We kennen nogal wat afkortingen en termen “in the bizz”. Soms lijkt het alsof het allemaal hetzelfde betekent. Maar toch, wie goed onder de motorkap kijkt, ziet wel degelijk nuances. In deze post gaan het hebben over deze verschillen. Want in onze waterwereld gebruiken we al deze termen en dat betekent dat we ook “iets moeten” met alle apparaten die onder deze noemer vallen. Ze zijn namelijk allemaal best complex en moeten ons op deze gebieden ook beschermen tegen diverse risico’s waaronder cyberthreats. Hoe, dat is een onderwerp voor een andere post. Laten we eerst eens kijken naar de belangrijkste verschillen. Want de eerste stap die genomen moet worden is dat we allemaal dezelfde taal spreken.

2 grote vijvers:

Wanneer we heel hoog-over kijken naar het automatiseringslandschap, dan onderscheiden we eigenlijk maar twee gebieden van elkaar. Namelijk de kantoorautomatisering (KA) en de industriële automatisering (IA). Onder de kantoorautomatisering vallen met name alle kantoornetwerken en computers. Dit is het netwerk waar de medewerkers zich in bevinden wanneer deze geen heel specifieke taken hoeven te verrichten op het gebied van de industriële automatisering. Denk dus o.a. aan alle laptops die uitgegeven worden aan de medewerkers, de vaste computers op kantoor, de mobiele telefoons en alle netwerken, servers en software die nodig is om deze systemen met elkaar te laten communiceren. Onder de industriële automatisering vallen alle computers, netwerken en software die nodig zijn om “onze kroonjuwelen” aan te sturen. Deze kroonjuwelen zijn, wanneer ze aangesloten zijn op een netwerk, ook onderdeel van de industriële automatisering.

Kroonjuwelen?

En ook hier hebben we een mooie term die volgens mij redelijk 'normaal' is binnen de waterwereld, namelijk 'kroonjuwelen'. Buiten de waterwereld denkt men meestal aan iets anders bij deze term. De kroonjuwelen zijn onze primaire systemen;de systemen die ervoor zorgen dat het water beheerd en beheerst wordt. Denk hierbij aan pompen, gemalen, zuiveringen etc. De verwerking van het water wordt in essentie gedaan met hele zware machines. En deze machines worden weer bestuurd via één of meerdere controle-unit(s). Deze units kunnen weer uit meerdere onderdelen bestaan. Denk dus o.a. aan:

  • PLC’s – Programmable Logic Controllers
  • PCS – Process Control Systems
  • DCS – Distributed Control Systems
  • SCADA – Supervisory Control And Data Acquisition

Wanneer we het binnen IT over de 'kroonjuwelen' hebben dan hebben we het dus over bovenstaande systemen. Dit zijn de systemen die we moeten beveiligen (vanuit het oogpunt voor cyberveiligheid) om onze 'kroonjuwelen' te beschermen en dus ook om onze burgers en gebruikers te beschermen.

PLC, PDS, DCS, SCADA…

Laten we eerst eens kijken naar de grote verschillen tussen deze 4 systemen. Wat opvalt in de betekenis van bovenstaande 4 systemen is dat er heel vaak het woordje “Control” in voorkomt. De meeste van deze systemen controleren het industriële proces. Je komt ze in de praktijk vaak tegen bij industriële en civieltechnische toepassingen; om een proces te volgen, te sturen en te controleren. In veel gevallen hebben we het hier over systemen die bestaan uit sensoren en andere meetinstrumenten die met bedrading verbonden zijn met een bus (transportmedium voor elektronische signalen.), een multiplexer (apparaat om verschillende gegevensstromen te leiden over een gemeenschappelijke communicatielijn) en/of A/D-convertors (zet een analoog signaal, bijvoorbeeld een spraaksignaal, om in een digitaal signaal).

PLC

Een PLC is een industriële digitale computer die speciaal ontwikkeld is om productieprocessen te besturen. Denk hierbij aan b.v. assemblagelijnen, pompen, keringen of robotapparatuur. Feitelijk worden PLC’s gebruikt voor elke activiteit die een hoge betrouwbaarheid vereist en programmeerbaar is.

iSCAPE PLC siemens slider - Aqualectra Aqualectra

PCS / DCS

Een PCS is een automatiseringssysteem die bestaat uit elektronische circuits en toegespitst is op het besturen van industriële processen binnen de procestechniek. Vaak bestuurd een PCS meerdere PCL’s. Een PCS staat ook wel bekend onder andere namen zoals een DCS (Distributed Control System) of ICS (Industrial Control System).

Distributed control system (DCS) Tutorials

SCADA / HMI

Een SCADA systeem bestaat uit een computer waarop een SCADA systeem geïnstalleerd is (software). Dit SCADA systeem is speciaal ontwikkeld om het uitwisselen van diverse soorten gegevens die afkomstig zijn uit de industriële procesautomatisering. Het SCADA systeem maakt het proces (grafisch) inzichtelijk zodat de operator het proces op de juiste manier kan sturen. Deze (aan)sturing wordt ook vaak gefaciliteerd vanuit het SCADA systeem. Vervolgens kan een SCADA systeem de gegevens doorzetten naar andere systemen. Of verwerken tot rapportages of een alarmerende functie bieden mocht er iets in het proces niet goed gaan. Hoewel een PCS en een SCADA systeem eenzelfde functie lijken te hebben is dat niet zo. Het belangrijkste verschil tussen een PCS en een SCADA systeem is dat een SCADA systeem event-driven is en een PCS systeem is state-driven. Dit betekend dat een PCS systeem zich richt op het proces en een SCADA systeem op de data die het aangeleverd krijgt. Vervolgens kan een SCADA systeem meerdere geografisch gescheiden gebieden in de gaten houden terwijl een PCS meestal bedoeld is voor 1 proceslijn / 1 locatie. Binnen SCADA techniek wordt vaak gebruik gemaakt van monitoren welke het proces inzichtelijk maken. Deze monitoren kennen vaak ook de mogelijkheid om het proces te beïnvloeden / bedienen via b.v. een touchscreen. Deze monitoren zijn geen gewone monitoren. Dit zijn HMI systemen ofwel “Human Machine Interface” systemen. Echter zien we ook steeds vaker dat computers gebruikt worden met speciale software om deze functie over te kunnen nemen. In zo’n geval noemen we de “controlerende” computer ook een HMI.

Human Machine Interfaces | Emerson NL

En 'PA' dan?

Vaak wordt er binnen de waterwereld niet gesproken over industriële automatisering maar wel over PA. Met PA bedoelen we dan 'Proces Automatisering'. Het grappige is dat feitelijk met beide termen hetzelfde wordt bedoeld. Dus PA is hetzelfde als IA. De nuance hierin is dat de term heel goed van toepassing is op onze sector. De waterketen is namelijk één groot proces. Het “PA Netwerk” is dan ook het netwerk bestaande uit PA systemen die gezamenlijk werken binnen een geschakeld proces. Dit proces is vaak breder dan één locatie en is geografisch gezien erg breed. Onder IA werken vaak systemen ook geschakeld aan elkaar maar deze systemen zijn minder vaak geografisch gezien ver gescheiden van elkaar. Deze termen worden dus erg vaak door elkaar gebruikt en betekenen eigenlijk hetzelfde.

Het grote verschil tussen IA en KA

Zoals je al tussen de regels door hebt kunnen lezen zijn er best wel wat verschillen tussen een IA en een KA netwerk. Hoewel beide belangrijk zijn voor de bedrijfsvoering bevinden zich in het IA netwerk vaak toch systemen die nog kritischer zijn en wanneer deze niet meer functioneren voor veel overlast- en in extreme gevallen voor grote ongelukken kunnen zorgen.

Vroeger waren IA systemen fysiek gescheiden van elkaar en alleen te bedienen via handbediening op het apparaat zelf. Om meerdere systemen te kunnen controleren v.a. een centrale locatie zoals de controlekamer zijn er PCS en SCADA systemen ontwikkeld. En later, om het beheer te vereenvoudigen, de gegevensstroom te kunnen routeren en hergebruiken en om computers te kunnen gebruiken als HMI is er netwerkfunctionaliteit toegevoegd aan PLC’s en IA systemen. IA systemen kennen op hun beurt weer hele andere problemen van KA system, namelijk:

  • Ze zijn duur.
  • Ze zijn zeer betrouwbaar (uptime is essentieel).
  • Ze controleren belangrijke systemen die voor aanzienlijke problemen zorgen als deze down gaan.
  • Ze zijn niet ontworpen met security in het achterhoofd (de meeste moderne apparaten houden hier wel goed rekening mee).
  • Netwerkfunctionaliteit is vaak niet goed geïmplementeerd.

Bovenstaande opsomming van feiten vormen een vicieuze cirkel. IA apparaten zijn ontzettend belangrijk. De apparaten zijn ook erg duur en kwalitatief erg goed in wat ze moeten doen. IA apparaten hebben een levensduur van 15+ jaar en kunnen dus minder makkelijk vervangen worden dan KA apparatuur. Ook is het daarom lastiger om een representatief lab op te zetten met identieke IA apparatuur. Ook zijn patches op IA apparaten minder gebruikelijk omdat het doorvoeren van een patch downtime vereist en soms onverwachte gevolgen kan hebben.

Daarnaast wordt in een IA netwerk gewerkt met hele specifieke systemen en protocollen die niet gangbaar zijn binnen een KA netwerk. En hoewel er ook veel overlap is tussen beide netwerken zijn de verschillen significant. Dit betekend ook dat het beheren en beveiligen van een IA netwerk hele andere expertise vereist dan het beveiligen van een KA netwerk. Je moet o.a. rekening houden met:

  • Verouderde apparatuur.
  • Een grotere PDCA cycles.
  • Het feit dat downtime cruciaal kan zijn.
  • Je moet begrijpen hoe de systemen met elkaar communiceren maar ook hoe deze zo ver mogelijk gescheiden kunnen worden van alle andere zakelijke netwerken zoals het KA netwerk. Dus ook kennis van de overige infrastructuur van de organisatie is essentieel.
  • Je moet begrijpen hoe deze systemen technisch met elkaar functioneren.
  • Je moet op de hoogte zijn van de logging-methodes van deze apparatuur en hoe je deze informatie veilig kunt consolideren.

Dus hoewel veel best-practices doorgevoerd kunnen worden op IA die actief toegepast worden in de KA, vereist het implementeren hiervan vaak een andere aanpak. Het klinkt heel simpel om geen default wachtwoorden te gebruiken. Maar wie weet deze wachtwoorden dan? Waar worden ze bijgehouden? Hoe voorkom je dat je jezelf de komende 15 jaar niet buitensluit omdat het wachtwoord in deze jaren ergens verloren is gegaan. PA kent namelijk vaak geen geoliede IT organisatie. Meestal is de kennis aanwezig bij de leverancier en een paar sleutelpersonen in de organisatie. Maar wat als deze personen de komende 15 jaar een andere baan of functie krijgen en je ook nog eens veranderd van leverancier? Wat als er kwade opzet in het spel is etc. De problemen worden alleen nog maar groter bij het implementeren van grote changes zoals het doorvoeren van een zero-trust model (daarover meer in een andere post).

IA en KA kennen dus veel overlap met elkaar maar vereisen beide een andere mindset en andere kennis.

Jarno Baselier