Binnen industriële omgevingen is cybersecurity allang geen nice-to-have meer, maar een noodzaak. Zeker nu de NIS2-richtlijn organisaties dwingt hun digitale weerbaarheid aantoonbaar op orde te hebben. Toch wordt OT-security nog te vaak aangepakt vanuit een IT-denkwijze, zo stellen Edward van de Langemeen (OT Security & Netwerk Consultant) en Stefan Barten (OT Security & OT Netwerk Sales engineer) van MODELEC. “De risico’s in OT zijn anders, net als de omgeving en de eisen. Je hebt dus ook een andere aanpak nodig.”
MODELEC is een gevestigde naam in industriële automatisering. Al bijna 50 jaar helpt het bedrijf uit Ede organisaties in sectoren als water, transport, energie, maritiem en fysieke beveiliging met hun datacommunicatie. De afgelopen jaren is daar een steeds sterkere focus op OT-cybersecurity bijgekomen. “We zagen de risico’s groeien en wilden onze klanten daar proactief in ondersteunen”, zegt Stefan. “Zeker nu wetgeving zoals NIS2 directe gevolgen heeft voor hun verantwoordelijkheid en zelfs aansprakelijkheid.”
Volgens MODELEC is het belangrijk dat organisaties begrijpen wat OT-security echt inhoudt. “Het is niet een IT-vraagstuk dat je er even bij doet”, benadrukt Edward. “Het vereist specifieke kennis van de omgeving, protocollen, bedreigingen en de impact van ingrepen op processen.”
IT is geen OT
De neiging om OT-security onder te brengen bij IT is volgens de heren van MODELEC begrijpelijk, maar riskant. Stefan: “IT-afdelingen hebben al jaren ervaring met cybersecurity. Dan lijkt het logisch dat zij ook OT erbij doen. Maar de verschillen zijn veel fundamenteler dan men denkt.”
Edward vult aan: “IT draait om dataveiligheid, flexibiliteit en snelheid. Systemen worden om de paar jaar vervangen, software wordt continu gepatcht. OT draait om continuïteit, veiligheid van mensen en processen die dag en nacht doordraaien. Machines en installaties gaan tientallen jaren mee. Daar kun je niet zomaar een software-update op loslaten.”
Legacy, lifecycle en schijnveiligheid
Een belangrijk verschil zit volgens Edward in de lifecycle van systemen. “In IT is het normaal dat hardware na vijf jaar wordt afgeschreven. In OT zijn systemen van vijftien tot twintig jaar oud eerder regel dan uitzondering”, zegt hij. Edward vervolgt: “Dat zorgt voor uitdagingen. IT-tools zoals antivirus of standaard monitoringoplossingen zijn vaak te zwaar, of begrijpen het protocol simpelweg niet. Dan krijg je een lawine aan valse meldingen en werk je schijnveiligheid in de hand.”
De oorzaak ligt vaak in de verkeerde veronderstelling dat bedreigingen uitsluitend via de IT-koppeling binnenkomen. “In werkelijkheid zien wij dat OT-netwerken ook worden bedreigd door USB-sticks van externe engineers, ongeautoriseerde laptops of 4G-routers die direct in het OT-domein worden geplugd”, weet Stefan. “En dat zijn risico’s die je niet adequaat ondervangt met een IT-firewall of SIEM-oplossing.”
Zero Trust versus industriële realiteit
Ook het IT-principe van Zero Trust is volgens Edward niet zonder meer toepasbaar. “Zero Trust is gebaseerd op het gedrag van gebruikers en toegangsbeheer. Maar in OT heb je nagenoeg geen gebruikers. Het netwerkverkeer is machine-naar-machine, en hoort voorspelbaar en repetitief te zijn. Alles wat daarvan afwijkt, kan direct risico opleveren.”
Bovendien zijn de werkritmes verschillend. Stefan: “IT is ingericht op kantooruren. Maar in een fabriek of pompgemaal moet een proces 24/7 doorgaan. Bij problemen buiten werktijd ligt de operatie stil. Dat kan enorme gevolgen hebben. OT-security moet dus niet alleen robuust zijn, maar ook simpel te beheren; juist buiten kantooruren.”
Vertrouw op OT-specialisten
Volgens Edward en Stefan ligt de sleutel tot succesvolle OT-security bij de mensen die het domein kennen. “Te vaak wordt verantwoordelijkheid voor OT-security bij IT neergelegd, zonder oog voor de juiste tools of de unieke OT-context. En juist daar gaat het mis”, stelt Stefan. “Onze boodschap is: empower je OT-mensen. Geef hen de middelen en kennis om hun omgeving te beschermen. Zij kennen de processen, de risico’s en de uitzonderingen, en zijn daarmee de oplossing in een tijd van schaarste aan cyberexperts.”
Praktische trainingen voor technicus tot directie
Om dat te faciliteren biedt MODELEC praktische trainingen, onder meer gebaseerd op IEC62443. “We leren OT-professionals hoe ze hun netwerk kunnen segmenteren, hoe je monitoring slim inzet, en welke beveiligingsmaatregelen passen bij hun omgeving”, aldus Edward. “Denk aan oplossingen zonder constante cloudverbinding, zonder herstart bij updates en zonder eindeloze configuratie.”
De opleidingen van MODELEC zijn niet alleen gericht op techneuten. Stefan: “We organiseren ook regelmatig events voor het management. Juist omdat veel beslissers zich pas tijdens onze sessies realiseren dat niet IT maar OT zorgt dat hun processen blijven draaien. En dat verkeerde beslissingen daar directe impact hebben.”
Samenwerking begint met erkenning van verschillen
Betekent dit dat IT en OT niets met elkaar te maken moeten hebben? “Zeker niet”, benadrukt Stefan. “Maar je moet wel beginnen bij het erkennen van de verschillen. Alleen dan kun je effectief samenwerken. OT en IT hebben elkaar nodig, maar wel op basis van elkaars sterktes, niet door het één onder het ander te schuiven.”
“Goede OT-security begint met eigenaarschap”, besluit Edward. “Geef OT-professionals het vertrouwen, de tooling en de ruimte om hun omgeving te beschermen. Alleen zo bouw je aan duurzame veiligheid en bedrijfscontinuïteit.”
Meer weten over de OT-security van MODELEC? Neem dan contact op met Stefan Barten via 0610 033 980 of mail naar stefan@modelec.nl.
