Home Maintenance Klantverhalen Actemium houdt klanten cybersecure met Risk Based Patch Management
efficiënte manier om cybersecurity op orde te houden en de basis te leggen voor het verbeteren van Asset Management
Actemium houdt klanten cybersecure met Risk Based Patch Management
Consultancy tag corner Maintenance tag corner Cybersecurity tag corner

Het goed uitvoeren van security-updates in industriële omgevingen is tijdrovend, maar moet wel gebeuren om de cyberweerbaarheid van bedrijven hoog te houden. Na een geslaagde Proof of Value bij Danone Nutricia biedt Actemium voortaan Risk Based Patch Management als een service aan. Een efficiënte manier voor klanten om hun cybersecurity op orde te houden en tegelijk de basis te leggen voor het verbeteren van hun Asset Management.

In 2019 opende Danone Nutricia in Haps een nieuwe productieplant voor gespecialiseerde babyvoeding. Ze beschikt over state-of-the-art hardware en software. “Qua cybersecurity willen wij op het allerhoogste niveau blijven”, zegt Mike van de Ven, teamleider industriële automatisering. “We moeten onze software dan ook blijven updaten. Dit is in een productieomgeving uitdagender dan in een kantooromgeving. Productiesystemen zijn tijdens een heropstart niet beschikbaar, wat kan leiden tot productiestilstand of -vertraging.”

Actemium houdt klanten cybersecure met Risk Based Patch Management

Risk Based Patch Management

Om up-to-date te blijven zonder onnodig risico te lopen, wilden Mike en zijn team weten welke updates en patches er voor hun plant écht toe doen en welke ze niet (onmiddellijk) hoeven uit te voeren. “Alle assets hebben een lijst van patches (updates) en kwetsbaarheden die verholpen dienen te worden, zo ook in onze fabriek. We wilden voor elke patch en kwetsbaarheid onderzoeken of deze ook voor ons van toepassing was. Ook moeten we zeker weten dat de patch compatible is met de asset en eventuele andere componenten, zoals een SCADA-pakket. Een tijdrovende klus!”

Juist op dat moment had Actemium plannen om de dienstverlening rond cybersecurity uit te breiden met Risk Based Patch Management. Business consultant Rick Booij van Actemium: “Als industrieel bedrijf wil je er zeker van zijn dat een update voor een systeem niets anders kapot maakt. Het is veel efficiënter als wij de aanwezige kwetsbaarheden, beschikbare patches en hun comptabiliteit voor meerdere klanten bijhouden, dan wanneer iedere klant dit voor zichzelf moet doen. Danone stond open voor een pilot.”

Automatische netwerkanalyse

Gedurende enkele maanden analyseerde Actemium volledig automatisch een deel van het netwerk bij Danone Nutricia in Haps. Alle netwerkdeelnemers werden in beeld gebracht, inclusief OS- en firmwareversies en communicatieprofielen. 

Qua cybersecurity willen wij op het allerhoogste niveau blijven

Rick: “Nadat we alle assets in beeld hadden, hebben we samen met de klant bepaald hoe kritiek deze zijn voor de fabriek. Hierbij maken we onderscheid tussen kritisch voor het proces en kritisch voor de veiligheid van mens en milieu. Ook hebben we vastgelegd hoe groot het risico kan zijn dat de asset van buitenaf beïnvloed kan worden. Voor de gevonden assets hebben we geïnventariseerd welke security-updates er waren, welke specifieke kwetsbaarheden deze updates weghaalden en of er een alternatieve mogelijkheid was om de kwetsbaarheid te verhelpen. Per update hebben we de impact in kaart gebracht. Denk aan downtime, safety issues, kosten en kwaliteitsverlies. Soms blijft het niet bij een patch en zal je naar een nieuwe versie van software moeten. Dat is vaak duur. Als je een update niet kan installeren, is mitigeren een alternatief, maar het kan het ook een optie zijn om helemaal niets te doen. Op basis van het inzicht dat wij met Risk Based Patch Management bieden kan de eigenaar van de asset zelf een gefundeerde keuze maken.”

Dit vind je misschien ook interessant 
Blijf op de hoogte van de ontwikkelingen op het gebied van maintenance in de breedste zin van het woord.

Inzicht en overzicht

Het advies van Actemium kwam tot stand op basis van de risicoscores van de kwetsbaarheden, de criticaliteit van de asset, de impact op veiligheid en de kans dat er besmetting optreedt. Mike kreeg hierdoor diepgaand inzicht in alle netwerkcomponenten die een kwetsbaarheid vormen, inclusief componenten waaraan men wellicht in eerste instantie niet zou denken. Rick: “De focus ligt vaak op Windows-updates, maar wij nemen ook PLC’s, switches, firewalls, remote I/O en andere industriële componenten mee.” Mike:  “Visibility is key. Het uitvoeren van een Windows-patch alleen is soms niet voldoende. Daarnaast kunnen er namelijk nog andere kwetsbaarheden aanwezig zijn. Je moet daar goed zicht op hebben, aangezien OT-systemen, in tegenstelling tot Office laptops of smartphones, niet automatisch up-to-date worden gehouden. Daar zitten wij bovenop.”

Actemium houdt klanten cybersecure met Risk Based Patch Management

Schaalbare dienstverlening

Na de geslaagde Proof of Value gaat Actemium de nieuwe dienstverlening full scope uitrollen bij Danone Nutricia in Haps. Dit wordt gefaseerd aangepakt. Ook andere klanten kunnen gebruik maken van de nieuwe dienstverlening. Rick: “We geven het vorm als een SLA met een maandelijks advies. Bij een hoog risiconiveau kunnen we ook vaker adviseren. Het is een schaalbare dienstverlening: klanten kunnen klein of groot instappen. Ze krijgen inzicht in hun grootste kwetsbaarheden en weten waarop ze moeten focussen om goed beveiligd te blijven.” Mike vindt Risk Based Patch Management een gat in de markt: “Er is veel voorwerk nodig om tot een goed advies te komen over het uitvoeren van updates. Het kost tijd, geld en je hebt voldoende mensen nodig met de juiste kennis. Niet up-to-date zijn is vandaag de dag geen optie meer. Je moet ervoor zorgen dat je zo snel als mogelijk de kwetsbaarheden wegneemt, om de kans  op en de impact van cybercriminaliteit zo laag mogelijk te houden. Ik vind het heel fijn om dit voorwerk bij Actemium te kunnen neerleggen. Een langgekoesterde wens. Scannen hoeven we niet meer zelf te doen, maar het updaten uiteraard wel.”

Asset Management

Actemium gaat de dienst ook verder door ontwikkelen. Rick: “Door de analyse van het netwerkverkeer die wij maken, hebben we goed in beeld wat er precies op het netwerk zit. De informatie die we verzamelen, kunnen we ook inzetten voor Asset Management bij onze klanten. Zo blijven ze continu op de hoogte van de status van hun assets. Zo kunnen we bijvoorbeeld tijdig aangeven wanneer een asset niet meer ondersteund of leverbaar is. Hier kan de klant het life-cycle-management op afstemmen” Mike: “Hartstikke nuttig en voor mij weer een vraagstuk ingevuld! Asset Management is  verspreid over verschillende systemen. Overzicht houden is dan complex en handmatig, terwijl dit cruciaal is om onderhoud en vervanging optimaal te plannen zodat je niet voor onvoorziene kosten komt te staan.”

Niet up-to-date zijn is vandaag de dag geen optie meer. Je moet ervoor zorgen dat je zo snel als mogelijk de kwetsbaarheden wegneemt, om de kans  op en de impact van cybercriminaliteit zo laag mogelijk te houden.

Een kop koffie drinken met experts uit jouw regio?
Neem contact op met één van de experts uit jouw regio voor meer informatie over onze oplossingen.
Rick Booij
Business consultant - Veghel
[javascript protected email address]
+31 (0)6 46 84 80 99
Martin van Malten
Improvement Manager - Veghel
[javascript protected email address]
+31 (0)6 51 37 93 74