Operational Technology (OT) speelt een steeds grotere rol in de maakindustrie. Voor ons reden om stil te staan bij OT-cybersecurity tijdens ons Efteling Seminar in mei. Hoe je als machinebouwer of productiebedrijf je cyberweerbaarheid versterkt? Spreker Christo Butcher, consultant bij Fox-IT, presenteerde een helder stappenplan. In het kort: je business- en technische risico’s begrijpen, beschermen, monitoren én testen.
OT versus IT
Van ransomware tot DDoS-aanvallen: cybercriminaliteit is een ‘bloeiende sector’, concludeert Christo. “Steeds meer bedrijven hebben ermee te maken. Hackers kiezen vooral voor het binnendringen van IT-systemen. Hoewel OT-omgevingen vaak gemakkelijker te kraken zijn, lijken deze minder vaak gehackt te worden. Hoe dat komt? Hackers hebben nog geen duidelijke manier om er geld aan te verdienen. Data in OT-omgevingen zijn vaak zo specifiek dat er weinig vraag naar is, tenzij je toevallig een soortgelijke fabriek runt. Ook heeft het tijdelijk platleggen van OT voor afpersing weinig zin, omdat het daarna veel werk kost om deze systemen weer draaiende te krijgen. Voor een hacker wegen de kosten dan niet op tegen de baten.”
Ketenverantwoordelijkheid
Is het dan wel nodig dat bedrijven met OT zich tegen hackers beschermen? “Zeker weten,” zegt Christo. En daar waren de aanwezigen bij het Efteling Seminar het mee eens, zo bleek uit onze stellingen. Liefst 98% vulde ‘ja’ in op de vraag of bescherming bij het eigen bedrijf nodig is. “Als organisaties zich niet beschermen tegen hackers, leven ze in schijnveiligheid,” legt Christo uit. “Cybercriminaliteit ontwikkelt zich razendsnel. Misschien ontstaat er binnenkort een goed verdienmodel voor hackers.”
Tegelijkertijd kun je ook gehackt worden om andere redenen dan financieel gewin, vertelt Christo. “Denk aan sabotage, spionage, of activisme. Door geen maatregelen te nemen, gedraag je je als een struisvogel. Je steekt je kop in het zand en geeft hackers de keuze. Daarnaast ben je als machinebouwer of productiebedrijf onderdeel van een keten. Dat betekent dat je ook een verantwoordelijkheid hebt naar je leveranciers en klanten om je systemen cyberweerbaar te houden.”
Management aan zet bij weerbaarheid
Wie is er verantwoordelijk voor OT-cybersecurity binnen een bedrijf? Bijna de helft van de seminarbezoekers vulde ‘iedereen’ in bij deze stelling. Christo is het daarmee eens dat iedereen een rol speelt in cybersecurity, maar eindverantwoordelijk voor het geheel is en blijft het management. “Natuurlijk moet iedereen binnen een organisatie waakzaam zijn en vanuit de eigen rol bijdragen aan de organisatie veilig houden. Maar als het gaat om de strategie en planvorming, dan zijn managementteams aan zet. Cybersecurity moet continu op hun agenda staan. Zeker met de komst van de nieuwe NIS2-richtlijn, waarmee bestuurders persoonlijk aansprakelijk worden gesteld voor de weerbaarheid van de organisatie.”
Stappen naar sterke OT-cybersecurity
In tegenstelling tot bijvoorbeeld brandveiligheid zijn er voor OT-cybersecurity geen standaardoplossingen die het gehele probleem adresseren. Daarom moet deze vorm van security volgens Christo continu op de agenda van bedrijven staan. Welke 5 stappen bij een sterke OT-cybersecurity horen?
Neem gerust contact op
Meer weten over de Van Doren Groep? Of benieuwd wat wij voor u kunnen betekenen? Neem contact met ons op via 0492 74 75 00 of info@vandoren.nl. Wij gaan graag met u in gesprek.