Fred Streefland: Voetbal en basketbal zijn echt andere sporten!

Ondanks het feit dat zowel voetbal als basketbal met een bal worden gespeeld en het team met de meeste (doel)punten wint, zijn het toch echt andere sporten. Zo is het ook met IT-security en OT-security: het zijn echt verschillende expertises.

Helaas zie ik de laatste tijd steeds vaker IT-security-bedrijven verkondigen dat zij ook OT-security doen, terwijl dat echt iets anders is. Het vereist namelijk specialistische OT-kennis om een OT-omgeving inzichtelijk te maken, te begrijpen en uiteindelijk te kunnen beveiligen. OT staat voor ‘Operationele Techniek’, en dat zijn apparaten en systemen die jaren geleden met een ander doel (lees: jarenlange robuustheid) zijn ontworpen, en niet ‘secure-by-design’ zijn ontwikkeld. Ze communiceren via andere protocollen, en waren nooit bedoeld om met het internet te worden verbonden.

Het is goed dat er meer aandacht komt voor OT-security, omdat de kans op OT-cyberincidenten toeneemt. Maar laten we als schoenmakers vooral bij onze leest blijven, en meer gaan samenwerken. De werelden van IT- en OT-security zijn namelijk al jaren geen losse eilandjes meer, maar steeds meer geconvergeerd.

Ook de cyberaanvallers maken geen onderscheid tussen IT- of OT-‘ingangen’. Zolang zij maar ongezien binnen kunnen komen bij een organisatie, en het liefst op een zo makkelijk mogelijke manier. Zichtbaarheid op de gehele aanvalsoppervlakte is essentieel, en een IT-securitybedrijf kan – met alle respect – deze vereiste zichtbaarheid binnen het OT-domein gewoonweg niet bieden. Andersom geldt hetzelfde: een OT-securitybedrijf heeft waarschijnlijk minder inzicht in het IT-domein. Maar samen kunnen deze securitybedrijven wel een complementair beeld genereren van de gehele aanvalsoppervlakte.

Hopelijk blijven ook voetballers en basketballers zich focussen op hun eigen sport, en worden zij hier steeds beter in, zodat het geweldige Olympische Spelen gaan worden.