Ga naar hoofdinhoud

Dongle bewaakt intellectueel kapitaal

De dongle van Wibu Systems is voorzien van een Smartcard chip en kan tegelijkertijd zesduizend verschillende licentiesleutels activeren (foto: Wibu Systems).

Het ontfutselen van de besturingsgegevens in een productieomgeving is een stuk gemakkelijker nu de controllers van machines voornamelijk zijn gebaseerd op standaard industriële PC’s met een internetverbinding. Diefstal van data wordt meestal niet eens opgemerkt en de dief kan in alle rust off-line de buit analyseren. De oplossing ligt in een beveiliging in de diepere lagen van het besturingssysteem. Een dongle van Wibu Systems kan hier uikomst bieden.

Veel moderne besturingsystemen zijn gebaseerd op standaard hardware. Ook in de run-time omgevingen wordt vaak een gedeelde standaard toegepast, bijvoorbeeld Codesys. De verspreide op internet gebaseerde netwerken zijn afzonderlijk beveiligd via VPN’s en firewalls. Voor controllers is dat echter niet afdoende; waar een servicemonteur bij kan, kan een hacker ook bij.

Servicemedewerkers leggen de toegangscodes voor de VPN’s van hun klanten vaak vast op onvoldoende beveiligde laptops. Krijgt een kwaadwillige via zwakke plekken in Firewall en VPN’s toegang tot een netwerk, dan ligt de weg open naar alle componenten, waaronder controllers.

Een fysieke scheiding van besturingsystemen en de apparaten of de productiemachines levert geen extra bescherming op. Vanuit hun laptops hebben servicemonteurs toegang tot controllers. Software, data en de instellingparameters komen allemaal te samen in de processor van de PLC. Dát is dus de plek waar beveiliging cruciaal is. Met een beveiligde opstartprocedure (‘secure boot’) is ongewenste toegang tot systeemcode tegen te gaan.

Alle systeemonderdelen inclusief de bootloader starten op vanuit een cryptografisch beveiligde omgeving die de betrouwbaarheid waarborgt. De afzonderlijke onderdelen van het besturingssysteem worden voorzien van digitale handtekeningen. De bootloader controleert het operating systeem, dat op zijn buurt de run-time omgeving controleert, waarna van daaruit de applicaties inspectie ondergaan.

Dongle voor controle

Een pre bootloader in de vorm van een ’system on chip’ (SOC) is het meest optimaal. Minder kostbaar is het toepassen van een tweevoudige bootloader, waarvan het deel met het initiële laadprogramma niet is te wijzigen. Aanvullende beveiligingsvoorzieningen zorgen ervoor dat een laag nagaat of de bewerking in de vorige laag correct is verlopen. De controle moet dus beide kanten op kunnen gaan.

Voor de teruggaande controle volstaat een dongle met een usb-connector. Deze lijkt op een geheugenstick, maar heeft een totaal andere functie. LVD, Belgisch producent van laserplaatsnijmachines, vertrouwt hiervoor op de oplossingen van Wibu Systems.

Het volledig artikel vindt u in het oktober-nummer van Aandrijftechniek.

x
Mis niet langer het laatste nieuws

Schrijf u nu in voor onze nieuwsbrief.

Inschrijven