Orange Cyberdefense: OT-security vraagt om harde keuzes

Een cyberaanval op operationele technologie (OT) kan directe gevolgen hebben voor de fysieke operatie. Veel OT-omgevingen leunen op keuzes die ooit logisch waren, maar nooit opnieuw zijn getoetst. Door koppelingen met IT-systemen en remote toegang voor leveranciers blijkt de veronderstelde airgap in de praktijk vaak poreus. Orange Cyberdefense bundelt zeven lessen waarmee organisaties hun OT-security structureel kunnen versterken.

De urgentie om OT-security te versterken neemt toe. Volgens het jaarlijkse onderzoeksrapport van Orange Cyberdefense steeg het aantal cyberafpersingsincidenten het afgelopen jaar met 45 procent. Tegelijkertijd richten statelijke actoren en hacktivistische groepen zich steeds nadrukkelijker op kritieke infrastructuur. Voor organisaties met OT is de vraag waar de grootste risico’s zich bevinden en hoe je ze daadwerkelijk verkleint.

Dit zijn de belangrijkste handvatten voor organisaties:

1. Omgeving vormt vaak het grootste risico
In veel organisaties ligt de focus binnen OT-security nog sterk op de installatie of de controller zelf. Volgens Marcel Hulsen, Principal Security Architect bij Orange Cyberdefense, is dat te beperkt. De kwetsbaarheid zit in werkelijkheid vaak juist in remote access, leveranciersverbindingen, beheerrechten en koppelingen met andere systemen. Daardoor verschuift ook het aanvalsoppervlak.

IT en OT blijven verschillende omgevingen, maar hun beveiliging is niet langer los van elkaar te organiseren. Organisaties die OT nog als een geïsoleerd domein behandelen, onderschatten waar aanvallers in de praktijk binnenkomen.

2. Airgaps bieden vaak schijnzekerheid
Veel organisaties beschouwen een airgap nog altijd als een betrouwbare veiligheidsmaatregel binnen OT. Die aanname is volgens Hulsen steeds minder houdbaar. “In de praktijk wordt die scheiding regelmatig ondermijnd door wifinetwerken in de fabriek, leveranciersverbindingen en beheeroplossingen die ooit tijdelijk waren, maar zijn blijven bestaan.”

“Daardoor biedt formele afscherming op papier lang niet altijd de veiligheid die organisaties denken te hebben”, vervolgt Hulsen. “Externe toegang via zulke uitzonderingen vergroot het aanvalsoppervlak en maakt OT-omgevingen kwetsbaarder dan op het eerste gezicht lijkt.”

3. Gebruiksgemak leidt soms tot kwetsbaarheden
In OT-omgevingen ontstaan kwetsbaarheden vaak door praktische keuzes, zoals het toevoegen van een wifi-router of het koppelen van systemen aan dashboards. Wat handig is voor de operatie, vergroot tegelijkertijd het aanvalsoppervlak.

Volgens Hulsen gaat het daar in veel organisaties nog steeds te vaak mis. Tijdelijke oplossingen worden al snel de norm, zonder dat risico’s opnieuw worden afgewogen. Effectieve OT-security vraagt daarom niet alleen om technische maatregelen, maar ook om een kritische blik op wat operationeel verantwoord is.

4. Eenvoudige maatregelen maken groot verschil
Effectieve OT-security begint bij ogenschijnlijk eenvoudige maatregelen: inzicht in systemen, het beperken van toegang en het uitschakelen van wat niet nodig is. Hoe kleiner het aanvalsoppervlak, hoe minder ruimte een aanvaller krijgt.

Juist in OT-omgevingen is dat cruciaal. Niet alles is even kritisch, niet ieder systeem hoeft met elk ander systeem te communiceren en niet iedere gebruiker of leverancier heeft overal toegang nodig. “Segmentatie en least privilege klinken misschien als open deuren,” zegt Hulsen. “Maar in veel gevallen zijn dit nog altijd maatregelen waarmee organisaties grote stappen kunnen zetten.”

5. Bestuurlijk mandaat vergroot de slagkracht
Detectie en monitoring zijn essentieel, maar zonder de mogelijkheid om in te grijpen verliezen ze snel hun waarde. In de praktijk betekent dat soms dat organisaties verbindingen moeten verbreken of systemen moeten isoleren. Als dat mandaat niet vooraf is geregeld, gaat kostbare tijd verloren. Juist op het moment waarop een aanval nog te stoppen is.
Daarmee wordt OT-security nadrukkelijk ook een bestuursvraag. Welke risico’s accepteert een organisatie? Wie mag ingrijpen bij grote impact? En wie draagt daarvoor intern de verantwoordelijkheid?
Net als bij brandoefeningen moeten organisaties ook cybercrisisscenario’s regelmatig oefenen. Alleen dan weten teams wie mag ingrijpen, welke systemen geïsoleerd mogen worden en hoe de operatie veilig blijft draaien.

6. Wees kritisch richting leveranciers
OT-security stopt niet bij de eigen omgeving. Leveranciers, onderhoudspartijen en externe toegang vergroten het aanvalsoppervlak. Dat gebeurt bijvoorbeeld via remote access, software met overbodige debug-informatie of laptops die bij meerdere klanten worden ingezet. Wat handig is voor beheer en onderhoud, kan zo uitgroeien tot een serieus beveiligingsrisico.

Dat vraagt om een kritische houding. “Organisaties moeten niet uitgaan van blind vertrouwen, maar duidelijke afspraken maken, controleren en leveranciers aanspreken op kwetsbaarheden en risico’s in zowel de verbindingen als de bedrijfsprocessen van de leverancier”, stelt Hulsen. “In OT zijn leveranciers geen externe partijen, maar een integraal onderdeel van de beveiligingsketen. Een inbraak bij een leverancier met remote toegang tot de fabriek kan grote gevolgen hebben voor de productieomgeving.”

7. De mens blijft doorslaggevend
Veel kwetsbaarheden worden niet veroorzaakt door software, maar door menselijk handelen. Risico’s ontstaan vaak door keuzes die logisch lijken, zoals het gebruik van standaardwachtwoorden, het toekennen van extra toegangsrechten of het toestaan van remote access zonder voldoende controle. Ook securitymaatregelen kunnen in de praktijk averechts werken, bijvoorbeeld wanneer systemen zo streng zijn afgeschermd dat ingrijpen tijdens een incident moeilijk wordt.

In OT-omgevingen staat safety altijd voorop. Securitymaatregelen mogen nooit fysieke veiligheid in gevaar brengen of incidentrespons onnodig blokkeren. Die samenhang tussen digitale beveiliging en machineveiligheid wordt ook juridisch belangrijker. “Nieuwe Europese veiligheidsregels vragen nadrukkelijker aandacht voor de impact van connectiviteit, cybersecurity en AI op veilig werken met machines”, aldus Hulsen. “Machinebouwers en systeemintegratoren moeten daarom voorkomen dat digitale toegang, softwarewijzigingen of AI-gestuurde functies kunnen leiden tot gevaarlijke situaties of letsel.”

Ervaring, discipline en het vooraf doorlopen van scenario’s bepalen in grote mate hoe effectief organisaties reageren op incidenten. Tools en AI kunnen daarbij ondersteunen, maar uiteindelijk zijn het mensen die risico’s herkennen, besluiten nemen en op het juiste moment ingrijpen.

Meer weten over de belangrijkste risico’s in OT-omgevingen en de keuzes die organisaties nu moeten maken? Hier kun je het OT-webinar van Orange Cyberdefense terugkijken: https://www.orangecyberdefense.com/nl/inspiratie/events/recording-webinar-ot-security-your-license-to-operate