Security maatregelen in TMX-Net Pro

Welke maatregelen worden toegepast om data secure uit te wisselen? (deel 2)
In de TMX nieuwsbrief van mei jl. zijn wij in deel 1 ingegaan op security in industriële automatisering, waarbij in de industriële automatisering de uptime topprioriteit is en bij kantoorautomatisering veiligheid (security) op nummer 1 staat. Gebruikers vinden een levensduur van 10 tot 15 jaar voor een telemetrie onderstation heel normaal, terwijl de computer op kantoor iedere 3 tot 5 jaar vervangen wordt. Er is wel een omslag zichtbaar bij gebruikers. Gebruikers zien steeds meer het belang van een veilig systeem en begrijpen dat hiervoor aangepast gedrag en extra (technische) maatregelen noodzakelijk zijn. In het eerste artikel vermeldden wij ook de must van het regelmatig installeren van updates (FOTA). TMX adviseert gebruikers dringend om minimaal ieder half jaar te controleren of de onderstations nog over de meest recente firmware beschikken en waar nodig deze middels FOTA bij te werken. De TMX-Net Pro hoofdpost beschikt hiervoor over een speciaal FOTA-scherm om dit eenvoudig te kunnen controleren en uitvoeren. Afsluitend hebben wij het gehad over het updaten van TMX-Net Pro.

In deel 2 gaan wij in op hoe de communicatie verloopt met de onderstations en de TMX-TWIN koppeling voor het uitwisselen van data.

Hoe verloopt de communicatie met de onderstations?
TMX onderstations maken vaak gebruik van openbare infrastructuren, zoals de bekende mobiele netwerken (2G/3G/4G). In Nederland worden deze netwerken door bekende providers als KPN, Vodafone en T-Mobile uitgevoerd. TMX maakt hierbij gebruik van een eigen APN (Access Point Name). Deze TMX APN zorgt ervoor dat de verbinding tussen de onderstations en de TMX-Net Pro hoofdpost afgeschermd is van het andere dataverkeer en het internet, zie afbeelding 1. Omdat TMX binnen de TMX APN per gebruiker alle onderstations in een zogeheten ‘subnet’ zet, worden ook de datastromen van onderlinge gebruikers volledig van elkaar gescheiden. De APN is via een VPN (Virtual Private Network) verbonden met de TMX-Net Pro servers in ons datacenter.

TMX kent twee soorten APN’s:
Managed SIMs:
Dit is de variant die TMX nadrukkelijk adviseert omdat deze, naast de security zaken, ook allerlei voordelen op het gebied van beheer, administratie en kosten heeft. Basis hierbij is een SIM-kaart van KPN. Onze ervaring is dat KPN beschikt over een van de meest betrouwbare en stabiele mobiele netwerken van Nederland van zowel 2G, 3G als 4G. Het dataverkeer verloopt binnen de TMX APN en klant-subnet. Een onderstation kan dus uitsluitend communiceren met de TMX-Net Pro hoofdpost. TMX beschikt over de mogelijkheid om de SIMs te managen en te monitoren. Is een SIM bijvoorbeeld gestolen, dan kan TMX deze na een melding direct blokkeren zodat er niet ingebroken kan worden op het netwerk.

Unmanaged SIMs:
Bij de unmanaged variant wordt de TMX APN aan een bestaande SIM toegevoegd. Voorwaarde is wel dat de SIM direct bij een van de grote providers (KPN, Vodafone of T-Mobile) is afgenomen. Abonnement en kosten blijven bij de klant. Ook hier loopt het dataverkeer van/naar de TMX-Net Pro hoofdpost via de afgescheiden TMX APN en klant subnet. Deze variant beschikt niet over de mogelijkheid om de SIM te blokkeren na diefstal.

Communicatie met de onderstations – encryptie, autorisatie en whitelisting
Moderne onderstations als de LMX400 en de LMX800 zijn voorzien van extra beveiligingsmechanismen. Dit omdat beveiligingsrichtlijnen als de BIG/BIR/BIWA (voor respectievelijk gemeenten, Rijkswaterstaat en Waterschappen) vereisen dat er bij communicatie van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet en mobiele netwerken, altijd geschikte encryptie moet worden toegepast. De LMX400 en LMX800 onderstations en TMX-Net Pro hoofdpost loggen bovendien bij elkaar in, zodat ook alleen geautoriseerde onderstations verbinding krijgen. Dit is noodzakelijk om bijvoorbeeld in geval van SIM diefstal te voorkomen dat er ongeautoriseerd ingelogd kan worden op de communicatie interface van de hoofdpost. TMX werkt bovendien hier met zogeheten ‘whitelists’ waardoor berichten van onbekende bronnen worden genegeerd.

De TMX-TWIN koppeling voor het uitwisselen van data
Voor uitwisseling van data met andere systemen beschikt de TMX-Net Pro hoofdpost over de TWIN webservice. Via deze webservice kunnen onder andere registraties, instellingen en setpoints worden uitgewisseld met andere IT-systemen. TWIN kent een uitgebreid autorisatiemodel. De TMX beheerder kan hierbij aangeven welke functionaliteit (registraties, setpoints, instellingen, etc.) er vrijgegeven wordt en voor welke locatie(s) en kanalen dit gebeurt. Bovendien kennen individuele functionaliteiten extra autorisatiemogelijkheden; zo kan de tijdperiode van een registratiereeks bijvoorbeeld worden beperkt. Omdat bij TMX-Net Pro de gegevens over internet verstuurd worden, is het noodzakelijk om deze af te schermen en te versleutelen. Dit gebeurt via een VPN verbinding.

Meer informatie?
In dit artikel zijn wij ingegaan op slechts een beknopt overzicht van enkele security oplossingen binnen TMX-Net Pro. Wilt u meer informatie? Dan kunt u hiervoor contact opnemen met de afdeling sales van TMX via 078 6100 300 of sales@tmx.nl of met een van onze dealers: Modderkolk Projects & Maintenance (024 648 6400), Van der Arend Installaties (0174 612 570) of Vlaar Techniek (0227 570 260).