Skip to main content

Vijf cruciale stappen voor ot-beveiliging

Industriele controlesystemen, ICS, vormen de ruggengraat van onze kritieke infrastructuur – van energiecentrales en olieplatforms tot aan waterzuiveringsinstallaties en ziekenhuizen. Toch ligt de beveiliging ervan vaak in handen van it-teams die de ins en outs van operationele technologie (ot) onvoldoende kennen. Dean Parsons, hoofdtrainer bij het Sans Institute en cybersecurityadviseur, stelt dat in een goede ics/ot-cyberbeveiligingsstrategie vijf controlemechanismes niet mogen ontbreken. Ics beschermen levens.

Cybersecurity is allang niet meer alleen een it-aangelegenheid. In de wereld van industriële controlesystemen liggen de risico’s minstens zo hoog – en zijn de gevolgen vaak vele malen ernstiger. Dean Parsons, cybersecurityexpert en als trainer verbonden aan het Sans Institute, begon zijn carrière in de it, maar maakte al snel de overstap naar de wereld van de ot. ‘Ik dacht dat ik goed was in cybersecurity, tot ik met ics in aanraking kwam. Toen ontdekte ik dat zo’n zeventig procent van wat ik wist, niet toepasbaar was bij ot.’

Waar it draait op bekende systemen als Windows en Linux, werken industriële controlesystemen met technologieën zoals plc’s, rtu’s, relais, meters; systemen die vaak geen besturingssysteem hebben en waar geen antivirus op is te installeren. ‘It’ers krijgen vaak de verantwoordelijkheid voor ics-beveiliging, maar missen de kennis van die niet-it-assets. Dat is een risico’, stelt Parsons.

Vitale sector

Parsons reist de wereld over om naast het geven van trainingen te adviseren over ics-security bij bedrijven uit de vitale sector, zoals ziekenhuizen, olieplatforms, waterzuiveringsinstallaties en elektriciteitscentrales. Overal krijgt hij dezelfde vraag: ‘Wat zijn de zaken die ik nú moet regelen?’ Zijn antwoord is steevast dezelfde set van vijf cruciale controlemechanismen die je in je ics/ot-cyberbeveiligingsstrategie moet inbouwen:

  • Ics-specifiek incident-response-plan

‘Je moet kunnen reageren op incidenten in systemen die geen Windows of Linux draaien. Dat vereist een ander plan dan wat je voor it hebt. Een onderdeel is naast het zorgen voor technische herstelmogelijkheden het ontwerpen en regelmatig uitvoeren van incident-respons-specifieke oefeningen.

  • Verdedigbare netwerkarchitectuur

‘Segmentatie is cruciaal. Bijna de helft van de ics-incidenten komt via het it-netwerk binnen. Je moet je ics-netwerk dus afschermen van it en internet.’

  • Netwerkzichtbaarheid en monitoring

‘Continue netwerkbeveiligingsbewaking van de ics-omgeving met protocolbewuste toolsets en analysemogelijkheden geeft je inzicht in je assets, kwetsbaarheden en incidenten én helpt bij technische probleemoplossing. Als je maar één ding kunt doen, doe dan dit.’

  • Veilige toegang op afstand

‘Toegang op afstand is onvermijdelijk, zeker met leveranciers en integrators. Als die niet goed beveiligd is, is het een van de grootste aanvalsvectoren. Daarom zijn identificatie en inventarisatie van alle remote access points en toegestane bestemmingsomgevingen essentieel en gebruik mfa waar mogelijk.’

  • Risicogebaseerd kwetsbaarheidsbeheer

‘In de it patch je meestal elke dertig dagen. In de ot werkt dat niet. Het dreigingsoppervlak is anders; je kunt bijvoorbeeld niet mailen in een ics-omgeving. Je moet daarom de specifieke kwetsbaarheden van apparaten en systemen inzichtelijk maken en daar passende voorzorgsmaatregelen bij nemen.’

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen