Het belang van data protectie voor een PLM system

Naast deze agressieve aanvallen is er ook een groeiend risico dat bedrijfskritische data in handen komt van derden. Data wordt niet alleen intern gedeeld, maar ook met toeleveranciers, engineering bureaus en klanten.

Een product lifecycle management systeem (PLM) is bedoeld om alle productgerelateerde informatie te beheren van idee, ontwerp tot en met service. Een systeem dus met het intellectual property (IP) van het bedrijf, waar heel eenvoudig samen op gewerkt kan worden en daarmee een super interessant doelwit voor diefstal van data en/of (ransomware) aanvallen.

Gelukkig kan een modern PLM systeem, Windchill in het bijzonder, goed beveiligd worden tegen diefstal van data en aanvallen van hackers. Voorwaarde is dat systeem en configuratie goed zijn opgezet en op de juiste manier beheerd worden.

De volgende zaken zijn in het kader van bovenstaande zeker van belang.

On-premise of Cloud (Azure of AWS) PLM Server

In tegenstelling van wat de vaak heersende gedachte is zijn Cloud systemen vaak beter beschermd dan ‘interne’ on-premise systemen.

Bijvoorbeeld bescherming van het PLM systeem op een hoog level (bij voorkeur level 7) van het ISO OSI model is meestal eenvoudiger te realiseren en te onderhouden in een Cloud omgeving.

In zo’n setup wordt het PLM systeem en de data o.a. beschermd door verschillende firewalls waaronder een web application firewall, reverse proxy en een loadbalancer.

PLM systeem configuratie

Het is van essentieel belang dat de Windchill server zelf goed beschermd wordt tegen aanvallen. Dit start met de data die in en uit Windchill gehaald wordt te versleutelen (https) en de toegang centraal te regelen met (Azure) Active Directory en aanvullend Multi Factor Authenticatie (MFA) op te zetten en in te stellen voor toegang tot Windchill. Verder is het van belang om te zorgen dat alle aanbevolen beveiliging toegepast wordt (paswoord versleuteling, Cross-site scripting (XSS) en Cross-Site Request Forgery Attacks (CSRF)) en dat auditing wordt ingesteld. Dat laatste om exact te kunnen monitoren wat iemand wanneer in het PLM systeem heeft gedaan.

PLM applicatie configuratie

Binnen Windchill kan toegang tot data gegeven worden door een persoon een bepaalde rol met rechten in een product, library of project te geven en door met ‘security labels’ en ‘agreements’ te werken. Toegang tot data komt tot stand als een persoon via zijn rol toegang krijgt tot de data (access control list) én als de persoon toegang heeft tot het label wat op de data staat of voor een bepaalde periode via een ‘agreement’ toegang tot de data krijgt. 

Daarnaast kan specifieke data in Windchill vanuit een product of library gedeeld worden naar een project. Zo is het mogelijk om zeer specifiek externe partijen toegang tot de data te geven, zelfs in een modus waarin de externe partij de data kan bewerken (b.v. uitbesteden van engineering of werkvoorbereiding) en gecontroleerd kan worden teruggezet (ingechecked) naar een product in Windchill.

PLM beheer

Windchill is een PLM systeem dat aan de hoogste eisen qua beveiliging voldoet. Op regelmatige basis worden security updates en nieuwe versies voor Windchill uitgebracht. Het implementeren van deze is essentieel om de data in Windchill optimaal te beschermen. Daarnaast valt onder beheer natuurlijk het aanmaken van gebruikers, toegang geven tot data, toegang geven tot security labels, aanmaken van agreements, maar ook het continue monitoren van het systeem op onregelmatigheden en controleren van de audit logs.

Security Awareness

Zoals wel vaker is de mens vaak de zwakste schakel. Met alle bovenstaande zaken kunnen we nog steeds niet 100% uitsluiten dat een persoon die aan de data in het PLM systeem kan zijn data (onbedoeld) deelt met personen die de data niet mogen hebben of zien. Aandacht geven en awareness creëren op vlak van security is daarom het laatste en misschien wel belangrijkste punt van aandacht.

Graag adviseren wij u op vlak van dataprotectie. Dat kan starten met een ‘sanity check’ van de omgeving en gaan tot het implementeren van onze Best Practices op vlak van dataprotectie en het volledig beheer en monitoren van u Windchill omgeving in de Cloud.