In een industriële omgeving moeten enerzijds de mensen beschermd (safety) en anderzijds de machines en gevoelige gegevens beveiligd (industrial security) worden. Een veiligheidslacune kan verschillende gevolgen hebben, van verkeerde bediening en een ongeval tot een ernstige cyberaanval. Een uitgebreid Identification and Access Management, dat toegangsrechten duidelijk regelt, draagt bij aan een veiligheidstotaalconcept en aan efficiënte processen.

Identification and Access Management, dat individuele taken en bevoegdheden voor het werken met machines en systemen eenduidig regelt, is tot nu toe een op vrijwilligheid gebaseerde security-oplossing. De wetgever heeft inmiddels erkend dat safety en security met elkaar verweven zijn. De nieuwe machineverordening stelt daarom security maatregelen verplicht vanaf 2027. Bij de uitvoering van dergelijke maatregelen is het van belang de hanteerbaarheid en bruikbaarheid voor de gebruikers tijdens het bedrijf te waarborgen, teneinde manipulatie uit te sluiten. Intuïtieve bedieningssystemen die gebruikers gemakkelijk kunnen hanteren, voorkomen dat veiligheidsmaatregelen worden ondermijnd of dat machines verkeerd worden bediend. Bovendien draagt een doordacht veiligheidssysteem bij tot efficiënte processen zonder onnodige stilstand.

Eén systeem voor safety en industrial security

Beveiliging tegen ongeoorloofde toegang kan in de praktijk worden gerealiseerd met één systeem voor bedrijfsmoduskeuze en toegangsautorisatie. Dit systeem combineert safety en industrial security: de keuze van de bedrijfsmodus en de regeling van de toegangsrechten voor de machine. Een dergelijke oplossing wordt geboden door de apparaten van de productgroep PITmode van Pilz, waarmee tussen gedefinieerde bedrijfsmodi kan worden geschakeld en de toegangsautorisatie kan worden geregeld. De bediening is intuïtief, omdat elke gebruiker zijn of haar individueel gecodeerde transponder krijgt, wat een unieke gebruikersauthenticatie mogelijk maakt en manipulatie voorkomt.

Individueel beheren

Om het beveiligingsconcept individueel vorm te geven, is PITmode er in verschillende versies.

• Als compact all-in-one apparaat bevat PITmode de knoppen voor de bedrijfsmoduskeuze en een verwerkingseenheid, wat een ruimtebesparende installatie mogelijk maakt.
• Het modulair opgebouwde systeem PITmode fusion bestaat uit de uitleeseenheid PITreader met RFID-technologie en geïntegreerde webserver, en een veilige verwerkingseenheid (Safe Evaluation Unit, SEU).
• Een andere variant is PITmode flex: hierbij wordt PITreader gebruikt in combinatie met een Pilz-besturing en een softwaremodule voor veilige verwerking

De modulaire opbouw maakt het mogelijk toegangsautorisatie en bedrijfsmoduskeuze te integreren in het ontwerp van bestaande bedieningspanelen. Daar kunnen aanwezige knoppen voor de keuze van de bedrijfsmodus worden gebruikt, wat voor de gebruiker een eenvoudigere bediening mogelijk maakt. De identificatie met de transponder wordt uitgevoerd door de uitleesunit PITreader. PITmode en PITmode fusion bieden functioneel veilige bedrijfsmoduskeuze en toegangsautorisatie tot PL d.

Eenvoudige authenticatie

Om de bedrijfsmodus te kiezen, sluit de gebruiker zijn transponder rechtstreeks aan op de PITmode en drukt hij op een toets die voor de bedrijfsmodus is gedefinieerd of op de overeenkomstige toets op een HMI. Als er autorisatie is, krijgt de gebruiker toegang tot het proces. Hetzelfde werkt ook wanneer een servicemedewerker voor onderhoud op afstand toegang wil tot een machine: pas wanneer een persoon ter plaatse de betreffende vrijgave in het systeem geeft, kan het onderhoud op afstand beginnen. Na de onderhoudswerkzaamheden wordt deze toegang weer gesloten, voordat de machine weer wordt opgestart. Manipulatie door onbevoegden of een poort die per ongeluk is opengelaten na onderhoudswerkzaamheden, kan zo worden uitgesloten.

Sleutel, kaart of sticker

Nog meer flexibiliteit voor exploitanten en gebruikers biedt de variant PITreader card unit: hiermee kunnen RFID-compatibele kaarten en stickers samen met of in plaats van een RFID-transpondersleutel worden gebruikt. Als er al RFID-compatibele kaarten in een bedrijf worden gebruikt, kunnen deze ook in combinatie met de PITreader card unit worden gebruikt: de gebruiker heeft dan slechts één kaart voor meerdere functies nodig. Het principiële voordeel van RFIDtransponders is dat verschillende functies op één transponder worden gebundeld en dat zo een hele mechanische sleutelbos kan worden gecombineerd.

Een plus aan security

Er wordt ook rekening gehouden met security aspecten met het oog op authenticatie, kwalificatie en toegangsbeveiliging van gebruikers. Als er ondanks alle veiligheidsmaatregelen toch een ongeval of security-incident bij een machine voordoet, kan via het uitlezen van de RFID-transponder worden achterhaald wie welke wijziging heeft uitgevoerd. Als deze optionele functie gewenst is, registreert het besturingssysteem op basis van de authenticatie ook het tijdstip van toegang in de interne, onveranderlijke audit trail (gebeurtenissenlogboek).

Zorgvuldig beheer is de sleutel

Om safety en industrial security gedurende de hele levenscyclus van de toepassing te garanderen, besteden beheerders veel zorg aan het onderhoud van autorisaties. Voor een eenvoudig beheer ondersteunen passende softwaretools van Pilz de organisatie van gebruikers en transponders. Achter een kleine RFID-sleutel kunnen bijvoorbeeld complexe autorisatiematrices of bedrijfsbrede voorschriften verborgen gaan. Met de geïntegreerde PITreader webserver programmeren beheerders de bij PITmode of PITreader horende RFID-transponders en slaan daarop de gebruikersgegevens en autorisaties op. Alle belangrijke instellingen vinden rechtstreeks op de uitleeseenheid plaats, wat zorgt voor een snellere inbedrijfstelling, inclusief de configuratie van interfaces.

Toegang tot interfaces beperken

De mogelijkheden van het Identification and Access Management strekken zich uit tot het vrijgeven van speciale industriële USB-poorten, een van de belangrijkste inbraakpoorten bij security-incidenten. Daarvoor wordt het toegangsautorisatiesysteem PITreader gecombineerd met een bedieningselement zoals PIT oe USB, dat over een activeerbare USB 2.0 host-interface beschikt. Deze oplossing maakt het tegen manipulatie beveiligde laden van programma’s, het downloaden van gegevens en het aansluiten van een toetsenbord of muis mogelijk. De interface wordt namelijk alleen geactiveerd met de juiste autorisatie, zodat de gegevensstroom van een productie beveiligd is. Samen met een industriële firewall zoals SecurityBridge van Pilz kunnen machines zo worden beschermd tegen onbevoegde toegang en manipulatie.

Bestaande machines – safe en secure

Als bestaande machines aan de stand van de techniek moeten worden aangepast of als in het kader van een risicobeoordeling is vastgesteld dat maatregelen nodig zijn, kan het toegangsautorisatiesysteem PITreader eenvoudig achteraf worden ingebouwd: het apparaat kan rechtstreeks worden gemonteerd
op de gestandaardiseerde uitgangen voor sleutelschakelaars met een diameter van 22,5 millimeter. Samen met een Pilz-besturing kan de gewenste veiligheidsfunctie direct worden ingesteld. Bij gebruik van een externe besturing wordt PITmode fusion gebruikt om de beoordeling van de toegangsautorisatie en de bedrijfsmoduskeuze te integreren. Afhankelijk van het transpondermedium kunnen bestaande RFID-keycards in het bedrijf worden gebruikt voor de authenticatie.