ENGINEERINGNET.BE - Het besef dat IT en OT naar elkaar zijn toegegroeid, is intussen wel aanwezig. Maar slechts een minderheid haalt vandaag een aanvaardbaar niveau op het gebied van OT-security.
In Port of Antwerp-Bruges, de op één na grootste haven van Europa, is OT bijzonder belangrijk. Systemen voor het openen van bruggen en sluizen kunnen enkel functioneren dankzij OT. Bij een incident zouden schepen niet meer kunnen binnen- of buitenvaren. De impact beperkt zich dus niet enkel tot de organisatie van de haven, maar beïnvloedt ook alle bedrijven die ervan afhankelijk zijn. Zelfs de scheepvaart in het algemeen kan zomaar verstoord worden door een OT-probleem.
Bruggen en sluizen zijn dan ook kritieke infrastructuur, net zoals faciliteiten van nutsvoorzieningen zoals water en energie dit ook zijn. Nu de grenzen tussen IT en OT vervagen, komt die infrastructuur evenzeer onder druk te staan van cyberaanvallen. Daarom is OT-security in Port of Antwerp-Bruges al sinds 2020 een topprioriteit. Met teams die gericht werken om kwetsbaarheden weg te nemen. De meest kritieke infrastructuur wordt zo dus wel aangepakt, maar in pakweg negen op tien bedrijven zijn er nog enorme stappen te zetten om de OT-omgeving te beveiligen.
Het is vijf voor twaalf, want ook cybercriminelen beseffen dat OT kwetsbaar is. Als het verstoren van deze systemen vroeger eerder een neveneffect was van een geslaagde IT-aanval, dan zijn ze nu almaar vaker een rechtstreeks doelwit. Sommige groepen hebben zich zelfs gespecialiseerd in OT-aanvallen. Enerzijds omdat de kans op betaling van losgeld groter is als je systemen treft die zware impact hebben op organisaties en samenleving. Anderzijds neemt het gewicht van OT ook toe bij geopolitieke spelers die tegenstanders willen treffen via belangrijke industriële installaties.
Twee verschillende werelden
OT-security is een werk van lange adem. Historisch gezien zijn IT en OT twee aparte werelden met elk hun eigen teams, systemen en doelstellingen. Als IT bijvoorbeeld de vertrouwelijkheid van data belangrijk vindt, dan hecht OT meer belang aan veiligheid en productiviteit. Vergeleken met een IT-landschap is OT ook heel verspreid. Een bedrijf kan tientallen productiesites hebben die elk functioneren met eigen business units en leiders. Wie draagt dan de eindverantwoordelijkheid?
In veel organisaties komt die workload op het bord van de CISO te liggen. En door de omvang van deze taak betrekt die er vaak ook nog de CIO bij. Hun taak is niet eenvoudig: alle stemmen in het bedrijf samenbrengen en de kar trekken bij de board om de nodige budgetten te voorzien. De hoge kost van OT-security is immers een struikelblok, net zoals het gebrek aan goede communicatie en documentatie. Operationele teams spreken een andere taal dan IT-specialisten. En omdat veel OT-systemen vergeleken met IT dateren uit de ‘prehistorie’, zijn ze zelden gedocumenteerd. Die kennis zat jarenlang bij een lokale expert, maar dat is natuurlijk geen sterke basis voor security.
Het gebrek aan kennis en overzicht maakt het niet gemakkelijk om te weten welke assets aanwezig en met elkaar verbonden zijn. En wat je niet ziet, kan je niet beveiligen. Bovendien kan je een OT-kwetsbaarheid niet met een IT-patch oplossen. Doorgaans ontbreekt het aan compatibiliteit met SCADA, het visualisatieplatform van een OT-omgeving. Intrinsiek zijn legacy systemen ook niet op sterke securityprotocollen gebouwd. Eigenlijk zou het vervangen van alle OT-systemen in veel gevallen de gemakkelijkste oplossing zijn, maar dat is door complexiteit en kosten geen optie.
Kies je prioriteiten en begin er vandaag mee
In de huidige geopolitieke wereld is stilstaan geen optie. Maar hoe kunnen organisaties hun OT-omgevingen dan effectief beginnen beveiligen? Besef in de eerste plaats dat er geen magisch plan bestaat waarmee je morgen al veilig bent. OT-security is een traject dat al gauw vijf tot zeven jaar in beslag neemt. Begin daarom met het verzamelen van inzichten en communiceer het belang naar C-level. Stel vervolgens de juiste prioriteiten voor je budgetten en uitvoering. Focus niet eerst op de kleinste stukjes van de puzzel, maar maak een strategisch plan dat OT-security holistisch benadert. Vertrek dus niet vanuit technologie, maar werk met concrete stappen.
Het is dankzij zo’n meerjarig stappenplan dat OT-security in Port of Antwerp-Bruges intussen op een behoorlijk hoog niveau staat. De organisatie identificeerde werkpakketten en segmenten met eigen prioriteiten. Daarbij was ook samenwerking en communicatie cruciaal. Als je bijvoorbeeld een sluis een weekend buiten dienst wil stellen om er vanuit security aan te sleutelen, dan moet zoiets maanden op voorhand ingepland worden zodat de operationele impact minimaal blijft.
Samen staan we sterker
Onder impuls van NIS2 zijn de meeste organisaties zich bewust van de uitdagingen die op de plank liggen. Daardoor heeft OT-security ook ingang gevonden bij de board. Er is dus wel beweging, maar het tempo ligt niet hoog genoeg. Vooral omdat het aan de kant van de cybercriminaliteit een pak sneller gaat. Er is een veel grotere inspanning nodig van bedrijven, leveranciers en overheid om de kloof in de komende twee jaar zo klein mogelijk te houden.
Wetgeving kan een belangrijke drijfveer zijn. Zo biedt NIS2 een goede basis, maar toch is dit kader nog onvoldoende afgestemd op OT. Veel maatregelen zijn door de complexiteit van zo’n omgeving moeilijk toe te passen en te implementeren. Organisaties mogen daar dus niet op wachten. Laat het succesverhaal van Port of Antwerp-Bruges een inspiratie zijn. Bedrijven in het havengebied hebben bovendien beseft dat IT/OT-security geen individuele taak is. Ze delen hun ervaringen en ideeën met elkaar, en ze werken ook actief samen met leveranciers van securityoplossingen. Zo kunnen we grote stappen zetten, want samen staan we sterker!
Stronger together is ook het thema van Cybersec Europe, het grootste cybersecurityevent in de Benelux - 20 en 21 mei in Brussels Expo.
