Naarmate meer robots en andere productieapparatuur op afstand toegankelijk worden, ontstaan er nieuwe toegangspunten voor cyberaanvallen. Om gelijke tred te houden met de groeiende cyberdreiging, heeft een team van onderzoekers van het Amerikaanse National Institute of Standards and Technology (Nist) en de Universiteit van Michigan een raamwerk voor cyberbeveiliging ontwikkeld dat digital twin-technologie samenbrengt met machine learning en menselijke expertise om indicatoren van cyberaanvallen te signaleren
In een paper gepubliceerd in IEEE Transactions on Automation Science and Engineering demonstreerden de onderzoekers de haalbaarheid van hun strategie door cyberaanvallen te detecteren die gericht waren op een 3D-printer in hun laboratorium. Ze merken ook op dat het raamwerk kan worden toegepast op een breed scala aan productietechnologieën.
Cyberaanvallen kunnen ongelooflijk subtiel zijn en daarom moeilijk te detecteren of te onderscheiden van andere, soms meer routinematige systeemafwijkingen. Operationele gegevens die beschrijven wat er in machines gebeurt – bijvoorbeeld sensorgegevens, foutsignalen, digitale commando’s die worden uitgegeven of uitgevoerd – kunnen de detectie van cyberaanvallen ondersteunen. Directe toegang tot dit soort gegevens in bijna realtime vanaf apparaten voor operationele technologie (OT), zoals een 3D-printer, kan echter de prestaties en veiligheid van het proces op de fabrieksvloer in gevaar brengen.
“Doorgaans heb ik vastgesteld dat cyberbeveiligingsstrategieën bij de productie afhankelijk zijn van kopieën van netwerkverkeer die ons niet altijd helpen te zien wat er zich in een machine of proces afspeelt”, zegt werktuigbouwkundig ingenieur Michael Pease van Nist. Hierdoor laten cyberbeveiligingsprofessionals mogelijk ruimte voor kwaadwillende actoren om onopgemerkt te opereren.
Rijke datasets
“Omdat fabricageprocessen zulke rijke datasets produceren – temperatuur, spanning, stroom – en ze zo repetitief zijn, zijn er mogelijkheden om opvallende afwijkingen te detecteren, waaronder cyberaanvallen”, zegt Dawn Tilbury, een professor in werktuigbouwkunde aan de Universiteit van Michigan .
Hiertoe ontwikkelden de onderzoekers een raamwerk met een nieuwe strategie, die ze testten op een kant-en-klare 3D-printer. Het team bouwde een digitale tweeling om het 3D-printproces na te bootsen en voorzag het van informatie van de echte printer. Terwijl de printer een onderdeel bouwde, bewaakten en analyseerden computerprogramma’s continue gegevensstromen, waaronder zowel de gemeten temperaturen van de fysieke printkop als de gesimuleerde temperaturen die in realtime werden berekend door de digitale tweeling.
Golven van storingen
De onderzoekers veroorzaakten golven van storingen bij de printer. Sommige waren onschuldige anomalieën, zoals een externe ventilator die ervoor zorgde dat de printer afkoelde, maar andere, waarvan sommige ervoor zorgden dat de printer zijn temperatuurmetingen onjuist rapporteerde, vertegenwoordigden iets meer schadelijks.
Dus hoe konden de computerprogramma’s, zelfs met de schat aan informatie die voorhanden was, een cyberaanval onderscheiden van iets meer routinematigs? Het antwoord van het raamwerk is om een eliminatieproces te gebruiken.
Onregelmatigheden checken
De programma’s die zowel de echte als de digitale printers analyseerden, waren patroonherkennende machine learning-modellen die in bulk waren getraind op normale bedrijfsgegevens. Met andere woorden, de modellen waren bedreven in het herkennen van hoe de printer er onder normale omstandigheden uitzag, wat ook betekende dat ze konden zien wanneer onregelmatigheid, ze gaven het stokje door aan andere computermodellen die controleerden of de vreemde signalen consistent waren met iets in een bibliotheek van bekende problemen, zoals de ventilator van de printer die de printkop meer afkoelt dan verwacht. Vervolgens categoriseerde het systeem de onregelmatigheid als een verwachte afwijking of een potentiële cyberdreiging.
Als laatste stap is het de bedoeling dat een menselijke expert de bevinding van het systeem interpreteert en vervolgens een beslissing neemt. Die bevestigt dan de vermoedens van het cyberbeveiligingssysteem of leert het systeem een nieuwe anomalie om in de database op te slaan. En naarmate de tijd verstrijkt, zouden de modellen in het systeem in theorie steeds meer leren en zou de menselijke expert ze steeds minder hoeven te onderwijzen.
In het geval van de 3D-printer controleerde het team het werk van het cyberbeveiligingssysteem en ontdekte dat het in staat was om de cyberaanvallen correct te scheiden van normale anomalieën.