Zelfs een relatief kleine aanval kan leiden tot langdurige stilstand, financiële schade en reputatieverlies. De urgentie groeit, terwijl de complexiteit van het digitale industriële landschap blijft toenemen.

Jarenlang ondergeschoven Wie is verantwoordelijk voor de beveiliging van productiesystemen? Bij veel organisaties wordt deze vraag met een pijnlijke stilte beantwoord. De IT-afdeling wijst naar OT, de OT-afdeling wijst terug. “We komen bijvoorbeeld nog regelmatig Windows XP tegen in productieomgevingen. Er zijn geen beveiligingsupdates, bug-fixes of support voor dit besturingssysteem; een aanzienlijk risico dus”, zegt Sander Keim, adviseur Technische Veiligheid bij Kader Group.

Samen met collega Rayen Riedel, adviseur Informatiebeveiliging, begeleidt hij organisaties bij het opzetten van effectief OT-cybersecuritybeleid. “Het probleem is dat OT jarenlang ondergeschoven is. Alle aandacht ging naar IT, mede door de AVG. Maar nu komt er wet- en regelgeving aan die OT direct raakt.”

Van IT naar OT in één beweging Die wet- en regelgeving heeft een naam: de Cyberbeveiligingswet, in het bijzonder NIS2. De richtlijn verplicht organisaties in vitale en kritieke sectoren, zoals energie, drinkwater, overheidsinstellingen en andere belangrijke entiteiten om cybersecurity serieus te nemen. “Wat we zien is dat aanvallers via IT binnenkomen en dan lateral movement (zich zijdelings verplaatsen binnen het netwerk) toepassen richting OT”, legt Riedel uit. “Die omgevingen kun je niet meer van elkaar scheiden.”

De gevaren zijn reëel. In Florida wisten hackers het loodgehalte in drinkwater te manipuleren via een aanval op het waterzuiveringssysteem. “Als zoiets misgaat, kun je menselijke slachtoffers krijgen. Het gaat niet alleen om bedrijfscontinuïteit, maar ook om fysieke veiligheid”, aldus Riedel.

Defense in depth Het verschil tussen IT en OT zit in de prioriteiten. Bij IT staat vertrouwelijkheid voorop, bij OT draait alles om beschikbaarheid naast integriteit en vertrouwelijkheid. Productielijnen moeten blijven draaien, het liefst 24/7. “Daarom is het patchen van OT-systemen complex”, zegt Keim. “Je kunt niet zomaar een productielijn stilleggen. Daarom werk je met defense in depth: meerdere beveiligingslagen die elkaar versterken.”

Netwerkmonitoring en anomaly detection spelen daarbij een cruciale rol. “Vergelijkbare technieken worden gebruikt met systemen en sensoren die continu data verzamelen. Oplossingen analyseren dit en genereren alerts wanneer er abnormaal gedrag wordt gedetecteerd. Als iemand herhaaldelijk probeert in te loggen, wil je dat direct weten.”

Nulmeting als vertrekpunt De eerste stap naar betere beveiliging klinkt simpel: weten wat je in huis hebt. “Wij beginnen altijd met een nulmeting. Waar staat de organisatie nu? Wat zijn de processen? Dan kunnen we een roadmap maken”, aldus Keim. Die roadmap volgt de eisen van normen als WWKE, CER, CBW, specifiek voor industriële automatisering. Kader Group voert gap-analyses uit, identificeert risico’s en begeleidt bij implementatie. “We doen ook Business Impact Analyses”, zegt Riedel. “Daarmee bepalen we wat echt relevant is voor de dienstverlening. Welke processen zijn kritiek? Dat stelt je in staat om gericht te werken.”

Diverse expertises in huis Segmentatie van netwerken is daarbij essentieel. Door onder andere IT en OT gescheiden te houden waar mogelijk, beperk je de impact van een aanval. “Sommige klanten willen volledig ontzorgd worden, andere willen vooral leren hoe ze het zelf kunnen”, zegt Riedel.

Kader Group zoekt een totaaloplossing voor mens, organisatie en techniek. “We hebben verschillende expertises in huis”, legt Keim uit. “Technische veiligheid en informatiebeveiliging maar ook medewerkerswelzijn, arbeidsveiligheid, organisatiekwaliteit en duurzaamheid. Afhankelijk van de vraag schakelen we de juiste mensen in. En daarmee kunnen wij ons volledig onafhankelijk opstellen. We verkopen geen componenten, we certificeren niet. We adviseren.”

Van moeten naar willen Techniek is belangrijk, maar mensen maken het verschil. Wat wél werkt? Commitment van bovenaf. “De directie moet laten zien dat cybersecurity belangrijk is. Niet omdat het moet, maar omdat ze het willen”, stelt Riedel. “We proberen van ‘moeten’ naar ‘willen’ te komen. Dat betekent een cultuurverandering. Iedereen moet eigenaarschap voelen. De leiding moet het juiste gedrag tonen aan de rest van de organisatie.” Die cultuuromslag vergt tijd. Het is geen project dat je in drie maanden afrondt.

Kansen in verandering De komende jaren ziet Kader Group vooral kansen. Nieuwe wetgeving zoals NIS2, de Cyber Resilience Act en aangescherpte verordeningen voor machineveiligheid dwingen organisaties tot actie. Het doel blijft helder: een duurzame en veilige leefomgeving. Voor bedrijven, organisaties en medewerkers.

“We kijken altijd naar mens, maatschappij en milieu”, zegt Riedel. “Bedrijven die vandaag investeren in brede waardecreatie, vergroten morgen hun concurrentiekracht én maatschappelijke relevantie. Wij denken mee binnen de context van iedere specifieke organisatie.”