Cybersecurity is van levensbelang. Letterlijk, in het geval van PALLAS, want die organisatie maakt de nieuwe isotopenreactor: de PALLAS-reactor. Dit geavanceerde, nucleaire object is onder andere nodig bij de behandeling van hart- en vaatziekten en van kanker. Vanzelfsprekend moet de beveiliging ervan uitmuntend zijn. Daarover vertellen Ruud Koning (manager bij PALLAS en verantwoordelijk voor cybersecurity) en Edwin Roijers (design manager cyber security for control systems bij Croonwolter&dros) tijdens het Industrial Cyber Security Event op 10 oktober. We lichten alvast een tipje van de sluier op.
Beveiliging van levensbelang
De beveiliging van de nieuwe medische isotopenreactor moet aan de hoogste eisen voldoen; zowel nationale als internationale organisaties zien hierop toe. “De beveiliging heeft een maatschappelijk belang, in het kader van gezondheid en geneeskunde: de isotopen zijn slechts enkele dagen bruikbaar”, legt Ruud uit. Er is dus geen voorraad. Wanneer het apparaat uitvalt, komen medische behandelingen onder druk te staan. Ruud: “Het gaat uiteindelijk om mensenlevens.”
PALLAS is de nieuwe medische isotopenreactor en gaat de verouderde Hoge Flux Reactor (HFR) in Petten vervangen. Die HFR komt uit de jaren zestig van de vorige eeuw en is aan vervanging toe. Door de komst van de nieuwe PALLAS-reactor kan Nederland de komende vijftig jaar miljoenen patiënten blijven helpen. |
Security by design
Om de PALLAS-reactor van de juiste beveiliging te voorzien, is Edwin ingeschakeld. “Ik ben verantwoordelijk voor het hele securitypakket”, vertelt hij. Dat is een mooie uitdaging, gezien het geëiste beveiligingsniveau van de medische isotopengenerator. Edwin: “Er zijn veel OT-systemen die allemaal cyber-secure gemaakt moeten worden en soms ook relaties hebben met IT-systemen.” Edwin en zijn team werken daarom vanuit het principe security by design. “We bedenken: hoe vullen we het in, welke stappen moeten we doorlopen en hoe integreren we het?”
Edwin heeft een I(C)T-achtergrond. Van daaruit groeide hij door naar de technologische installaties en was altijd bezig met integrale opgaves. “Het integreren van verschillende vakgebieden en disciplines vanuit een architectuur naar een technische invulling. Dat ging van de architect tot bouwkundige, elektrotechnische, werktuigbouwkundige, security- en kwaliteitsborging – en alles daartussenin.” Hij vergelijkt die werkzaamheden met zijn huidige functie: “Eigenlijk heeft het veel van elkaar weg: ik werk nu ook met specialisten die een eigen invulling geven aan een bepaald aspect.” |
Uitdaging
Volgens Edwin zijn de meeste mensen gewend ‘om iets te verbeteren’. Het startpunt is dan bekend: een huidig apparaat of een huidige situatie. “Maar bij het inrichten van de beveiliging van de PALLAS-reactor beginnen we vanaf nul. Dat is lastiger dan je misschien denkt.” Tegelijkertijd noemt hij het ook een unieke situatie: “Je mag een nieuw ontwerp neerleggen, gebaseerd op nieuwe systemen. Een andere aanpak dan een huidig systeem verbeteren.”
Securityspagaat
De isotopenreactor moet in 2030 klaar zijn. Nu al nadenken over de toekomstige beveiliging is een extra uitdaging. Dat vereist een modulaire aanpak. Edwin legt het uit: “Er komen allemaal juiste systeemblokken, waardoor we later mogelijke aanpassingen goed kunnen doorvoeren.”
Edwin: “Soms zitten we in een spagaat. Dan moeten we kiezen: gaan we iets cyber-secure maken of moeten we andere maatregelen treffen vanwege de beschikbaarheid? Safety gaat dan altijd voor. We moeten het maximale naar boven halen.”
Voorproefje van de presentatie
Tijdens het Cyber Security Event nemen de specialisten je mee in de beveiliging van de geavanceerde isotopenreactor. Ruud: “Ik vertel over PALLAS; wat die isotopenreactor precies is en wat we maken. Wij horen bij de vitale sector – daardoor moeten we ook aan veel maatregelen en eisen voldoen – en dat betekent dat we de beveiliging naar een hoger niveau moeten tillen dan een gemiddeld bedrijf. Dat is interessant voor het publiek.”
Edwin gaat verder in op het ontwerpproces: “En dan specifiek over security by design. Wat als je helemaal opnieuw mag beginnen? Waar let je dan op? Hoe pak je dat aan? Welke stappen neem je? Hoe doen wij dat? Hoe borgen we de kwaliteit? Aan de hand van voorbeelden kan ik tijdens de presentatie vertellen: dat gaat niet zoals het ergens in een boek te lezen is.”
Wil je meer van Ruud Konings en Edwin Roijers horen én meer weten over cybersecurity in de industrie? Meld je dan nu aan voor het event op 10 oktober bij Congrescentrum 1931 in Den Bosch. |