De grote toename van sensoren en connected OT-equipment in kritieke infrastructuur stelt organisaties voor nieuwe uitdagingen. De systemen worden kwetsbaarder voor aanvallen, terwijl de dreiging van statelijke actoren groeit. Daarbij komt de NIS2-richtlijn die het urgenter maakt om risico’s rond OT-security te verminderen.
Deze ontwikkelingen vormden de aanleiding voor een expertsessie over de integratie tussen het IT- en OT-domein in de semi-publieke sector. Tijdens onze roundtable op donderdag 28 november kwamen experts van het NCSC, Splunk, ICT-Group en de Nederlandse Spoorwegen samen om hun ervaringen te delen. Een belangrijk thema was dat beide domeinen nog te vaak gescheiden worden aangepakt, terwijl integratie juist kansen biedt. In dit artikel delen we een samenvatting van deze inzichten.
Het groeiende dreigingslandschap
Met twintig jaar ervaring in het cyber security domein (o.a. als ethical hacker) schetste Erwin Paternotte van het NCSC een helder beeld van de huidige dreigingen. Het uitvallen van een website als gevolg van een IT-incident heeft vaak weinig gevolgen. Bij OT-incidenten is dit wel anders. Die kunnen in extreme gevallen zelfs leiden tot explosiegevaar of complete systeemverstoringen. Dit maakt de beveiliging van OT-systemen des te belangrijker.
De toenemende integratie tussen IT en OT versterkt de uitdagingen. Via zoekmachines zijn diverse SCADA-systemen in Nederland zichtbaar voor potentiële aanvallers. De dreigingen zijn niet alleen theoretisch. De recente aanvallen laten zien hoe cyberaanvallen kritieke infrastructuur kunnen uitschakelen.
Een holistische kijk op beveiliging
De tweede spreker, Ronald Beiboer, Staff Solutions Engineer bij Splunk, wees op het fundamentele verschil tussen IT en OT aan de hand van de CIA-driehoek. Waar IT draait om integriteit en vertrouwelijkheid, staat bij OT de beschikbaarheid voorop. Het motto ‘als het draait, laat het draaien’ typeert de OT-mentaliteit, wat leidt tot een andere risico-acceptatie dan in de IT-wereld.
Toch bewegen beide werelden naar elkaar toe. Waar twintig jaar geleden IT-security nog als ‘eng’ werd gezien en isolatie de norm was, zien we nu dezelfde ontwikkeling in OT. De oplossing ligt volgens Ronald in een integrale, holistische aanpak. Door de sterke punten van beide domeinen te combineren – zoals het patch- en identitymanagement van IT en het crisis- en changemanagement van OT – ontstaat een krachtiger geheel.
De NS als praktijkvoorbeeld
Joseph Mager, deputy CISO bij de Nederlandse Spoorwegen, legde uit hoe alomtegenwoordig OT is bij het bedrijf: van treinen met een levensduur van veertig jaar tot camera’s, paniekknoppen en koelsystemen. De digitalisering schrijdt voort, maar elk systeem kan door hackers als aanvalswapen worden gebruikt. Dit vereist een stevige governance op cyberrisico’s, van boardroom tot operatie.
NS kiest voor een risico-gedreven aanpak, waarbij BIA-analyses en de CIA-driehoek centraal staan. De business moet de gevolgen begrijpen vanuit risico’s, dreigingen en kans van optreden. Draagvlak wordt gecreëerd door IT’ers in treinteams te plaatsen en OT- en IT-experts samen te brengen.
Vooruitblik en aanbevelingen
De integratie van IT- en OT-systemen is een trein die niet meer gestopt kan worden. De behoefte aan operationele efficiëntie zal daaraan blijven bijdragen. De integratie moet echter zorgvuldig worden aangepakt, zoals wederom duidelijk werd tijdens de roundtable.
Het doorbreken van silo’s tussen IT- en OT-teams, met respect voor de unieke eigenschappen van beide domeinen, blijft de belangrijkste eerste stap. Conventionele IT-beveiligingsmethoden zijn immers niet zomaar toepasbaar op OT-systemen. Bij treinen bijvoorbeeld is het uitrollen van IT tooling niet altijd een optie – de focus ligt op intrusion- en anomalie detectie.
Succesvolle integratie vereist allereerst goede afspraken over incident response en een duidelijke verdeling van kennis en mandaten. Ook leveranciersmanagement wordt steeds belangrijker, zeker met de komst van NIS2. Organisaties moeten niet alleen directe maar ook indirecte suppliers beoordelen op IT- en OT-security. Door mensen met elkaar in contact te brengen en expertise te delen, kan de kloof tussen IT en OT worden overbrugd.
