Er valt veel te zeggen over de OT-markt in combinatie met IT. Deze twee markten kunnen met elkaar botsen, maar het is belangrijk om ze dicht bij elkaar te houden. Waarom? Gerben van der Lei, Principal Consultant & OT Practice Lead bij Fox-IT, benadrukt: "Handel nu, of riskeer enorme mislukkingen". Met meer dan 12,5 jaar ervaring bij Fox-IT en diepgaande expertise op het gebied van cryptografie en OT consulting werpt hij zijn licht op dit onderwerp.
Specifieke bedreigingen voor de OT-markt
Volgens Gerben wordt de OT-markt op meerdere fronten aangevallen: "De bedreigingen kunnen van buitenaf komen, van binnenuit, of zelfs vanuit de industrie zelf." Externe risico's nemen toe naarmate aanvallers geavanceerder worden, terwijl interne uitdagingen ontstaan wanneer organisaties IT-beveiligingsmethoden proberen toe te passen op OT-omgevingen. Kort samengevat identificeert Gerben drie kritieke pijlers van bedreigingen voor het OT-landschap:
- Externe bedreigingen: Omdat aanvallers steeds geraffineerder worden, ontwikkelen externe bedreigingen zich razendsnel. Traditionele verdedigingen zijn niet langer voldoende om deze opkomende risico's bij te houden.
- Interne bedreigingen: Een aanzienlijk risico ontstaat wanneer organisaties IT-beveiligingspraktijken toepassen op OT-omgevingen zonder rekening te houden met de unieke behoeften van OT. "Veel beveiligingsmodellen zijn relevant voor zowel IT als OT, maar het is cruciaal om zorgvuldig na te denken over de implementatie ervan, vooral omdat fysieke processen de kern vormen van OT-activiteiten", waarschuwt Gerben.
- Druk van leveranciers en SaaS: De drang naar cloud-gebaseerde SaaS-modellen zet OT-bedrijven onder druk om oplossingen te implementeren die de controle over hun fysieke processen kunnen wegnemen. "Verkoopgedreven beloften van SaaS kunnen ertoe leiden dat bedrijven concessies doen aan de essentiële aard van hun operationele controle", legt hij uit.
De typische culturele botsing: wanneer IT en OT elkaar ontmoeten
De culturele kloof tussen de twee domeinen is een groot obstakel in de samenwerking tussen OT en IT. "IT-professionals zijn geconditioneerd om snel te handelen, ze geloven in een 'move fast and break things'-mentaliteit. OT-engineers daarentegen moeten rekening houden met het fysieke proces, wat vraagt om zorgvuldige afwegingen voordat er actie wordt ondernomen."
"IT richt zich vaak op snelle uitvoering, terwijl OT een meer doordachte, weloverwogen aanpak vereist voordat er actie wordt ondernomen."
Dit verschil in tempo en aanpak leidt vaak tot misverstanden en niet op elkaar afgestemde prioriteiten, met mogelijk gevaarlijke gevolgen voor kritieke infrastructuur.
"Mijn advies aan IT-professionals is: 'Zorg ervoor dat je volledig begrijpt waar OT vandaan komt voordat je je best practices oplegt.'" IT-teams zijn gewend aan snelle veranderingen en iteratieve verbeteringen, terwijl OT-engineers prioriteit geven aan de stabiliteit en voorspelbaarheid van fysieke processen. Daarom is wederzijds begrip essentieel. "Voor OT-professionals is het net zo belangrijk om te begrijpen wat IT'ers proberen te bereiken en welke risico's zij zien. Alleen dan kunnen beide partijen effectief samenwerken."
Het fysieke proces centraal stellen
Centraal in Gerbens advies staat het principe om controle te houden over het fysieke proces. "Mijn advies is simpel: houd IT dicht bij het fysieke proces. In OT is het fysieke proces het belangrijkst - al het andere is bedoeld om dat proces te ondersteunen. Hoe verder je IT-controles verwijdert van het operationele proces, hoe moeilijker het wordt om te verdedigen en hoe kwetsbaarder je bent voor verstoringen." Voor Gerben is een goed ontworpen OT-systeem er een dat eenvoudig is, met duidelijke grenzen en minimale onnodige verbindingen.
Hulpmiddelen voor veerkracht: De rol van DataDiodes
Onder de tools die kunnen helpen bij het overbruggen van de OT/IT kloof, wijst Gerben op het strategisch gebruik van DataDiodes:
"DataDiodes zijn geen magische oplossing, maar ze zijn een zeer effectieve manier om een eenrichtingsstroom van gegevens af te dwingen. Hiermee kun je essentiële bewakingsgegevens uit je OT-netwerk halen zonder het bloot te stellen aan inkomende bedreigingen."
Hij legt verder uit dat DataDiodes kunnen worden geconfigureerd om zowel uitgaande gegevens (bijvoorbeeld prestatie- of beveiligingsbewakingsgegevens) als inkomende gegevens (zoals orders die een productiesysteem binnenkomen) te beveiligen. Deze gecontroleerde gegevensstroom vereenvoudigt de netwerkarchitectuur en versterkt de beveiliging. Door DataDiodes te gebruiken, kunnen organisaties hun kritieke OT-processen isoleren en toch profiteren van de noodzakelijke IT-connectiviteit, waardoor complexe architecturen eenvoudiger en beter verdedigbaar worden.
De urgentie van een proactieve OT-strategie
Regelgevende kaders, zoals NIS2, beginnen een invloedrijke rol te spelen bij het op elkaar afstemmen van IT- en OT-beveiligingsinspanningen. Gerben legt uit: "Een van de grootste voordelen van deze raamwerken is dat cyberbeveiliging een bestuurskwestie wordt. Als het bestuur IT-beveiliging verantwoordelijk stelt, dwingt het organisaties dat zowel IT- als OT-teams worden ondersteund bij hun inspanningen om kritieke systemen te beveiligen. Compliance gaat niet alleen over het aanvinken van vakjes - het is een trigger voor een meer geïntegreerde, risicobewuste aanpak in de hele organisatie."
Vooruitkijkend is Gerben voorzichtig maar optimistisch. De verschuiving naar cloud-gebaseerde diensten en SaaS-modellen brengt onmiskenbare voordelen met zich mee, maar ook het risico dat er te veel controle wordt uitbesteed aan externe leveranciers. "Bedrijven moeten nu beslissen welke kritieke processen ze intern willen houden. Je wilt niet in een situatie terechtkomen waarin een softwareleverancier beslissingen voor je neemt, of waarin je door onvoorziene veranderingen in de markt gedwongen wordt om te werken met een fractie van de bandbreedte die je gewend bent." Voor Gerben is proactieve planning de sleutel:
"De gouden kans in OT is dat veel bedrijven nog de kans hebben om slimme keuzes te maken voordat het te laat is."
Opmerking voor bedrijven: onderneem deze stappen
Gerbens advies is zowel direct als dringend. Bedrijven kunnen zich geen uitstel veroorloven. Dit is wat er volgens hem moet gebeuren:
- Voer een uitgebreide risicoanalyse uit: Identificeer je kroonjuwelen. Begrijp welke operationele processen kritiek zijn en onder directe controle moeten blijven.
- Houd IT dicht bij het fysieke proces: "Mijn advies is: houd het operationele proces als belangrijkste. Alle IT moet deze primaire functie ondersteunen."
- Vereenvoudig je architectuur: Verminder onnodige verbindingen en complexiteit. "Hoe meer complexiteit je toevoegt, hoe makkelijker het is voor je verdediging om gecompromitteerd te worden."
- Implementeer veilige gegevensstromen: Gebruik DataDiodes en andere tools om gegevensoverdracht in één richting af te dwingen tussen OT- en IT-netwerken.
- Plan voor een toekomst met beperkte bandbreedte: Bereid je voor op scenario's waarbij de netwerkconnectiviteit beperkt kan zijn, zoals tijdens pieken in de vraag of noodsituaties. Bedenk hoe uw huidige beslissingen en systeemconfiguraties zouden werken als u slechts een fractie van uw huidige bandbreedte zou hebben. Zouden kritieke activiteiten nog steeds efficiënt functioneren, of zouden de prestaties eronder lijden?
- Vermijd een te grote afhankelijkheid van externe leveranciers: Behoud de controle over kritieke systemen. "Laat een externe leverancier niet de toekomst van je activiteiten dicteren.
Kortom: omarm eenvoud, dwing robuuste beveiligingsmaatregelen af en verlies vooral nooit uit het oog wat echt belangrijk is: de integriteit van je fysieke processen.
