Image

Nieuws

Business continuïteit begint met inzicht: waarom OT-cybersecurity anders moet

  • 27 juni 2025
Operationele technologie raakt steeds meer verweven met IT-systemen, maar de beveiligingsaanpak blijft vaak hetzelfde: een firewall. Terwijl aanvallen op operationele technologie (OT) toenemen, missen veel bedrijven de link tussen cybersecurity en hun bedrijfscontinuïteit, ziet Sebastiaan Koning, Business Consultant Cybersecurity bij ICT Group. ‘IT en OT vragen allebei om een andere benadering.’

Deel deze pagina

OT: de vergeten schakel 

Het Cybersecuritybeeld Nederland 2024 schetst een zorgwekkende situatie. Operationele technologie speelt een centrale rol in vitale processen, maar raakt steeds meer vervlochten met IT. ‘Dit vergroot het aanvalsoppervlak aanzienlijk’, zo stellen de auteurs van het onderzoek. ‘Cybercriminelen tonen toenemende interesse in het compromitteren van OT-systemen, waarbij malware-soorten worden ingezet voor sabotage.’ ‘De stand van cybersecurity in OT-omgevingen is zorgwekkend’, zegt Koning, die twintig jaar ervaring met zich meebrengt in het OT-domein, van engineer tot consultant bij grootschalige industriële projecten. ‘Er zijn bedrijven die een hoge mate van volwassenheid hebben, alleen over de hele linie, overheid, semi-overheid en bedrijfsleven, is nog heel veel ruimte voor verbetering.’ Dit komt doordat veel bedrijven strategisch eerst naar IT kijken, aldus Koning. ‘De fabriek wordt gezien als één grote blackbox: er komen goederen in en dan gaan producten uit. Als een bestuurder een probleem heeft om een bestand te openen, bellen ze IT. Gechargeerd geformuleerd: IT is vaker de redder in nood, dus dáár wordt dan vaker in geïnvesteerd.’ 

Waarom IT-regels niet werken voor OT 

Eén van de belangrijkste trends, of trendwoorden, in de laatste jaren: IT/OT-integratie. ‘Als je concreet kijkt naar wat de integratie is tussen IT en OT, zie je dat steeds meer generieke IT-systemen worden toegepast binnen OT om daar de besturing op te zetten.’ Dat creëert echter een gevaarlijke misvatting, volgens Koning. ‘IT en OT vragen allebei om een andere benadering. Binnen IT gebruik je meestal generieke oplossingen op een generieke manier. Windows, Office: software die we allemaal op dezelfde manier gebruiken. Dus je kunt ook voor al dat soort dingen één aanpak kiezen in hoe je zaken organiseert en beschermt.’ Datzelfde sentiment gaat niet op voor operationele technologie. 

‘Binnen OT is alles gericht op procesautomatisering: dat is niet generiek; dat heeft een heel specifiek doel, die per locatie vaak verschillend is. Zodra iets wordt ingezet in OT, moet je ook rekening houden met de spelregels die gelden binnen OT en de bijzondere afhankelijkheden.’ 

Sebastiaan Koning
OT Cybersecurity
Koning

Gevaar van gecentraliseerd beheer 

In de praktijk worden die systemen dus nog regelmatig vermengd, bijvoorbeeld in het OT-gebruikersbeheer dat door de IT-afdeling gedaan wordt. ‘Dat klinkt logisch’, zegt Koning. ‘Maar een veelgemaakte fout is dat het vaak centraal gedaan wordt, door één keer in te loggen.’ ‘Een IT-beheerder mag best het OT-beheer doen, maar laat hem met aparte gegevens inloggen in een andere omgeving. Doe je dat niet en gebeurt er wat bij IT, dan lopen je OT-systemen ook direct risico. Zoiets moet je gewoon scheiden.’ 

Van firewall-denken naar procesdenken 

Een groot deel van Konings rol bestaat uit het creëren van bewustwording. ‘Een verhaal dat ik keer op keer tegenkom: ik spreek met iemand die verantwoordelijk is voor meerdere fabrieken in Nederland. Dan vraag ik: wat heb je gedaan aan cybersecurity voor OT? Dan is het antwoord: ‘Ja, we hebben een firewall.’ Oké, maar is die gevalideerd? Wat doe je nog meer? Hoe ga je om met je werkprocessen? Hoe ga je om met leveranciers, met derde partijen, met onderhoudspartijen?’ Het probleem ligt vaak in de technische focus. ‘Heel veel OT’ers zijn van oorsprong technische professionals, dus die denken vaak alleen maar vanuit techniek en vergeten soms het hele mens- en organisatiegedeelte.’ ‘Je kunt een heel mooie firewall en een dure barrière plaatsen tussen IT en OT, maar op het moment dat een onderhoudsaannemer gewoon binnen kan lopen in de fabriek en nog steeds een laptop ergens kan inprikken en ellende kan verspreiden op een netwerk zonder dat hij het weet, ben je nog steeds kwetsbaar.’ 

Nozomi

Risico-gedreven werken 

De oplossing begint met het creëren van de juiste inzichten, zegt Koning. ‘Het belangrijkste is een open dialoog: waar sta je? Voor organisaties die niet weten waar ze staan, begint het met een maturity quick scan. Heel simpel, laagdrempelig: waar sta je in het grote geheel? Voor organisaties met meer inzicht volgt een OT cybersecurity risk assessment.’ ‘Je gaat risico-gedreven te werk: wat zijn de écht risico’s en wat zijn de financiële gevolgen? Wat zijn de gevolgen voor veiligheid en de omgeving? Het heeft geen zin om een miljoen te investeren als je potentiële schade een ton is. Maar als je een chemiefabriek hebt waar door een incident een heel dorp ontruimd moet worden als iets misgaat, dan heb je simpelweg met andere risico’s te maken.’ 

Vervolgstappen omvatten design reviews, om te begrijpen hoe systemen met elkaar samenwerken. ‘Heel vaak is dit ook beperkt inzichtelijk’, zegt Koning. ‘Als je dit hebt, kunnen we ook kijken: waar gaan we dan met onze Security scan & asset inventory? Bijvoorbeeld met passieve security monitoring: met security monitoring zie je de assets op het netwerk. Hoe deze communiceren, maar vooral ook de risico’s en kwetsbaarheden.’ 

Cybersecurity als groeikans 

Eén van de belangrijkste lessen? ‘Je moet naar cybersecurity kijken als een business enabler, niet alleen als dure kapstok’, zegt Koning. ‘Door dit soort stappen te ondernemen, borg je als het ware de continuïteit van je productieomgeving. Je krijgt een nieuw soort inzicht in ál je assets en je processen. Hoe communiceren ze met elkaar? Hoe lopen alle processen? En gaat dat allemaal optimaal? Daarnaast kun je ook meer grip op je lifecycle management krijgen, stelt Koning.

‘Omdat je dan weet welke assets je hebt én de status ervan. Zijn ze end-of-life, zijn ze end-of-sales, is er nog support op? Dat kan ook helpen met je investeringsbeeld in de toekomst.’ ‘Waar kun je innovatie introduceren? Kun je bijvoorbeeld dit combineren met digitaliseringstrajecten? Pak het breder op en dan krijg je ook een betere buy-in vanuit je organisatie. Want cybersecurity is en blijft vaak een beladen onderwerp en het is áltijd duur, maar probeer het vooral te zien als kans.’ 

Begin vandaag, denk in jaren 

‘Weet ook dat je de komende 4 tot 6 jaar nodig hebben om alles op orde te krijgen. Dus als je over twee jaar pas begint, dan ben je 8 jaar verder voordat je het op orde hebt. Begin vandaag met initieel inzicht creëren en en elke stap is er eentje, maar maak wél afgewogen keuzes. Ga niet zomaar veel investeren in alleen maar firewall-oplossingen of antivirus-oplossingen, terwijl je echte risico's misschien wel op een ander vlak liggen.’ 

Het fundament voor effectieve OT-cybersecurity ligt in inzicht en begrip van de specifieke omgeving en risico's. ‘Als je niet weet hoe je architectuur in elkaar zit, niet weet wat je risico’s zijn én wat je assets zijn, kun je ook niet bepalen wat je moet beheersen. Alleen dan kunnen organisaties gerichte investeringen doen die daadwerkelijk bijdragen aan hun cyberweerbaarheid en business continuïteit.’ 

Ook interessant

Bekijk alle artikelen

Meer informatie?

Neem contact op met Sebastiaan Koning

Stuur een mail Maak een connectie

Telefoon: +31 (0)6 81349584.

Sebastiaan Koning

Industrial Cyber Security Event - 8 oktober 2025

ICS

Mis het niet!

Op woensdag 8 oktober is ICT Group aanwezig op het FHI Industrial Cyber Security event in Congrescentrum 1931 in Den Bosch.

Onze collega’s Sebastiaan Koning en Robbert Staal geven een presentatie over hoe je aantoont dat jouw OT-cybersecurity op orde is. We delen praktijkervaringen met de toepassing van IEC 62443, laten zien hoe je voldoet aan de NIS2/Cyberbeveiligingswet en je OT-systemen effectief beschermt.

Schrijf je nu in via de onderstaande knop.

Meld je hier aan