Security in de maakindustrie: een vak apart

Operationele technologie (OT) vormt de ruggengraat van de maakindustrie. Van industriële pc’s en plc’s tot sensoren en RFID-tags; al deze componenten houden productieprocessen draaiende. Innovatie en groei zorgen ervoor dat maakbedrijven steeds vaker hun OT koppelen aan IT-systemen. Dit biedt voordelen zoals meer data, betere inzichten en hogere efficiëntie. Maar tegelijkertijd brengt deze digitalisering ook nieuwe cybersecurityrisico’s met zich mee.

In de transitie naar een Industry 4.0-omgeving worden operationele en informatietechnologie steeds meer met elkaar verweven. Dit leidt tot diepere inzichten in productieprocessen, slimmere aansturing van systemen en mogelijkheden om op afstand gegevens te monitoren en bij te sturen. Een ERP-systeem dat de fabriek aanstuurt, real-time simulaties die medewerkers thuis kunnen bekijken en technici die onderweg statusrapportages checken – het zijn slechts enkele voorbeelden van deze technologische integratie. Maar tegelijkertijd betekent deze digitalisering dat primaire processen steeds vaker online draaien, wat weer nieuwe dreigingen met zich meebrengt. In de praktijk zien wij dat veel bedrijven hier nog onvoldoende zicht op hebben. 

Onverwachte risico’s in de OT-omgeving

Veel bedrijven hebben geen volledig beeld van de omvang van hun OT-omgeving. Zo sprak ik recent een klant die dacht dat hij drieduizend verbonden assets had op het fabrieksnetwerk. Na een gedetailleerde analyse bleek dat het er ruim dertienduizend waren. Hoewel industriële componenten zoals plc’s en RFID-scanners vaak wel bekend zijn, worden andere kwetsbare systemen over het hoofd gezien. Dit kunnen sensoren in gebouwen zijn, toegangscontrolesystemen of zelfs een verouderde Windows 95-pc die een cruciaal en kostbaar apparaat aanstuurt.

Het beveiligen van een OT-omgeving vereist een andere aanpak dan traditionele IT-security. Veel OT-systemen zijn oud en gevoelig, en generieke cybersecuritytools zijn vaak niet geschikt. Het laatste wat je wilt, is een omgeving verstoren tijdens een securityscan of update. Daarom maakt Orange Cyberdefense gebruik van gespecialiseerde software om netwerken in kaart te brengen zonder het productieproces in gevaar te brengen.

The show must go on: beschikbaarheid als prioriteit

Waar IT-security zich richt op vertrouwelijkheid en integriteit, draait het in de OT-wereld vooral om beschikbaarheid. Als er een storing is in een IT-systeem, kan dat vervelend zijn, maar vaak is er wel een tijdelijke workaround. Bij OT is dat anders: als een systeem stopt, stopt het fysieke productieproces ook. Dit kan verstrekkende gevolgen hebben, van stilstaande productielijnen tot ophoping van materialen of uitval van robots. Naast beschikbaarheid is ook integriteit een kritische factor. Als meetgegevens niet meer kloppen, worden productieprocessen verkeerd aangestuurd. Denk bijvoorbeeld aan een fabriek waar robots niet langer met de juiste instructies werken.

OT-security als strategisch vraagstuk

Een veelgemaakte fout is dat OT-beveiliging als een puur technische kwestie wordt gezien. In werkelijkheid draait het om risicomanagement en het beschermen van de bedrijfscontinuïteit. Bestuurders spelen hier een cruciale rol. Security is niet iets wat je aan een enkele afdeling kunt overlaten. Het vereist een strategische aanpak waarin alle lagen van de organisatie betrokken zijn.

Het Purdue-model biedt een bewezen framework om OT-omgevingen op een veilige manier in te richten. Dit model verdeelt het netwerk in verschillende lagen, waarbij de kernprincipes draaien om het gescheiden houden van kritieke systemen en gecontroleerde communicatie tussen lagen. Een goed voorbeeld is een fabriek waar een directeur real-time inzicht wilde in het aantal geverfde auto’s. Om dat mogelijk te maken, werd een directe verbinding opgezet tussen de meest kritieke OT-systemen en zijn mobiele telefoon. Daarmee creëerde hij zonder het te beseffen een potentieel gevaarlijke achterdeur.

Cyberincidenten: oefening baart kunst

Cyberaanvallen op OT-systemen kunnen verstrekkende gevolgen hebben, maar veel organisaties zijn onvoldoende voorbereid op een incident. Een plan voor een brand of een pandemie is er vaak wel, maar een concreet actieplan voor een cyberincident ontbreekt meestal. Ik herinner me een incident in een olieraffinaderij in het Midden-Oosten, waar hackers de veiligheidsmechanismen uitschakelden en probeerden de ketels te laten exploderen. Uiteindelijk voorkwam een programmeerfout in de malware een ramp, maar het had heel anders kunnen aflopen.

Naast grote incidenten kunnen ook kleinere verstoringen in OT-systemen grote impact hebben. Denk aan een slagboom die niet meer opent, waardoor de hele logistieke operatie stilvalt. Cyberoefeningen organiseren en rollen en verantwoordelijkheden helder vastleggen is essentieel. Wie neemt de leiding als er iets misgaat? Wie mag welke beslissingen nemen? Dit soort zaken moet je vooraf goed afstemmen.

De dader en zijn motief

Orange Cyberdefensie publiceert ieder jaar de Security Navigator 2024, met daarin in ook onderzoek naar kwaadwillende actoren in cybersecurity. De belangrijkste oorzaak van problemen in de OT zijn het resultaat van hacks of lekken in de ICT. Omdat deze twee werelden onbedoeld direct met elkaar verbonden zijn, raken ze elkaar ook bij cyberincidenten. Dat is de belangrijkste oorzaak. En daarnaast zijn er criminelen die geld wil verdienen. Stel dat iemand een productiestraat heeft gegijzeld, die twaalf miljoen kost om te vervangen. Hoeveel losgeld ben jij dan bereid te betalen? En dan zijn er nog de statelijke actoren. Nederland is een belangrijke logistieke hub voor Europa, met havens en spoor. Een containerterminal in Rotterdam heeft negentig minuten stilgestaan omdat een systeem ge-reboot moest worden. Honderden vrachtwagens stonden tot op de snelweg te wachten tot ze aan de beurt waren. Alles is ingericht om just-in-time te werken. Je hoeft niet direct geraakt te worden om last te hebben van een aanval.

Zonder veiigheid geen innovatie

Neem als bestuurder het voortouw en pak de leiding als het gaat om risicomanagement. Zorg dat risico’s beheersbaar blijven. Scheid bijvoorbeeld de kantoorautomatisering van het productienetwerk. Zet er een firewall tussen. En weet wat je hebt aan assets, weet wat ze doen, weet wat er gebeurt wanneer iets niet meer werkt. Hang alleen het nodige aan het netwerk. Maak aparte verdedigingszones. Zorg voor patches. Security is techniek, processen en mensen. Vooral mensen, zorg dat zij goed geïnformeerd zijn. En doe niet alles zelf. Een gedegen securitypartner met een trackrecord in het OT-domein maakt echt het verschil. Wanneer de beveiliging op orde is, ontstaat een stevige basis voor innovatie. Dan kunnen gegevens namelijk veilig worden uitgewisseld tussen systemen. Prognoses en modellen zijn betrouwbaar, omdat de data waarmee ze worden gevoed, betrouwbaar zijn. Meer resources kunnen worden gewijd aan innovatie, omdat er geen veiligheidsbrandjes geblust hoeven worden. Werken in een veilige omgeving geeft rust en stabiliteit, waarmee ruimte ontstaat voor nieuwe ideeën en projecten.