Onze wereld bevindt zich in een digitale stroomversnelling. Alles en iedereen wordt direct of indirect aan het internet gekoppeld. Want dat is handig, bespaart tijd en kosten. Maar het brengt ook risico’s met zich mee. Vooral wanneer we systemen aan het internet verbinden, die hiervoor oorspronkelijk niet zijn ontwikkeld.
Helaas zijn het juist deze OT-systemen (Operationele Technologie) die onze kritieke infrastructuur draaiend houden. Denk aan de energiesector, ziekenhuizen, transport en logistiek, maar ook bij de digitale infrastructuur zoals datacenters. Hier zorgt deze OT voor de stroomvoorziening, de koeling van de servers en de brandblusinstallaties.
Een verstoring van deze OT kan desastreuze gevolgen hebben en in het ergste geval zelfs direct mensenlevens kosten. Des te kwalijker dat wanneer cybersecurity-experts en -instanties dit risico aandragen, de risico’s worden gebagatelliseerd of zelfs geheel ontkend. Daar hebben we de ‘struisvogels’.
Kop in het zand
Zodra dit risico wordt aangekaart, schieten ze in de verdediging, beroepen zich op andere prioriteiten, of menen ze dat dit risico niet van toepassing is op hun organisatie. Ook geven ze aan dat ze ISO27001 gecertificeerd zijn en dat er nog nooit is gevraagd naar het OT-risico. Ze steken dus letterlijk hun kop in het zand en suggereren dat het al jaren goed is gegaan. “Het werkt, dus blijven we ervan af.”
Totdat er daadwerkelijk een digitaal incident plaatsvindt. En dan komen de ‘kalveren’.
Want als het kalf verdronken is, dempt men de put. En is er opeens wel prioriteit en budget beschikbaar om het risico aan te pakken. Helaas is het dan te laat en zal het oplossen veel meer kosten, dan wanneer er wel was geacteerd en van tevoren voldoende was geïnvesteerd in de cybersecurity van de OT-systemen.
Vanzelfsprekend ben ik niet voor het uitsterven van diersoorten in de natuur, maar in dit geval hoop ik wel dat de struisvogels binnen de kritieke infrastructuur verdwijnen; dat scheelt namelijk ook veel kalveren!
Fred Streefland is werkzaam als CEO van Secior. Hiervoor werkte hij onder meer bij Defensie, IBM, Accenture en vervulde verschillende CISO-functies.
(dit artikel verscheen eerder in ITchannelPRO magazine 01-2023)
