JanWiersma.com

CeBit 2012 & Datacenter

Afgelopen CeBit 2012 leek ook wat last van de crisis te hebben. Hal delen waren leeg en het leek rustiger dan anders.

Op datacenter gebied waren er ook geen schokkende zaken. De grote IT spelers zetten massaal in op de cloud hype, de datacenter leveranciers op groen en modulair. Niets nieuws onder de zon dus.

Enkele interessante punten:

cebit-dellTemperatuur

Dell kondigde hun 12e generatie servers aan. Niet alleen ondersteunen deze servers weer nieuwe CPU’s en zijn ze nog weer krachtiger en efficiënter, maar deze servers ondersteunen ook Dell’s Fresh Air initiatief. Hierbij worden de werking van de servers gegarandeerd bij temperaturen (inlet) tot 35C constant. Voor 900 uur per jaar is 40C acceptabel en voor 90 uur per jaar 45C. Dit alles dus onder volledige garantie van Dell.

Voor lage temperaturen (zoals onze afgelopen winter) geld een standaard temperatuur van 10C, 900 uur van 5C en 90 uur van –5C onder garantie. 

Met deze temperatuur condities is het dus mogelijk om de servers in het Nederlandse klimaat op gefiltreerde buitenlucht te laten draaien voor de meeste tijd. Enkel in winter condities moeten we er nog voor zorgen dat het niet onder de garantie grenzen komt.

Niet alleen de server lijnen van Dell (PowerEdge) maar ook opslag en netwerk componenten zullen de komende tijd het Fresh Air initiatief gaan ondersteunen.

  

iceotope-cebit

De firma Iceotope kondigde een ready-for-market vloeistof koelsysteem voor servers aan op deze CeBit;

The worlds first truly modular liquid cooled data center. We’ve combined servers and liquid cooling into a scalable 2N solution ready to slot into any standard data center globally.

The Iceotope solution comprises a range of compute modules from Intel, AMD and other vendors inside a high density, low power and fully cooled cabinet.

Liquid is vastly more capable of transferring heat. It conducts the heat far better and needs much less energy to be moved around. Using liquid allows us to take heat away from the electronics quickly, efficiently and effectively.

We use 3M™ Novec™ because of its excellent convection properties, inert nature and its ability to insulate electrically.

Ze zijn niet de eerste die een dergelijke oplossing in de markt proberen te zetten. Onder andere Hardcorecomputer en Green Revolution Cooling gingen hun ook al voor met een product op vloeistof gekoelde basis. Het aardige van de Iceotope oplossing is dat deze tot 45C koelvloeistof accepteerd, waarna deze met een deltaT van +5C retour komt. Hier door is het goed inzetbaar met buitenlucht gebruik en in warme klimaat omstandigheden.

De uitdaging met dit soort oplossingen is het huidige eco-systeem van de datacentermarkt; alles is ingericht op luchtkoeling waarbij standaard componenten (zoals het 19’’ rack) er voor zorgen dat een heel scala aan leveranciers met elkaar kan samen werken. Hierbij heeft de klant, na de keuze van zijn rack (Minkels, APC, Rittal, …) , bijvoorbeeld de keuze uit diverse server leveranciers (IBM, HP, Dell, …). De start van het Iceotope model gaat er vanuit dat je het hele systeem inclusief servers, koeling etc.. bij hun afneemt wegens o.a. de lekdichtheid van het systeem.

Video Iceotope hier.

cebit-rittalLED

LED kent een steeds grotere aanwezigheid voor verlichtingsdoeleinden. Naast het feit dat er diverse Aziatische bedrijven met LED oplossingen op CeBit waren, waren er ook diverse LED toepassingen voor datacenter verlichting. Rittal toonde op de stand een mooie blauwe LED oplossing, maar er waren ook toepassingen te zien die werkelijk voldoende licht opbrengst hadden om goed bij te kunnen werken en er ook nog eens ‘fancy’ uitzagen.

Gezien de energie besparingen die haalbaar zijn met technieken zoals LED en TL5 zit er zeker toekomst in voor datacenter gebruik. Enige aandachtspunt bij deze technieken is mogelijke verstoring op databekabeling.pduklem-cebit

 

 

 

C13 PDU Lock

Veel PDU leveranciers dit jaar op de CeBit. Enkele daarvan toonde een handige clip om te zorgen dat je C13/14 stekker niet meer uit de PDU kan vallen als je bijvoorbeeld onderhoud moet doen aan je systeem of extra kabels moet installeren.

Dit soort oplossingen waren er wel eerder met een losse opzet clip, maar die werd vaak vergeten of was niet echt werkbaar. Deze is beter geïntegreerd. 

 

IMG_0234Modulair

Uiteraard weer de nodige modulaire en container oplossingen. De Rittal container (voorheen Lampertz) mocht natuurlijk niet ontbreken. De Chinese firma Huawei had ook een datacenter container mee gebracht. De IDS1000 AIO (PDF).

De PUE zou 1,4 bedragen voor deze 80kW container. Maximaal 10kW per rack word ondersteund. De container kan geplaatst worden in buiten condities van –40C tot 55C. Beschikbaarheid ligt op TIER III niveau volgens de spec’s.

Op zich niet heel erg spannend qua ontwerp en uitvoering, maar gezien de mogelijkheid voor Chinese bedrijven om gro
te volumes goedkoop te produceren zeker interessant.

Filmpje van de container oplossing hier.

DCIM

APC liet hun software oplossing zien voor datacenter beheer. De zo geheten DCIM. De samenvoeging van informatie die relevant is voor IT en facilitair personeel in een enkel platform levert zeker zijn voordelen op. De markt is aardig aan het opwarmen voor dit soort oplossingen en nu er meer spelers komen worden de oplossingen steeds beter uitgewerkt en de prijzen interessanter.

Ook Huawei toonde een dergelijke oplossing in beta fase die samen met hun bovengenoemde container werd geleverd. Het beta product zag er al veel belovend uit.

Opkomst van Azie (en vooral China)

Naast de boven genoemde Huawei waren er traditie getrouw een hoop Aziatische bedrijven op de CeBit. Waar de focus voorheen lag op databekabeling en elektronica, waren er dit jaar diverse Aziatische bedrijven die datacenter componenten aan de man probeerde te brengen. Denk hier bij vooral aan IT racks (compleet met warme/koude scheiding), bekabelingskasten en PDU’s. Sommige leveranciers waren nog niet op het kwaliteit niveau dat we gewent zijn in Europa, maar een aantal kwamen aardig in de buurt.

Het is duidelijk dat ze goed gekeken hebben naar de Europese producten en onder het motto ‘beter goed gejat, dan slecht bedacht’ nu proberen de datacenter markt binnen te dringen.   

Wil iemand het licht uit doen voor EUE ??!?

In 2007 lanceerde The Green Grid het idee van PUE. Het was niet perfect en niet uitgewerkt. In 2009 kwam de DOE met de EUE. Daar van zijn inmiddels diverse beschrijvingen en vormen:geen-eue

1. “EUE is calculated by dividing the total source energy by total UPS energy. Some factors will not be a part of the calculation, such as heating and cooling degree days, data center type (traditional, hosting, Internet, etc) and UPS utilization.”

2. “EUE (energy usage efficiency) is very similar to PUE (power usage efficiency) with two notable exceptions. PUE covers only electrical usage where EUE covers all energy coming in to the data center. PUE also only covers electrical power from the entrance to the facility, EUE covers the energy from the source.”

3. “EUE is the same as PUE but calculated in one full year”

4. “EUE is the same as PUE but calculated in kWh”

5. “Deze EUE geeft een energie-prestatiemaat aan, de verhouding tussen het energiegebruik van ondersteunende diensten (zoals koeling) en het ICT-gerelateerde energieverbruik.”

Deze laatste kwam uit Nederland waar men dacht de opstart problemen met PUE ook te moeten aanpakken. ICT~Office kwam, met TNO, in 2009 met het idee voor EUE. Vaak werd aangehaald dat PUE niet over 1 heel jaar berekend hoeft te worden of geen rekening houd met energie (of warmte) terug leveren vanuit het datacenter. Ook het feit dat Nederland een eigen specifieke metriek voor datacenter energie efficiëntie nodig had werd vaak aangehaald.

Nou ben ik behoorlijk nationalistisch ingesteld; ik sta compleet in het oranje in de kroeg tijdens het EK, ik leef mee met ons koningshuis en ik eet haring… maar die EUE heb ik nooit begrepen. Als het dan iets echt Nederlands moest zijn, dan tenminste een echte vertaling – Energie Gebruiks Efficiëntie (EGE).

Recent duikt de EUE weer vol op op in Nederland. Ik hoor ICT~Office er over en AgentschapNL.

Tijdens een EMEA bijeenkomst met internationale collega’s van The Green Grid werd ik dus ook een beetje meewarig aangekeken toen de term viel. Zeker omdat de EPA&DOE de EUE inmiddels heeft los gelaten en PUE ondersteund. Ook de Europese Commissie heeft de PUE geadopteerd voor de Datacenter Code of Conduct.

Veel van de manco’s zijn ook inmiddels geadresseerd voor de PUE. In whitepaper #22 worden enkele zaken geadresseerd:

  • Since power distribution losses and cooling equipment power consumption will always take positive values, DCiE can never be greater than 100%, nor can PUE be less than 1.0
  • The PUE and DCiE metrics can be computed using either power (kilowatt) or energy (kilowatt-hour) measurements.
  • The Green Grid discourages comparisons of different datacenters based on reported PUE/DCiE results.  Location, architecture, vintage, size and many other factors all play a role in a data center’s final results
  • The Green Grid’s PUE /DCiE Detailed Analysis provides instructions for several options, differentiated by expected accuracy, for collecting power consumption data and calculating PUE and DCiE values.
  • Without some indication as to the time over which particular results were calculated or the frequency with which individual data points were collected, comparison of results are difficult.
  • pPUE = Total Energy within a boundary divided by the IT Equipment Energy within that boundary. (Zie deze presentatie en whitepaper #42)

Dus: de PUE mag niet onder de 1 zijn, PUE mag in kW of kWh berekend worden, PUE is niet bedoeld om datacentra met elkaar te vergelijken. Daarnaast dient er bij PUE publicatie context mee gegeven te worden. Deze context bestaat uit de locatie van de meting en de periode van meting;

De locatie van meting:

image

Het moment van meten:

The subscript is created by appending a character denoting the averaging period and a
character denoting the data collection frequency onto the reported metric
• Averaging Period:
o ‘Y’ denotes a measurement averaged over a year
o ‘M’ denotes a measurement averaged over a month
o ‘W’ denotes a measurement averaged over a week
o ‘D’ denotes a measurement averaged over a day

•Frequency:
o ‘M’ denotes a measurement taken monthly
o ‘W’ denotes a measurement taken weekly
o ‘D’ denotes a measurement taken daily
o ‘C’ denotes a measurement taken continuously (at least hourly)
o ‘–‘ denotes a single measurement (averaging period not used)

Dit geeft de volgende voorbeelden:

image

Bovenstaande geeft de lezer van een PUE getal een betere context rond de gepubliceerde cijfers. De discussie over een PUE ‘is niet over 1 heel jaar’ is daar mee dus ook afgedekt. Voor de manier van meten en technische uitwerking is samen met ASHRAE een boek geschreven genaamd “Real-Time Energy Consumption Measurements in Data Centers”.

Daar waar leveranciers van datacenter modules, koeling of energie onderdelen graag hun efficientie in beeld willen brengen kunnen ze voor dat deel de Partial PUE (pPUE) gebruiken. Hier mee is meteen duidelijk dat het over een datacenter deel gaat en niet over de gehele installatie.

Voor PUE berekening bestaat ook al enige tijd een tool op de Green Grid website.

Als men energie terug levert als (rest)product van het datacenter, kan men die inzichtelijk maken via de ERE: A Metric for Measuring the Benefit of Reuse Energy from a Data Center. Daarbij komt de PUE dus nooit onder de 1.

Tot ziens EUE

Nu er internationaal gekozen word voor PUE en deze zo ver uitgewerkt is, zou het fijn zijn als de Nederlandse organisaties zich hierbij aansluiten. Sommige ontwikkelde normen zoals BREEAM-NL en te ontwikkelen normen zoals NPR 5313 hebben de PUE ook over genomen. Dit voorkomt allemaal ruis in de markt. Zowel bij datacenter klanten, bij datacenter eigenaren, als bij de overheid. Spraakverwarring over een onduidelijke EUE moet vermeden worden, zodat we bij RFP’s of overheidsregels elkaar niet wazig behoeven aan te kijken. Zoals Neelie Kroes zegt;

Once we have a transparent way to measure, we can start in earnest to audit, report, and exchange best practice in the ICT sector.

Laten we die transparantie eenduidig en internationaal houden… en EUE gedag zeggen. *klik*

Neelie Kroes & Efficiënte datacentra…

Afgelopen week publiceerde Neelie Kroes (Vice-President European Commission, Digitale Agenda) een blog rond de energie en CO2 footprint van de ICT sector. Hier in haalde ze uiteraard ook de datacentra aan;

Most evidence points to the manufacturing phase of ICT as the largest environmental footprint of the sector. But there are also significant energy needs in data centres. While definite numbers are hard to calculate, the most accurate information suggests that, by 2020, data centres in Western Europe could consume around 100 billion kilowatt hours each year – that’s around the same as the current total electricity consumption of the Netherlands!

De volgende stap werd ook uitstekend verwoord;

Addressing this huge rise in energy consumption first requires transparency from the sector. We need a consistent way to find out where the emissions in the sector are really coming from, and to measure the environmental footprint across the sector.

Dit komt neer op duidelijke afspraken over de manier van meten en communiceren daar over. In de basis roept ze op tot transparantie, samenwerking en de juiste metrieken. In december 2011 schreef ze ook al een keer over standaarden en metrieken in Green Standards – measuring the environmental impact of ICT. Het is belangrijk om gezamenlijke en eenduidige metrieken af te spreken en deze bij voorkeur op wereldwijd niveau te handhaven. Zeker voor internationale bedrijven word het bijna onmogelijk om in elk land weer een aparte versie van de PUE te handhaven.

Op wereldwijd niveau is het daarom goed om te zien dat er afspraken gemaakt word over PUE en deze ook meegenomen word in de ISO normeringen die gevormd worden.

Transparantie helpt om elkaar en daarmee de sector sterker te maken. Denk aan de OpenCompute gedachte van Facebook bijvoorbeeld. Ook DatacenterPulse probeert hier bij zijn steentje bij te dragen met bijvoorbeeld de Open RFP, waarbij de opgedane kennis gedeeld word met andere:

[youtube=http://www.youtube.com/watch?v=-jE_SPX7p0Y&w=448&h=252&hd=1]

 

Aangezien dit alles een focus is voor de EU en haar digitale agenda, moeten we als IT sector zorgen dat dit niet van tafel valt. Geen inzet betekend uiteindelijk altijd regulering van de overheid en dat kunnen we maar beter voor zijn. Dus actie:

Quite aside from the benefits of keeping energy costs down, we must make sure that the smart economy of the future is also sustainable. Information technology is moving to the centre stage of our lives. It’s time it moved to the centre stage of climate action too.

BREEAM voor datacentra in NL

Ongeveer 2 jaar nadat ik vroeg wie de handschoen ging oppakken voor BREEAM-NL Datacentra is deze er nu.33 breeamnl

De handschoen werd uiteindelijk opgepakt door Ziggo en EvoSwitch;

DGBC heeft vandaag een aparte BREEAM-NL richtlijn voor datacenters gelanceerd. “Vanwege de specifieke functie en energievraag is het namelijk niet mogelijk om dit type bouwwerken met de huidige BREEAM-NL Nieuwbouw richtlijn te beoordelen”, legt DGBC-projectmanager Maarten Dansen uit. De eerste projecten zijn reeds bezig met certificeren en er staan steeds meer partijen in de rij om dit voorbeeld te volgen. Tot de eersten behoren EvoSwitch Datacenter en netbeheerder Ziggo.

“Zowel vanuit de markt als de overheid bestond al langer de behoefte aan een duurzaamheids- keurmerk voor datacenters. Daarom is een functie specifieke beoordelingsrichtlijn (BRL) ontwikkeld. We hebben met ondersteuning van Agentschap NL en samen met partijen als Ziggo en EvoSwitch de BREEAM-NL Datacenters ontwikkeld.

Het is goed om te zien dat er steeds meer aspecten van datacenter bouw en beheer bekeken worden vanuit een duurzaamheidsblik.

De ontwikkelde template is in korte tijd tot stand gekomen met medewerking van diverse industrie organisaties. Theoretisch is hij uitstekend bruikbaar en de eerste praktijk casussen moeten aantonen waar mogelijke gaten zitten of verbeteringen nodig zijn.

Credits voor mijn datacenter collega van Ziggo – Michel Bosman (die mooie dingen aan het doen zijn op datacenter gebied) en credits voor de projectleider Frank Zegers. We hebben een mooie eerste stap neergezet voor duurzame datacenter bouw.

Kritiek

Tijdens de ontwikkeling werd door de DGBC richting leden van ICT~Office aangekondigd dat deze BREEAM template in ontwikkeling was. De meest gehoorde reactie was "niet weer een certificaat er bij!"

Nu is het aantal certificaten op duurzaamheid in datacentra beperkt. Men kan kijken in de richting van ISO (zoals de 14001), maar deze zijn vooral gericht op exploitatie en niet zo zeer bouw. Daarnaast zou BREEAM niet nieuw moeten zijn, zeker niet voor kantoor gebouw eigenaren. Ongeveer 20% van alle kantoor gebouwen word op dit moment neer gezet met een BREEAM certificaat.

Daarnaast geeft BREEAM, in tegenstelling tot LEED, mogelijkheden tot subsidie vanuit de MIA. Dit betekend dat het financieel interessant kan zijn om de certificering te doorlopen. Ook extra kosten rond duurzaamheid kunnen hier mee (deels) gedekt worden. Vol op kansen dus…

Zoals de Datacenter Pulse Stack ook aangeeft, bestaat het gehele datacenter uit diverse bouwblokken. Deze kennen allemaal hun eigen karakteristieken en metrieke voor duurzaamheid. Ook bouw en exploitatie zijn verschillende doorsnede hier in. Uit eindelijk ontkomen we dus niet aan een verzameling van certificaten (ISO, BREEAM, LEED, CEEDA,..) en metrieke (PUE, CUE, WUE,..) voor het totale datacenter.

Dit holistische idee is ook door de Green Grid opgepakt: http://jwiersma.wordpress.com/2011/03/18/the-green-grid-verruimt-scope/

Presentatie van BREEAM-NL & datacentra: http://www.ictgaatvoorgroen.nl/pg/file/read/6121/presentatie-dgbc-breeam-datacenters

SCADA netwerken & beveiliging… vervolg

De laatste weken is er aardig wat rumoer rond SCADA netwerken en hun beveiliging;

Sporthal gehackt via wijd open SCADA-systeem;

Een openstaande log-in heeft internetgebruikers onbeperkte toegang gegeven tot het beheren van fysieke zaken als luchttoevoer, temperatuur en alarmen in een sporthal in Spijkenisse.

En;

Nederlandse hacker onthult open SCADA-systemen;

Een Nederlandse hacker heeft een lijst van SCADA-systemen gepubliceerd die open en bloot aan het internet hangen.

En;

Zeeuwse gemalen te hacken via SCADA-lek;

De SCADA-systemen van rioleringspompen en gemalen van de gemeente Veere blijken slecht beveiligd. Hackers kunnen de systemen manipuleren vanuit huis. De gemeente is geschrokken.

En zelfs op Nu.nl;

D66 en VVD willen opheldering over hackers;

AMSTERDAM – D66 en VVD willen dat minister Ivo Opstelten (Veiligheid) opheldering geeft over het feit dat het kinderlijk eenvoudig is sluizen, gemalen, rioleringspompen en bruggen via internet te bedienen.

En 1-Vandaag besteden er een uitzending aan;

Sluizen, gemalen en bruggen slecht beveiligd;

Het blijkt kinderlijk eenvoudig om sluizen, gemalen, rioleringspompen en zelfs bruggen in Nederland via internet op afstand te bedienen. In EenVandaag een reportage die bijvoorbeeld laat zien hoe slecht de rioleringspompen en gemalen van de gemeente Veere zijn beveiligd. Met een paar simpele handelingen zijn ze vanaf een thuiscomputer te bedienen.

Het eerder geschreven artikel door Jeroen en mij rond datacentra, SCADA en veiligheid, is inmiddels opgepikt door DatacenterWorks: http://datacenterworks.nl/uploads/DCW%209-2011.pdf . Ook het Vakblad informatiebeveiliging pikte het op voor de leden van de PvIB : http://www.pvib.nl/tijdschrift

Het Nationaal Cyber Security Centrum (NCSC) heeft inmiddels een factsheet online gezet met daarin de veiligheidrisisco’s die overheden lopen. “De praktijk wijst uit dat veel organisaties onwetend zijn over welke van hun systemen direct via internet bereikbaar zijn. Een deel van die onwetendheid komt omdat systemen zijn aangelegd en/of worden beheerd door derden, waarmee geen of onvoldoende afspraken zijn gemaakt over beveiligingseisen”, waarschuwt het NCSC.

 

 

Datacenter strategie 101

Eerder gepubliceerd in vakbladen voor Facilitair beheer. Datacenter strategie basics:

 

Informatie Technologie (IT) verandert heel snel en daarmee verandert ook het koppelvlak tussen IT en facilitair: het datacenter. Door de snelle veranderingen in de markt is het de afgelopen jaren steeds belangrijker geworden om het datacenter (of rekencentrum) mee te kunnen laten bewegen met deze ontwikkelingen. De kijk op datacenters is daardoor veranderd: daar waar het vroeger vaste ruimtes waren die men voor 10 à 15 jaar met een grote kapitaalinvestering bouwde, is hiervoor tegenwoordig een gedegen strategie vereist om flexibel in alle marktontwikkelingen mee te kunnen gaan. Deze datacenterstrategie is inmiddels net zo belangrijk geworden als de IT-strategie die het moet faciliteren.

Een goede datacenterstrategie moet de specifieke eisen en wensen van de organisatie adresseren. Het dient een strategie te zijn waarbij rekening gehouden moet worden met de groeiende complexiteit en de tientallen keuzes die de organisatie gaandeweg verwacht tegen te komen. Strategische planning is daarbij geen poging om risico’s te elimineren of te voorspellen hoe het datacenter er uit zal zien over vijftien jaar. Wel is het een manier om te bepalen welke risico’s de organisatie bereid is te nemen en vast te stellen welke richting past bij de bedrijfsstrategie.

Aan de hand van de drie volgende speerpunten kan men een pragmatische datacenterstrategie opstellen voor iedere organisatie:

  • trends en technologieën beoordelen die passen bij de organisatie;
  • de juiste stakeholders betrekken;
  • een kostenmodel bepalen.

Continue with reading

Datacenter relevante (energie) wetgeving – whitepaper

The green gridDe Green Grid heeft een nieuw whitepaper uitgebracht: White Paper #44 – Energy Policy Research and Implications For Data Centres In EMEA. Het document telt 216 pagina’s aan relevantie wetten, regelgeving en subsidie mogelijkheden op het gebied van energie verbruik en relevante gebieden. Diverse landen in de EMEA regio worden behandeld, waar onder Nederland, Duitsland, Frankrijk, UK, maar ook Zuid Afrika en Rusland. Het document is een product van de EMEA Technical Commissie van The Green Grid, onderleiding van Harkeeret Singh. CBRE was verantwoordelijk voor het uitvoeren van het onderzoek. Het document is beschikbaar voor Green Grid leden en komt op termijn beschikbaar voor niet-leden.

Als voorbeeld de inhoudsopgave voor het Nederlandse deel:

  • 8 Netherlands
  • 1. EU and International Policies
  • 1.1. European Performance of Buildings Directive & Energy Performance Certification
  • 1.2. The Energy Labelling Directive (92/75/EEC)
  • 1.3. EU Ecolabel/Flower
  • 1.4. European Commission Code of Conduct on Data Centre Energy Efficiency
  • 1.5. Eco-Design Directive for Energy-Using Products (2005/32/EC)
  • 1.6. Certain Fluorinated Greenhouse Gases (EC Regulation 842/2006)
  • 1.7. EU GHG Emission Trading Scheme (Directive 2003/87/EC)
  • 2. National Policy Context .
  • 2.1. Decree Energy Performance of Buildings (BEG)
  • 3. Regulatory Obligations
  • 3.1. Building Regulations: Bouwbesluit
  • 3.2. Planning: Spatial Planning Act
  • 3.3. Spatial Planning Act (Wet op de ruimtelijke ordaening)
  • 3.4. Environmental Management Act (2004)
  • 4. Financial Costs
  • 4.1. NOx emissions trading
  • 4.2. Carbon Taxes
  • 5. Financial Incentives
  • 5.1. Tax incentive: EIA (Energy Investment Allowance) .
  • 5.2. Financing Support and Interest-Free Loans
  • 5.3. Feed-in Tariffs (FITs)
  • 6. Voluntary Mechanisms
  • 6.1. BREEAM-NL
  • 6.2. Green Fan
  • 6.3. More with Less Programme
  • 6.4. InfoMil
  • 6.5. Energy Star

 

Een virus in je noodstroom generator…

Artikel door Jeroen Aijtink, CISSP en Jan Wiersma, Int. Director EMEA DatacenterPulse.securing-scada-network-p1

In de zomer van 2010 werd bekend dat er een zeer geavanceerd worm virus was gevonden die als doel had om Iraanse ultracentrifuges te saboteren. Door programma code in PLC’s van Siemens te wijzigen kon men de motoren van de centrifuges beïnvloeden. Het virus kreeg de naam Stuxnet mee en was het eerste virus dat industriële besturingssystemen als specifiek doel had.

Tot voor kort was het idee dat SCADA en industriële besturingssystemen kwetsbaar waren voor een cyber aanval, voor vele slechts theorie. Op basis van de complexiteit van deze systemen en hun bijzondere communicatie protocollen achtte leveranciers en gebruikers zich veilig tegen dergelijke aanvallen. De redenatie was dat dergelijke industriële besturingssystemen zoals PLC’s simpel weg zo verschillend zijn van normale IT systemen, dat deze geen interessant doel zijn voor traditionele hackers. De verschillen waar door de industriële besturingssystemen geen interessant doel zouden zijn waren:

  • Industriële besturingssystemen bevatten componenten zoals PLC’s, motor controllers en intelligente automaten waar van de kennis ver buiten die van de meeste hackers ligt.
  • Industriële besturingssystem componenten zijn uitgevoerd in wijdvertakte netwerken met honderden onderdelen waarbij de complexiteit er van meestal door enkel ervaren engineers begrepen word.
  • Industriële besturingssystem communicatie protocollen zoals Modbus en BACNet zijn onbekend in de wereld van de meeste hackers. Data pakketten in deze omgeving zijn niet te vertalen zonder specifieke kennis van dit soort systemen.
  • Zonder gedetailleerde kennis van de specifieke systeem architectuur, zegt veel van de systeemdata de hacker niet veel.
  • Industriële besturingssystemen bevatten geen financiële of persoonlijke data die normaliter het doel zijn van de traditionele hacker.

Een beveiligings strategie gebaseerd op de bovenstaande systeem complexiteit en unieke systeem architecturen word door beveiliging specialisten ook wel ‘security through obscurity’ genoemd. Dit alles heeft er voor gezorgd dat de meeste SCADA netwerken slechts beveiligd zijn met een wachtwoord voor het bedienend personeel en niet veel meer.

In de afgelopen jaren is de wereld van industriële besturingssystemen en SCADA’s echter behoorlijk veranderd. (Oudere)Legacy industriële besturingssystemen bestonden uit speciale hardware, merk gebonden communicatie protocollen en aparte communicatie netwerken. Moderne industriële besturingssystemen bestaan uit standaard PC’s en servers die communiceren via standaard IT protocollen zoals IP en hun netwerk omgeving delen met andere IT eindgebruiker netwerken. Deze verandering heeft diverse voordelen opgeleverd zoals gereduceerde hardware kosten en verhoogde flexibiliteit en bruikbaarheid van deze industriële besturingssystemen. Het gaf de leveranciers van industriële besturingssystemen de mogelijkheid om hun systeem te ontwikkelen op standaard Windows of Unix platformen. De systemen kregen ook de mogelijkheid om gemakkelijke data en rapportages te delen met andere IT en netwerk systemen. Hier door zagen we in de afgelopen jaren echter wel de grens tussen IT (Kantoor Automatisering) omgevingen en de facilitaire industriële besturingssystemen vervagen. De voordelen brengen ook de nadelen van de traditionele IT omgeving met zich mee; de verhoogde kans op cyber crime.

In 2008 schreef het Amerikaanse NIST hier over in hun Guide to Industrial Control System Security: “Widely available, low-cost Internet Protocol (IP) devices are now replacing proprietary solutions, which increases the possibility of cyber security vulnerabilities and incidents.”

Dat de verhoogde kans op cyber crime een reële bedreiging vormt toonde DOE engineers van het Idaho National Engineering Lab (USA) in het Aurora Project (2007) aan. Samen met hackers van het Department of Homeland Security (DHS) startte ze een cyber aanval met als doel een grote diesel generator te vernielen. Enkele minuten nadat de hackers toegang kregen tot het SCADA systeem wist men de generator in handen te krijgen. Op een video die in 2009 getoond werd in het Amerikaanse CBS’60 Minutes was te zien dat de 27ton wegende generator gestart werd, flink begon te schudden en na enige seconde volledige gehuld was in rook. De generator overleefde de cyber aanval niet.

[youtube=http://www.youtube.com/watch?v=fJyWngDco3g&w=448&h=252&hd=1]

Het Aurora Project project toonde daar mee aan dat het mogelijk was voor hackers om via een netwerk toegang fysieke schade toe te brengen aan een generator. De hackers hadden hier bij kwetsbaarheden gebruikt die in de meeste industriële besturingssystemen vandaag de dag aanwezig zijn.

Beveiligen van een modern SCADA netwerk

Het feit dat leveranciers van moderne SCADA systemen deze gebaseerd hebben op standaard IT onderdelen en protocollen, levert wel als voordeel op dat er al veel kennis is over beveiliging van dergelijke omgevingen.

De basis voor een goed beveiligde omgeving begint met het bepalen van dreigingen en risico’s die er zijn voor de organisatie en zijn infrastructuur. Door het combineren van de facilitaire systemen met de IT-omgeving is de stelling “we hebben toch een firewall” niet meer afdoende. Denk bijvoorbeeld aan het draadloze netwerk, laptops van bezoekers  of een account manager die regelmatig via draadloze netwerken in hotels of restaurants op Internet gaat. Let ook op  zaken die niet direct met ICT te maken hebben. Welke (openbare) informatie is over de organisatie beschikbaar, welke communicatie stromen zijn er met onderhoudsleveranciers en hoe controleer ik de onderhoudsmonteur. De vraag ‘waartegen beveilig ik de organisatie’ is een belangrijke vraag om te beantwoorden. Iedere organisatie heeft tenslotte andere tegenstanders.

Goed beveiligingmaatregelen zijn afgestemd op de bedreigingen en tegenstanders van een organisatie. Zorg dat beveiligingmaatregelen bruikbaar zijn en de processen de organisatie ondersteunen. Naast techniek is scholing van medewerkers over beveiliging erg belangrijk.

Om een bedrijfsnetwerk te beveiligingen is het creëren van verschillende zones het uitgangspunt. Iedere zone heeft zijn eigen functie en de overgang tussen zones verloopt via een firewall. Communicatie met een zone die minder vertrouwd worden, zoals Internet, verloopt via een proxy-server in een demilitarized zone. Door de proxy-server ontstaat een scheiding in de verkeersstroom en wordt de inhoud gecontroleerd op virussen en malware. Houdt ook het rekencentrum voor kantoorautomatisering en de facilitaire systemen gescheiden van elkaar met eigen zones.

Door de verschillende zones zijn de facilitaire systemen gescheiden va
n de IT-omgeving en communicatiestromen hiernaar toe zijn te inspecteren met intrussion detection systemen. Een tweede voordeel van het aanbrengen van zones is een performance verbetering doordat communicatiestromen elkaar niet hinderen.

Naast beveiliging binnen het netwerk zijn servers, besturingssystemen, applicaties en databases goed beveiligd en voorzien van de laatste (security) patches en antivirus software. Server beveiliging is belangrijk, omdat de firewall alleen kijkt of de communicatie toegestaan is terwijl antivirus software de servers beveiligd tegen bekende virussen. Patches voor het besturingssysteem zorgen dat beveiligingslekken gedicht worden. Na installatie moet software in een doorlopend proces onderhouden worden.

Steeds meer facilitaire systemen hebben remote-support vanuit de leverancier. Denk hierbij goed na over welke informatie de organisatie kan verlaten. Daarnaast kan het een goed idee zijn om de leverancier alleen toegang te geven wanneer er daadwerkelijk een probleem is. Het oplossen van storingen vanuit de locatie lijkt ouderwets, maar geeft wel de meeste controle. Zeker wanneer de monteur begeleid wordt door iemand die inhoudelijk kan beoordelen wat deze uitvoert.

Bovenstaande lijkt niet in lijn te zijn met de visie, van de laatste jaren, op informatiebeveiliging volgens Jericho. Jericho gaat uit van netwerken zonder “firewall-slotgrachten”,  waarbij beveiliging aangebracht wordt daar waar dat nodig is op de servers en werkplekken. De traditionele firewall zou hierdoor overbodig zijn. Wanneer beveiliging op alle systemen integraal geregeld is kan de firewall uit. Voordat dit moment is aangebroken is er bij veel organisaties nog een lange weg te gaan.

Continue with reading