OT en IT groeien samen: risico’s nemen toe Veel fabrieken werken nog met verouderde systemen die dag en nacht productie draaien. Daardoor wordt onderhoud vaak uitgesteld. “Dat is ondergeschikt aan het draaien van productie”, zegt Robert Molenaar, cyberexpert bij Hoffmann, dat bedrijven helpt risico’s te beperken en beter voorbereid te zijn op digitale incidenten. Computersystemen op de werkvloer zijn steeds vaker verbonden met de kantooromgeving. Daardoor kan een gehackt account op kantoor ook schade aanrichten in het productieproces. Het is dus belangrijk om die delen goed van elkaar te scheiden. Zorg dat medewerkers alleen toegang hebben tot wat ze echt nodig hebben. Leg vast wie welke rechten heeft en waarom.

Remote toegang en ketenafhankelijkheid Leveranciers beheren machines op afstand via VPN of software voor directe systeemovername (remote control-tools zoals TeamViewer of AnyDesk). “In kleinere fabrieken staat dit soort toegang soms permanent open voor een beheerder”, zegt Molenaar. Toegang blijft hierdoor onnodig lang open, zonder extra beveiliging zoals een wachtwoord én sms-code. Daarmee ontstaat een laagdrempelige ingang naar het OT‑netwerk, inclusief edge‑apparatuur. Het risico stopt niet bij de poort. Incidenten bij een IT-dienstverlener of platform kunnen via bestaande koppelingen doorwerken naar meerdere klanten. Molenaar wijst op recente voice‑phishing bij een onderaannemer van een groot platform, met impact op afnemers. Werk daarom met minimale rechten, het vastleggen van wie wat doet in het systeem (logging) en tijdsloten voor leveranciers, en herbeoordeel toegang periodiek.

Mens als aanjager en bewustzijn Volgens Molenaar start een groot deel van de hacks bij de mens: social engineering, phishing of voice phishing. “Je kan ervan uitgaan dat ze langskomen”, stelt hij. Zorg er dus voor dat je medewerkers hierop voorbereid zijn. Maar de basishygiëne dient ook op orde te zijn. Sluit ongebruikte poorten, dwing multi‑factor­authenticatie af en scheid rollen en rechten. Werk met een apart beheerdersaccount naast het dagelijkse account en borg dat beheerders geen onnodige bevoegdheden gebruiken. Bewustwording, beleid en techniek horen samen op te trekken; alleen tools inzetten is onvoldoende.

Vijf acties voor de komende 90 dagen Om de digitale weerbaarheid te versterken, zijn er vijf acties die bedrijven de komende negentig dagen kunnen ondernemen. Breng eerst alle assets, processen en toegangsrechten in kaart om volledig zicht te krijgen op het netwerk. Segmenteer vervolgens strikt door OT en kantooromgevingen te scheiden, kritieke processen te isoleren en rollen en rechten per taak vast te leggen. Verstevig ook de externe toegang: sluit permanente poorten, verplicht multi-factorauthenticatie en geef monteurs alleen tijdelijke toegang via een extra beveiligde tussencomputer. Activeer daarnaast monitoring en logging om afwijkingen snel te signaleren en de verblijftijd van aanvallers te verkorten. Tot slot: oefen de incidentrespons, leg een draaiboek en continuïteitsplan klaar en test regelmatig of back-ups daadwerkelijk kunnen worden hersteld.

Als het misgaat: handelingsplan “Zorg dat je een draaiboek klaarlegt”, zegt Molenaar. Overleg vooraf met je verzekeraar welke voorwaarden gelden om schadeclaims te kunnen onderbouwen, zoals logging, herstelprocedures en bewijs van back-ups. Bepaal ook wie je belt (verzekeraar, externe partner, eventueel politie) en hoe je omgaat met de vraag of je wel of niet betaalt bij ransomware. Het uitgangspunt is niet betalen, maar de afweging blijft moreel en afhankelijk van herstelbaarheid. Cruciaal is dat back-ups schoon zijn en de restore-procedure geoefend is. Realistische oefeningen aan tafel helpen inzichtelijk te maken waar nog informatie of afspraken ontbreken. Denk ook aan forensische gereedheid: adequate logging maakt onderzoek mogelijk en helpt bij verzekeringsclaims.

Meet voortgang en verminder frictie Niet elke dreiging komt van buiten. Molenaar noemt ook sabotage door boze (ex‑)medewerkers of conflicten met partners. Beperk daarom privileges, log wijzigingen in kritieke systemen en bewaar logbestanden lang genoeg om terug te kunnen kijken bij onderzoek. Mede doordat detectiesystemen steeds beter worden, moeten aanvallers sneller opereren. Monitoring helpt om afwijkingen vroeg te zien. Houd bij hoeveel tijd er zit tussen een aanval en de ontdekking ervan, hoe snel systemen daarna worden hersteld, hoe lang patches duren en hoe vaak mensen in phishing trappen. Ook als iets lastig werkt, is dat geen reden om veiligheid weg te laten. Moderne authenticatie is veilig én gebruiksvriendelijk als die goed is ingericht. “Je kan dat als IT’er wel goed inregelen”, aldus Molenaar.