Informatietechnologie (IT) en operationele technologie (OT) zijn vaak bij verschillende afdelingen binnen een organisatie ondergebracht. Cyberbeveiliging van OT is geen puur technisch onderwerp. Het gaat ook om bewustwording, samenwerking en bestuurlijke verantwoordelijkheid. Door IT en OT samen te brengen binnen één integraal risicomanagementkader, wordt de organisatie weerbaarder tegen cyberdreigingen. Hieronder staan enkele aandachtspunten.
Operationele technologie
Industrial Automation and Control Systems (IACS) zijn systemen die hardware en software combineren om fysieke processen en machines te automatiseren en te controleren. Het wordt bijvoorbeeld veel gebruikt in de maakindustrie, energie en transport om de efficiëntie en veiligheid te verbeteren. Daarom wordt het ook wel operationele technologie (OT) genoemd. IACS zijn vaak een onmerkbaar onderdeel van veel processen, zoals in de technische infrastructuur bij telecom, verkeerslichten en netbeheerders.
Beveiligingsmaatregelen nodig
Steeds vaker worden systemen aan netwerken gekoppeld, om ze op afstand te monitoren of te onderhouden. OT-systemen zijn vaak ontworpen met veiligheid en bedrijfszekerheid als uitgangspunt, niet met cyberbeveiliging. Dat maakt ze kwetsbaar als er geen beveiligingsmaatregelen worden genomen.
Risicomanagement IT en OT
Risicomanagement betekent: weten wat je hebt, begrijpen wat er mis kan gaan en maatregelen nemen om de meest relevante risico’s te beheersen. OT hoort daar nadrukkelijk bij.
Effectief risicomanagement vraagt om een multidisciplinaire aanpak. Breng de verschillende teams bij elkaar en zorg dat iedereen dezelfde taal spreekt. Betrek bijvoorbeeld veiligheids- of kwaliteitsteams: daar leeft vaak al een sterke risicocultuur die kan helpen bij de bewustwording rondom OT.
Verstoringen in OT kunnen direct leiden tot fysieke schade, veiligheidsincidenten en productiestilstand, terwijl IT-incidenten vooral gaan over data, continuïteit en vertrouwelijkheid. In moderne organisaties zijn IT- en OT‑omgevingen ook steeds sterker met elkaar vervlochten, waardoor eenzijdige analyse blinde vlekken creëert.
Bestuur verantwoordelijk
De verantwoordelijkheid voor OT ligt bij het bestuur van een organisatie – niet bij de CISO alleen. Bestuurders dragen zorg voor het totale risicomanagement van de organisatie, waarin zowel IT- als OT-risico’s zijn opgenomen.
Aandachtspunten voor organisaties
De Rijksinspectie Digitale Infrastructuur (RDI) ziet dat organisaties die OT in hun risicomanagement opnemen, beter voorbereid zijn op incidenten. Enkele belangrijke aandachtspunten:
- We adviseren organisaties om één gezamenlijke governance‑structuur op te zetten voor IT/OT‑risicomanagement, die geïntegreerde risicoanalyses en prioritering op ondernemingsniveau aanstuurt.
- De hard- en software van OT-systemen hebben vaak een langere levensduur dan IT-systemen. Dat brengt risico's met zich mee (zie info op NCSC over End-of-Life). Denk bijvoorbeeld aan updates van software die niet tijdig worden gedaan of beveiligingslekken die vaak niet meer worden opgelost. Ook de architectuur moet goed zijn. Hiervoor kunt u gebruikmaken van erkende modellen en normen die richting geven aan een goede aanpak. Denk bijvoorbeeld aan het Purdue Enterprise Reference Architecture (Purdue-model) en het IEC 62443 framework. Deze bieden concrete handvatten voor het structureren en beveiligen van industriële systemen op een robuuste manier. Houd met alle risico’s rekening bij het inkopen en beheren van OT-systemen.
- Veel OT-systemen zijn afhankelijk van externe leveranciers. Controleer of zij passende beveiligingsmaatregelen hebben genomen (toeleveringsketen).
- Significante cyberincidenten die invloed hebben op OT moeten worden gemeld bij de sectorale Computer Security Incident Response Team (CSIRT).
- Bewustwording en cultuur: investeer in kennisdeling en training, zodat medewerkers binnen zowel IT- als OT-omgevingen risico’s herkennen en goed handelen bij incidenten.