wat te denken van mensen die met mooie praatjes een bedrijf binnen komen en in de eerste de beste vergaderruimte schaamteloos via hun laptop inloggen op het bedrijfsnetwerk. Dat mag natuurlijk niet mogelijk zijn, maar ik verzeker u dat dit bij heel veel bedrijven en organisaties zonder meer kan. Sommige zaken voor beveiliging worden nog steeds schromelijk onderschat. Het begint al met de toegangscontrole. Welke onderneming heeft er een deugdelijk hekwerk om zijn terrein en hoe is de ingang beveiligd? Moeten we zover terug als we het over cybersecurity hebben? Ja, ik denk van wel, want onlangs kwam ik bij een bedrijf waarvan de receptioniste helemaal overstuur was. Er was tijdens haar dienst een laptop gestolen. Ze had niemand gezien, dus moest het zijn gebeurd toen ze snel even een kop koffie aan het halen was in de kantine. Maar er was een camera die alles registreerde en inderdaad zagen ze op de video rond dat tijdstip een figuur langs de balie schieten in een joggingpak. De capuchon stevig over het hoofd en nog geen minuut later liep diezelfde figuur met iets onder de arm (de laptop dus) weer naar de lift. Iemand van het personeel? Iemand van een bedrijf dat daar onderhoud aan het uitvoeren was? Of gewoon iemand die via de parkeergarage binnen was gekomen met een smoes om de deur open te krijgen? Wie weet het? Maar als de receptioniste niet van haar plaats was geweest, dan zou die figuur nooit langs de balie zijn gekomen. Waarmee maar weer eens gezegd is dat de mens de zwakste schakel blijft. Want je kunt nog zulke waterdichte procedures opzetten waarin staat dat de balie nooit onbemand mag zijn, als men zich daar niet aan houdt gaat het geheid een keer mis. Daarom is het zo belangrijk om je mensen te blijven trainen. Punt is dat menig onderneming de risico’s blijft onderschatten. Punt is ook dat ‘cyberinbraken’ in productiesystemen nauwelijks naar buiten komen, zodat we ook niet opgevoed worden. Men wil immers niet aan de grote klok hangen dat het bedrijf kwetsbaar is. En intussen worden de risico’s steeds groter, want behalve dat we lagen aan elkaar knopen, rukken ook de draadloze netwerken op in de vorm van WiFi, WiMAX waarmee draadloos gemeten en bestuurd kan worden. Dat kan ook via HSDPA en het nog snellere HSUPA, waarmee met een smartphone vanaf vrijwel elke plek op aarde communicatie met het DCS mogelijk is. Daarmee komen er steeds meer digitale deuren en paden die interessant zijn en een uitdaging vormen voor slimme cybercriminelen. Beveiliging wordt daarmee niet alleen steeds belangrijker maar ook steeds complexer en steeds meer het terrein van absolute specialisten.