"Beveiliging is geen product, het is een proces" - Hoe IT en OT elkaar echt kunnen versterken

Nu digitale en fysieke systemen steeds meer met elkaar verweven raken, staan organisaties voor een grote uitdaging: hoe kunnen IT en OT veilig naast elkaar en samen werken?

De druk om beide werelden te integreren neemt toe, maar in de praktijk blijkt deze integratie zeer complex. Verschillende prioriteiten, technologieën en culturen maken een veilige samenwerking tussen IT en OT verre van eenvoudig.

Volgens Jef Pauwels, projectmanager bij Fox Crypto, is het gebrek aan wederzijds begrip tussen IT en OT een van de grootste struikelblokken.

"IT en OT hebben verschillende prioriteiten, verschillende culturen, verschillende standaarden - en zolang we dat negeren, blijven we achter de feiten aanlopen."

De kloof tussen OT en IT: meer dan technologie alleen

Voor iedereen die nog steeds denkt dat IT-beveiligingsmaatregelen simpelweg gekopieerd kunnen worden naar een OT-omgeving, heeft Jef een duidelijke boodschap: "IT is niet hetzelfde als OT." Hij zegt dat er vaak aannames worden gedaan die niet overeenkomen met de realiteit van operationele technologie.

"Wat ik vaak zie gebeuren is dat OT wordt behandeld als een IT-systeem. Maar de OT-omgeving is anders gebouwd, wordt anders beheerd en draait soms op technologie die twintig jaar of ouder is - en dat is helemaal prima."

Deze kloof is niet alleen technisch, maar ook organisatorisch. "In OT draait alles om de beschikbaarheid van processen. In IT draait het vaak om vertrouwelijkheid en integriteit. Als die prioriteiten niet op één lijn liggen, krijg je wrijving. Een beveiligingsupdate die vanuit IT komt, kan in OT als een risico worden gezien."

Zichtbaarheid als basis van beveiliging

Het eerste probleem dat Jef regelmatig tegenkomt in de bedrijfswereld: niemand weet echt wat er draait. "In veel gevallen hebben bedrijven niet voldoende zicht op wat er zich op een bepaald moment op hun netwerk bevindt. Als je niet weet wat er in je netwerk zit, hoe ga je het dan beveiligen?"

Dit gebrek aan zichtbaarheid maakt het onmogelijk om gerichte maatregelen te nemen.

"Asset management wordt vaak gezien als saai en procedureel, maar het is echt de basis. Zonder dat weet je gewoon niet waar je mee bezig bent."

Hij merkt ook op dat OT-systemen vaak nog werken onder de illusie van een 'air gap'. "Mensen denken: als het netwerk niet verbonden is met het internet, is het veilig. Maar we zien vaak dat dat niet helemaal waar is. Iemand neemt overal een laptop mee naartoe, sluit misschien een USB-stick aan, voert een update uit vanaf een extern apparaat - en de air gap is al verbroken. Je moet dus verder denken dan alleen fysieke segmentatie."

Vertrouwen, communicatie en gedeelde verantwoordelijkheid

Een belangrijke boodschap die Jef wil delen: de oplossing ligt niet alleen in technologie, maar vooral in samenwerking. "Beveiliging is een gedeelde verantwoordelijkheid, maar het moet groeien. Je moet de juiste mensen aan tafel krijgen en zorgen dat OT en IT elkaar begrijpen. Dat betekent ook: elkaars taal leren spreken."

Hij geeft het voorbeeld van organisaties waar IT een beveiligingsbeleid oplegt aan OT zonder OT bij het proces te betrekken. "Dat werkt niet. Je moet de impact van een maatregel begrijpen. In OT kan een slechte update leiden tot een productiestop. Dat risico is te groot." Daarom pleit hij voor een stapsgewijze, contextgedreven aanpak. "Je moet niet alles in één keer proberen te veranderen. Kijk naar wat echt nodig is en bouw van daaruit verder."

Hij benadrukt ook het belang van procesgericht denken.

"Beveiliging is geen product, het is een proces. Het gaat om continu verbeteren, aanpassen aan de realiteit van je organisatie en vooral: samenwerken."