De tijd is voorbij dat we binnen de Operations Technology (OT) soms nog wat huiverig waren voor technologie die machines met het internet verbond. Internet is ondertussen onmisbaar door toepassingen als cloud-dashboarding en remote acces bij storingen. Hierdoor is het dan ook steeds belangrijker om Cybersecurity serieus aandacht te geven.

Phoenix Contact laat nu zien dat cybersecurity ook haalbaar is in de OT, door als eerste een door TÜV SÜD SL2 gecertificeerde besturing te ontwikkelen. En door glansrijk een pentest te doorstaan van het Red Team bij Ordina Cybersecurity & Compliance. Twee belangrijke mijlpalen, die voor machinebouwers in de praktijk veel verbeteringen gaan opleveren.

Phoenix Contact is het eerste bedrijf dat een certificering ontvangt voor een industriële besturing volgens IEC 62443-4-2 SL2. Oftewel, hiermee kan een profiel worden geactiveerd waarmee de besturing aan de eisen van de 62443-4-2 SL2 voldoet. Dit is zeker geen overbodige luxe in tijden van hackaanvallen, maar ook in tijden waarin ‘smart devices’ (zoals machines die zijn verbonden met het internet) niet meer zijn weg te denken. Wanneer je een installatie ontwerpt die moet voldoen aan Cybersecurity eisen, begin je met een voorsprong wanneer je in deze installatie producten gebruikt die vanuit zichzelf al aan deze eisen voldoen.

De IEC 62443 is een internationale serie normen die gericht is op cybersecurity voor OT in automatiserings- en besturingssystemen. Hierbinnen zijn een aantal security levels vastgesteld, met bijbehorende certificaten. Met de IEC 62443-4-2 SL2 certificering voor Phoenix Contact wordt erkend dat het product aan een serieus security level voldoet. TÜV SÜD heeft dit gecontroleerd en met het afgeven van het certificaat bevestigen ze als onafhankelijke instantie dat aan alle eisen is voldaan.

Testen, ook en vooral in de praktijk

Een certificering is absoluut een waardevolle toevoeging en erkenning van de veiligheid die Phoenix Contact kan leveren. Maar, in de praktijk is er nog een test die heel belangrijk is: wat gebeurt er als hackers een aanval uitvoeren op de beveiliging van Phoenix’ PLCnext Controller?

Met deze opdracht zijn de ethische hackers van Ordina’s Red Team aan de slag gegaan. Ze hebben de beveiliging van de PLCnext Controller uitgebreid getest en tijdens geen van deze pentesten is het gelukt om het systeem op wat voor manier dan ook te compromitteren.

“Vanaf het eerste contact was duidelijk dat Ordina een zeer kundige partij is op dit gebied,” vertelt Jan-Willem Steenbergen, product manager industrial automation bij Phoenix Contact. “Dit werd nogmaals bevestigd door de bruikbare adviezen die we gekregen hebben na het openstellen van de controller. Adviezen waar we uiteraard direct mee aan de slag zijn gegaan om ons product nog verder te verbeteren.”

Wouter Doderer, is practice lead bij het Red Team van Ordina Cybersecurity & Compliance. Volgens hem ligt de hoge mate van veiligheid die de PLCnext controller kan bieden vooral aan het slimme design. “Als ethische hackers testen we veel systemen, ook in de industriële automatisering. Wat de PLCnext Technology uniek maakt, is dat er al vanaf het ontwerp is uitgegaan van een smart device dat aan het internet gekoppeld kan worden. Cyber security was daarin een van de belangrijkste speerpunten. Dat zien we in de resultaten van onze pentest ook direct terug.”

De certificering en de pentest benadrukken daarnaast de holistische strategie van Phoenix Contact rondom cyber security. Phoenix Contact is namelijk ook in staat om advies en oplossingen te bieden volgens de Europese cyber security normen om machines, systemen en installaties te beschermen tegen cyber security bedreigingen.

In een tijd waar cyberaanvallen in vrijwel iedere branche en industrie voorkomen, is het hoog nodig dat cybersecurity, al vanaf het ontwerp op nummer één staat. Met zowel de TÜV SÜD certificering, als met het succesvol doorstaan van de pentest van het Ordina Red Team, laat Phoenix Contact zien dat we meer dan klaar zijn voor de toekomst. Een toekomst die niet alleen technisch het hoogste niveau biedt, maar ook het hoogste niveau van cybersecurity.