‘Wat je niet weet, kan het meeste zeer doen’
De Europese Unie scherpt de cyberwetgeving stevig aan. Met de nieuwe NIS2-richtlijn, de Cyber Resilience Act (CRA) en de vernieuwde Machinerichtlijn worden ook industriële organisaties geconfronteerd met nieuwe verantwoordelijkheden op het gebied van digitale veiligheid. Volgens Christiaan Woldendorp, OT-cybersecurityexpert bij Kiwa-onderdeel Hudson Cybertec, is dat hard nodig. ‘De tijd dat machines, productieomgevingen en installaties cyberveilig waren omdat ze “los” stonden van het internet, is voorgoed voorbij.’
De wake-upcall kwam meer dan tien jaar geleden met Stuxnet, volgens experts de “moeder van alle industriële cyberaanvallen”. ‘Die malware werd via een usb-stick een Iraanse kerncentrale binnengesmokkeld en richtte daar fysieke schade aan’, legt Woldendorp uit. ‘Sindsdien raken hackers steeds vaker ook industriële besturingen. Zo zat in mei 2021 door een cyberaanval maar liefst 87% van de tankstations in Washington DC zonder brandstof. Een ander voorbeeld is de aanval op het Nederlandse Hoppenbrouwers. Die kwam tot stand via de beveiligingssoftware van een leverancier. Dat is precies waar de NIS2 onder andere op wijst: niet alleen je eigen beveiliging moet op orde zijn, ook die van je supply chain.’
IT en OT groeien naar elkaar toe
Waar IT-security traditioneel gericht is op vertrouwelijkheid van informatie, draait OT-security vooral om beschikbaarheid en integriteit. ‘Die werelden lopen steeds meer in elkaar over. Sensoren en machines communiceren via bluetooth of internet, productiecijfers worden doorgestuurd naar ERP-systemen. Je kunt niet langer doen alsof OT losstaat van IT. Daarbij: sommige systemen in de OT draaien al dertig jaar. Ze zijn nooit ontworpen met cybersecurity in het achterhoofd.’ Volgens Woldendorp is (micro)segmentatie een belangrijk hulpmiddel om OT-systemen te beveiligen. ‘Zie het netwerk als een puzzel: elk segment is een puzzelstuk en je wilt kunnen bepalen wie van het ene naar het andere stuk mag springen.’
Standaarden als fundament
De nieuwe cyberwetgeving vraagt om aantoonbare maatregelen. Kwaliteitsstandaarden als ISO 27001 (voor IT) en IEC 62443 (voor industriële automatisering) bieden daarvoor een solide basis. ‘Deze normenkaders helpen bij de implementatie van de wetgeving,’ legt Woldendorp uit. ‘Vergeet niet dat NIS2 het hele bedrijf raakt: met alleen een ISO 27001-certificering voor IT ben je er als industrieel bedrijf niet. Voer daarom IEC 62443 in voor je OT en koppel je bestaande managementsystemen, zodat IT en OT elkaar versterken in plaats van dubbel werk te veroorzaken. Bonus: IEC 62443 sluit inhoudelijk aan op de eisen van de CRA, zodat je hiermee al een groot deel van die vereisten afdekt.’
Veiligheid begint met inzicht
De eerste stap richting cyberveiligheid is weten wat je hebt. Woldendorp: ‘Hoe wil je systemen beveiligen als je niet weet wat er draait? Veel industriële organisaties hebben geen volledig overzicht van hun assets en bijbehorende risico’s. Wat je niet weet, kan zomaar het meeste zeer doen.’ Volgens Woldendorp is zo’n inventarisatie de basis voor alles wat volgt: risicoanalyse, segmentatie, etc. ‘Wie pas begint als de wetgeving ingaat, is te laat. De NIS2 wordt medio 2026 van kracht en ook delen van de CRA worden al in 2026 verplicht. Het implementeren van maatregelen hiervoor kost veel tijd. Je hebt mensen, processen en leveranciers nodig. Begin dus nu!’
Cyberveiligheid als kwaliteitskenmerk
Certificering is niet de heilige graal, maar kan volgens Woldendorp wél helpen om aantoonbaar grip te krijgen op risico’s. ‘Cyberveiligheid hoort net zo goed bij kwaliteit als productveiligheid of milieumanagement. Het laat zien dat je organisatie weerbaar is, op papier én in de praktijk.’ Woldendorps advies is dan ook helder: ‘Zie de nieuwe wet- en regelgeving op het vlak van cybersecurity niet als administratieve last, maar als kans om structureel beter te worden.’
Hoewel vertrouwelijkheid van informatie vaak een focus is binnen traditionele IT-security, is dit allerminst uniform. In veel IT-omgevingen is beschikbaarheid minstens zo belangrijk, gezien de strenge service levels en de afhankelijkheid van continue dienstverlening (denk aan logistieke ketens, financiële transacties, SaaS-platformen en productieworkflows). De nadruk op vertrouwelijkheid komt vooral naar voren bij opslag en databeheer. Diezelfde data-dimensie wordt echter ook steeds belangrijker binnen OT-omgevingen, omdat productiegegevens, referentiewaarden en sensordata cruciaal zijn voor kwaliteitscontrole, kalibratie en audit-trail-processen. Dat maakt OT niet alleen kwetsbaar voor een verstoring van fysieke processen, maar ook voor gerichte aanvallen op integriteit en vertrouwelijkheid van data. Enkele bekende OT-aanvallen illustreren dit:
Stuxnet manipuleerde PLC-logica en sensorgegevens, waardoor operators foutieve waarden zagen. Dit toont hoe aanvallers integriteit én waargenomen systeemgedrag kunnen ondermijnen om fysieke schade te veroorzaken.
BlackEnergy en Industroyer/CrashOverride in Oekraïne richtten zich primair op de beschikbaarheid van kritieke infrastructuur door schakelaars en onderstations te ontregelen — maar gebruikten ook dataverkenning in de OT-omgeving om operationele processen beter te begrijpen en gerichter te saboteren.
Triton/Trisis viel safety-instrumented systems aan, met als doel niet alleen processen stil te leggen, maar ook de integriteit van veiligheidsmechanismen te compromitteren. Dit illustreert hoe manipulatie van controlelogica nog gevaarlijker kan zijn dan louter verstoring.
Moderne ransomware-varianten voor ICS/OT richten zich niet alleen op encryptie, maar ook op het stelen van productie-recepturen, configuratiebestanden of historische referentiedata. Hiermee komt vertrouwelijkheid expliciet in beeld: verlies of manipulatie van deze referentiedata kan tot verkeerde instellingen, kwaliteitsrisico’s en stilstand leiden, zelfs na herstel van systemen.
Deze aanvallen laten dan ook zien dat OT-security al lang geen mono-focus op beschikbaarheid meer is. De praktijk wijst echter uit dat de volledige breedte hiervan nog onvoldoende wordt begrepen, zeker als we kijken naar herstelbaarheid. In IT-omgevingen zijn back-upstrategieën, versioning, snapshot-retentie, immutable storage en failover-tested disaster recovery inmiddels standaard. In OT daarentegen wordt vaak nog impliciet aangenomen dat systemen vooral “niet uit mogen vallen”, waardoor te weinig aandacht uitgaat naar het scenario dat ze wel uitvallen of gecompromitteerd raken.