NET Protect – NMEA 2000 Configuratie & Cyberbeveiliging Systeem

Met technisch geavanceerdere, geïntegreerde en “connected” boten wordt beveiliging een belangrijk aandachtspunt. Recente high-profile hacks in de autowereld hebben zwakheden in sommige CAN-gebaseerde systemen blootgelegd.
De NMEA Organisatie heeft op deze dreiging gereageerd door een Cyber Security Working Group op te zetten om de risico’s van maritieme aanvallen te identificeren en te beperken.
NET Protect is’s werelds eerste NMEA 2000 cyberbeveiliging product, gericht op NMEA 2000, dat als onderdeel van dit NMEA-initiatief is ontwikkeld.

NET Protect is een zelfstandige, via de bus gevoede, onopvallende NMEA 2000 cyberbeveiliging die alle NMEA 2000-netwerkdata ontvangt en analyseert. Het heeft drie hoofdfuncties:

Het NMEA 2000-netwerk testen en valideren tijdens installatie
Tools bieden voor NMEA 2000 configuratie en netwerkmonitoring en analyse
Doorlopende 24/7 monitoring en bescherming gedurende de levensduur van het schip

NET Protect voert diverse certificerings-, topologie- en algemene tests uit:

Gecertificeerde Devices – Vraagt alle devices op en controleert of ze in de NMEA 2000 Certified Product database staan. Niet-gecertificeerde devices worden gemarkeerd omdat ze een mogelijke oorzaak kunnen zijn van netwerkfouten en interoperabiliteitsproblemen. Ze kunnen wel blijven werken, maar extra controle wordt aangeraden.
Naam Verificatie – Scant de NMEA Name (64-bit binair nummer) van elk device en rapporteert niet-standaard of “rogue” NMEA names die kunnen wijzen op een malafide device. Apparaten die worden gemeld moeten direct onderzocht en zo nodig verwijderd worden.
Gateway validatie – Gateways kunnen een zwak punt zijn in een NMEA 2000-netwerk en hackers in staat stellen data te injecteren of controle uit te oefenen. NET Protect kan daarom aanwezige gateways identificeren en valideren.
Dubbele Device Instances – Meerdere devices met dezelfde class/function codes én dezelfde device instance kunnen problemen geven met data-bron selectie en kunnen gebruikt worden om spoof-data te injecteren. Deze test detecteert duplicaten; met de Instance Configuration Tool kun je een uniek device instance instellen.
Dubbele PGN’s – Meerdere devices die dezelfde PGN’s uitsturen kunnen problemen geven met data source selection, waardoor sommige displays verkeerde of geen data laten zien. Deze test detecteert duplicaten; met de Commanded Address Change Tool kun je het CAN-adres wijzigen en daarmee prioriteit verhogen/verlagen.
Data Sources – In combinatie met de topologie-tests laat dit zien welke devices automatisch als primaire bron gekozen worden voor GNSS, diepte, wind, bootsnelheid en heading. Op basis van uitgezonden PGN’s en CAN-adres bepaalt NET Protect de primaire bronnen; via Commanded Address Change kun je dit beïnvloeden.
Devices die “No Data” uitsturen – Controleert devices die navigatie-PGN’s sturen met “No Data” in belangrijke velden (bijv. een Depth PGN waarbij de diepte “No Data” is). Als een device met hogere prioriteit ‘No Data’ uitstuurt, kan dit verhinderen dat de juiste data van een andere bron wordt weergegeven.
Firmware Audit – Vraagt alle devices uit en maakt een lijst van firmwareversies via de Product Info PGN. Handig om te checken of alles up-to-date is, of om te achterhalen of een firmware-update sinds de laatste CANshot™ problemen veroorzaakt.
Total LEN – Vraagt de LEN-waarde van alle devices op en berekent de totale LEN voor het netwerk. Handig om te controleren of het netwerk goed ontworpen is en niet gevoelig wordt voor spanningsval of datacorruptie.

Wanneer de installatietests klaar zijn en de installateur tevreden is, wordt de CANshot optie uitgevoerd: dit maakt een “snapshot” van het netwerk en slaat de resultaten intern op. Dit rapport kan ook worden opgeslagen en geprint.
Daarna schakelt NET Protect over naar 24/7 monitor mode en zal het hoorbare waarschuwingen geven en events opslaan in een log voor analyse. In combinatie met een Digital Yacht 4GX of 5GX systeem kunnen optioneel SMS alerts worden ingeschakeld voor remote monitoring.NET Protect monitort continu je NMEA 2000 netwerk.
Een nieuw device, veranderingen aan een bestaand device of vreemd netwerkgedrag activeert NET Protect.
Afhankelijk van het dreigingsniveau kan dat leiden tot een pop-up waarschuwing, het versturen van een NMEA 2000 Alert PGN, het afgaan van de interne buzzer of zelfs een SMS naar een opgegeven telefoon via onze 4G Xtream/5G Xtream systemen.
De laatste 16 events worden opgeslagen in een Network Events Log.

NET Protect biedt ook tools voor configuratie en analyse:

Configuration Info Programming – Wijzig de “Configuration Info” tekst in devices (niet elk device ondersteunt dit, maar het is nu verplicht gesteld in de N2K-specificatie en wordt dus steeds belangrijker).
Instance Configuration – Wijzig de Device Instance van een N2K device (niet elk device ondersteunt dit, maar de meeste engine gateways en instance-based devices wel).
Commanded Address Change – Wijzig het adres van een device; elk device zou dit moeten ondersteunen om aan certificeringsstandaarden te voldoen.
Network Device List – Toont device-lijst met adres, fabrikantnaam, CAN name, class en function.
PGN List – Toont tijdgestempelde PGN’s met bron, omschrijving en drill-down data.
Data Logging – Maak en bewaar een volledige datalog met raw binaire data.

NMEA 2000 Cyberbeveiliging Systeem
Test en valideert het NMEA 2000-netwerk tijdens installatie
Maakt configuratie van andere NMEA 2000 devices mogelijk
Bekijk en analyseer het NMEA 2000-netwerk met device- en PGN-overzichten plus raw data logging
24/7 monitoring van het NMEA 2000-netwerk
Geïntegreerde wifi-antenne maakt eigen wifi-netwerk of kan deelnemen aan het boordnetwerk
Configuratie en monitoring via ingebouwde webinterface
92 dB interne buzzer voor alerts
Mogelijkheid tot SMS alert berichten i.c.m. Digital Yacht 4GX of 5GX voor remote alerts
Zelfstandige, bus-gevoede, onopvallende IP54 “black box”
Future-proof ontwerp met eenvoudig te updaten firmware via de webinterface om mee te blijven gaan met actuele dreigingen