Expertblog: Functional safety & cybersecurity zijn de Yin & Yang in process safety

Juni 2009, Teheran. Terwijl op straat gewelddadige protesten en rellen ontstaan door onvrede over een verkiezingsuitslag, speelt zich op de achtergrond in alle stilte een aanval van heel andere orde af. In een plant waar uranium wordt verrijkt met als doel het produceren van kernwapens, wordt op geraffineerde wijze een computervirus in diverse computers aangebracht. Pas een jaar later beginnen de ultracentrifuges die hiervoor worden gebruikt om onverklaarbare reden te falen.

Deze computerworm, die inmiddels als Stuxnet bekend staat, was ’s wereldse eerste digitale wapen. Alle ins- en outs van deze grootschalige operatie zullen nooit bekend worden. Wel werd duidelijk dat het automatiseren en gebruik van computers om plants mee te regelen en te beveiligen voor nieuwe uitdagingen zorgt.

Er is al veel langer bekend dat het scheiden van besturingssystemen en beveiligingssystemen een substantiële toegevoegde waarde heeft in de veiligheid van een plant. De eerste systemen uit de jaren ’60 waren mechanisch van aard: Maglog-systemen die werkten op basis van elektrische magnetische spoelen en relais-logic waren op dat moment de enige manieren om fail-safe Safety Instrumented Systems (SIS) te bouwen. Het waren stand-alone systemen zonder connectie met de buitenwereld. De opkomst van Programmable Electronic Systems (PES), zoals Programmable Logic Controllers (PLC), maakte het bouwen van SIS een stuk makkelijker en flexibeler, maar ook gevoeliger voor het binnendringen van buitenaf.

Wat Stuxnet heeft bewerkstelligd, heeft niemand voor mogelijk gehouden. De geavanceerde computerworm is via een USB stick van een ingenieur op een computersysteem van de uranium plant terecht gekomen. Deze worm was specifiek getarget en ontwikkeld om Siemens Step 7 en Siemens PLC’s kwaadwillend te beïnvloeden en misbruikte meerdere zero-days kwetsbaarheden om dit te bereiken. Dit zijn kwetsbaarheden in software die nog niet publiekelijk bekend zijn gemaakt. Staatsactoren hebben dit soort kwetsbaarheden als wapenarsenaal en zorgen ervoor dat deze ook niet worden gemeld aan de softwareleverancier. Stuxnet misbruikte meerdere zero-day kwetsbaarheden, wat wijst op een zeer geavanceerde aanval die eigenlijk alleen door staatsactoren kan worden uitgevoerd.

Twee vakgebieden met een zelfde doel

Geavanceerde elektronische SIS moeten dus goed worden beveiligd tegen cyberaanvallen. Functional safety en cybersecurity zijn twee belendende vakgebieden die beide hetzelfde doel voor ogen hebben, namelijk het voorkomen van letsel en schade aan equipment en milieu. Hoewel de gevolgen van die incidenten hetzelfde zijn, is de route naar het incident toe in beide gevallen anders. Terwijl process safety/functional safety zich richt op het falen van systemen of menselijke handelingen, richt cybersecurity zich ook op in- en externe aanvallen.

Met het identificeren van process safety risico’s is al veel ervaring sinds in de jaren ’60 Trevor Kletz bij ICI de HAZOP-techniek invoerde. Eind jaren ’80 is daaraan een methodiek toegevoegd waarmee wordt getracht de subjectieve inschatting van de effectiviteit van de onafhankelijke beschermingslagen (IPL’s) op een semi-kwantitatieve manier te onderzoeken.

De ontwikkeling van PES’s heeft ook voor de introductie van Safety Integrity Levels (SIL) gezorgd, een maat voor de betrouwbaarheid van het safety systeem. Al deze zaken (en nog meer) zijn onderdeel van de safety lifecycle en vastgelegd in verschillende normen, waarvan de IEC 61511 Functional safety – Safety instrumented systems for the process industry sector dé norm is die algemeen wordt geaccepteerd door de procesindustrie.

Naast deze norm bestaat er ook een breedgedragen normenkader voor cybersecurity in de procesindustrie, deIEC 62443. In de IEC 62443-3-2 Security risk assessment for system design is beschreven dat het resultaat van een PHA en Functional Safety moet worden gebruikt voor het bepalen van de worst-case impact. En andersom wordt in de norm IEC 61511 beschreven dat het ontwerp van het SIS zodanig moet zijn dat het de nodige weerstand biedt tegen de geïdentificeerde security risks.

Elk voordeel heeft zijn nadeel

De introductie van gestandaardiseerde netwerken en informatiesystemen heeft het procesautomatiseringslandschap flink veranderd. Besturings- en beveiligingssystemen kunnen eenvoudig met elkaar worden gekoppeld. En daarnaast is er een toenemende behoefte aan connectiviteit, voor onder andere centrale bediening én zodat onderhoudspartijen en leveranciers van allerlei soorten systemen (b.v. compressoren, maar ook besturings- en beveiligingssystemen) vanaf een externe locatie onderhoud kunnen uitvoeren. Al deze voordelen hebben ook een keerzijde. Het heeft namelijk geleid tot digitale dreigingsvormen.

Als niet de juiste cybersecuritymaatregelen worden genomen, ontstaat het gevaar dat besturings- en beveiligingssystemen worden gemanipuleerd zodat een beveiliging niet werkt wanneer er een beroep op wordt gedaan. Of dat een besturingssysteem wordt gemanipuleerd zodat er een beroep op het veiligheidssysteem wordt gedaan, dat zojuist moedwillig inactief is gemaakt.

Hieruit blijkt dat cybersecuritydreigingen goed in kaart moeten worden gebracht en dat we voorzichtig moeten zijn met het creëren van extra netwerkconnectiviteit. Daarnaast heeft ook het Stuxnet incident ons geleerd dat gegevensdragers zoals USB-sticks een serieuze dreiging vormen.

Deze expertblog is geschreven door Enrico Lammers, samen met Derek Hoffschlag en Jan Hartlief.