Operational Technology (OT) speelt een steeds grotere rol in de maakindustrie. Voor ons reden om stil te staan bij OT-cybersecurity tijdens ons Efteling Seminar in mei. Hoe je als machinebouwer of productiebedrijf je cyberweerbaarheid versterkt? Spreker Christo Butcher, consultant bij Fox-IT, presenteerde een helder stappenplan. In het kort: je business- en technische risico’s begrijpen, beschermen, monitoren én testen.
OT versus IT
Van ransomware tot DDoS-aanvallen: cybercriminaliteit is een ‘bloeiende sector’, concludeert Christo. “Steeds meer bedrijven hebben ermee te maken. Hackers kiezen vooral voor het binnendringen van IT-systemen. Hoewel OT-omgevingen vaak gemakkelijker te kraken zijn, lijken deze minder vaak gehackt te worden. Hoe dat komt? Hackers hebben nog geen duidelijke manier om er geld aan te verdienen. Data in OT-omgevingen zijn vaak zo specifiek dat er weinig vraag naar is, tenzij je toevallig een soortgelijke fabriek runt. Ook heeft het tijdelijk platleggen van OT voor afpersing weinig zin, omdat het daarna veel werk kost om deze systemen weer draaiende te krijgen. Voor een hacker wegen de kosten dan niet op tegen de baten.”
Ketenverantwoordelijkheid
Is het dan wel nodig dat bedrijven met OT zich tegen hackers beschermen? “Zeker weten,” zegt Christo. En daar waren de aanwezigen bij het Efteling Seminar het mee eens, zo bleek uit onze stellingen. Liefst 98% vulde ‘ja’ in op de vraag of bescherming bij het eigen bedrijf nodig is. “Als organisaties zich niet beschermen tegen hackers, leven ze in schijnveiligheid,” legt Christo uit. “Cybercriminaliteit ontwikkelt zich razendsnel. Misschien ontstaat er binnenkort een goed verdienmodel voor hackers.”
Tegelijkertijd kun je ook gehackt worden om andere redenen dan financieel gewin, vertelt Christo. “Denk aan sabotage, spionage, of activisme. Door geen maatregelen te nemen, gedraag je je als een struisvogel. Je steekt je kop in het zand en geeft hackers de keuze. Daarnaast ben je als machinebouwer of productiebedrijf onderdeel van een keten. Dat betekent dat je ook een verantwoordelijkheid hebt naar je leveranciers en klanten om je systemen cyberweerbaar te houden.”
Management aan zet bij weerbaarheid
Wie is er verantwoordelijk voor OT-cybersecurity binnen een bedrijf? Bijna de helft van de seminarbezoekers vulde ‘iedereen’ in bij deze stelling. Christo is het daarmee eens dat iedereen een rol speelt in cybersecurity, maar eindverantwoordelijk voor het geheel is en blijft het management. “Natuurlijk moet iedereen binnen een organisatie waakzaam zijn en vanuit de eigen rol bijdragen aan de organisatie veilig houden. Maar als het gaat om de strategie en planvorming, dan zijn managementteams aan zet. Cybersecurity moet continu op hun agenda staan. Zeker met de komst van de nieuwe NIS2-richtlijn, waarmee bestuurders persoonlijk aansprakelijk worden gesteld voor de weerbaarheid van de organisatie.”
Stappen naar sterke OT-cybersecurity
In tegenstelling tot bijvoorbeeld brandveiligheid zijn er voor OT-cybersecurity geen standaardoplossingen die het gehele probleem adresseren. Daarom moet deze vorm van security volgens Christo continu op de agenda van bedrijven staan. Welke 5 stappen bij een sterke OT-cybersecurity horen?
- Begrijp je businessrisico’s. Kies voor een risico-gebaseerde aanpak, waarbij security geen doel op zich is. En stem je beveiligingsniveau af op de gevolgen als het misgaat. Een illustratief voorbeeld is brouwerij Duvel Moortgat dat recent slachtoffer werd van een cyberaanval waardoor de brouwerij stil kwam te liggen. Maar, legde hun woordvoerder uit, ze hadden genoeg voorraad waardoor de aanval geen significante impact zou hebben op leveringen. Dat soort inzicht vooraf kan een belangrijke overweging zijn in risicomanagement en het beoogde niveau van (technische) maatregelen.
- Begrijp je technische risico’s. Bekijk je systemen continu vanuit hackersperspectief en heb oog voor hoe een cyberaanval (in de techniek) schade kan aanrichten (aan de business).
- Bescherm. Bepaal waarschijnlijke cyberaanvalketens en kies efficiënte maatregelen om ze te doorbreken.
- Monitor. Monitor systeemactiviteiten op het niveau waarop hackers werken. Dat zit vaak op een andere technische laag dan de reguliere procesmonitoring van de operatie. Grijp in bij verdacht gedrag. En volg ontwikkelingen binnen cybercriminaliteit en -security op de voet om te weten waar zichtbaarheid nodig is.
- Test of maatregelen werken. Te veel maatregelen op papier werken in de praktijk niet (goed genoeg). Het is daarom belangrijk om regelmatig te testen of de bescherming en monitoring daadwerkelijk effectief is tegen hedendaagse cyberaanvallen.
Neem gerust contact op
Meer weten over de Van Doren Groep? Of benieuwd wat wij voor u kunnen betekenen? Neem contact met ons op via 0492 74 75 00 of info@vanlente.nl. Wij gaan graag met u in gesprek.