Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Dicht kloof tussen ot en it voor veilige organisatie

Dit artikel delen:

Operationele processen worden in rap tempo geautomatiseerd en gedigitaliseerd. Allerlei data over deze processen worden verzameld en vormen bij veel organisaties de belangrijkste input om de productie te optimaliseren. Door data te optimaliseren, zijn organisaties in staat hun prestaties te optimaliseren, trends te herkennen en updates en verbeteringen door te voeren. Operationele technologie (ot) voert dan ook steeds meer taken uit, van het besturen van robots op een productievloer tot het bewaken van infrastructuur.

Echter brengt dit ook de nodige cyberrisico’s met zich mee. Industriële systemen die zijn verbonden met het internet en niet goed beveiligd zijn, kunnen gevaarlijke situaties veroorzaken en een enorme maatschappelijke impact hebben. Veel ot ondersteunt immers onze vitale infrastructuur. Denk hierbij aan drinkwatervoorzieningen, elektriciteitsnetten, olie en gasvoorzieningen, de infrastructuur van onze communicatie en het openbaar vervoer. Een strategische cyberaanval, door bijvoorbeeld de stroomvoorziening te hacken en losgeld te eisen, kan dan ook tot grote maatschappelijke ontwrichting zorgen. Cybercriminelen weten dit als geen ander en zijn dan ook actief op zoek naar zwakke plekken om ot aan te vallen.


Domein

"Om te voorkomen dat cybercriminelen een succesvolle aanval uitvoeren, zullen organisaties extra beveiligingsmaatregelen moeten nemen naast de traditionele beveiliging van een it-omgeving"

Om de security van operationele systemen te waarborgen, is het belangrijk dat organisaties de kloof tussen it en ot dichten. Beiden domeinen hebben ten opzichte van elkaar tegengestelde belangen. Waar de it zich richt op het waarborgen van de vertrouwelijkheid van informatie, richt de ot zich op de beschikbaarheid en integriteit van systemen. Bovendien is binnen het ot-domein continuïteit van de processen van groot belang, deze kunnen meestal niet zomaar gestopt of onderbroken worden zonder grote gevolgen.

Om te voorkomen dat cybercriminelen een succesvolle aanval uitvoeren, zullen organisaties extra beveiligingsmaatregelen moeten nemen naast de traditionele beveiliging van een it-omgeving. Zo doen organisaties er bijvoorbeeld verstandig aan om te kiezen voor één monitoroplossing, die zowel de it- als ot-omgeving kan analyseren. Hoewel organisaties vaak de productie niet willen stilleggen om updates uit te voeren, is het verstandig om dit wel te doen. De kans op kwetsbaarheden is immers groot en cybercriminelen gaan proactief op zoek naar kwetsbaarheden. Onderhoud daarom de software van je apparaten regelmatig en voer alle updates uit.

Naast de technologische kloof is het ook zaak om binnen de werkcultuur de kloof te verkleinen. Start een gezamenlijk overleg tussen het it- en ot-team. Dit geeft richting aan een integrale aanpak van cybersecurity. Securitytrainingen zijn belangrijk om cyberaanvallen te voorkomen. Dankzij een cyberbewustzijntraining weet iedereen binnen de organisatie dat ot-security onderdeel is van de primaire bedrijfsprocessen.

In control

Betrek ook het management bij alle processen door regelmatig operationele audits uit te voeren. Een operationele audit toont aan in hoeverre de organisatie 'in control' is. Hierbij wordt het functioneren van het operationele systeem van de organisatie doorgelicht. De audit kan zich richten op de verschillende onderdelen van de management control cyclus, en benadrukt de verantwoordelijkheid van het management voor alle stappen binnen de cyclus. Op deze manier kan het management bepalen wat de acceptabele risico’s en bijbehorende investeringsbehoeften zijn, aangezien zij verantwoordelijk zijn voor de productieprocessen. Het management doet er daarnaast verstandig aan om it- en ot medewerkers die gelijkwaardig werk doen ook gelijkwaardig te waarderen.

Kortom, cybersecurity wordt door veel organisaties nog steeds vanuit de it-kant bekeken, terwijl ze de operationele kant vergeten. Hierdoor lopen veel vitale infrastructuren een risico. Organisaties moeten zich realiseren dat cybersecurity zich moet richten op de gehele organisatie en het verkleinen van de kloof tussen it en ot. Tenslotte kennen cybercriminelen geen zwartwitgrens tussen de twee domeinen. 

(Auteur Matthias Maier is EMEA director of productmMarketing bij Splunk.)

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Wat betreft de afweging van acceptabele risico’s misschien ‘omdenken’ door eerst de impact van verstoring te bepalen en dan naar de oorzaken om vervolgens maatregelen te nemen. Bewustzijn aangaande de afhankelijkheid maakt het gesprek makkelijker want verhoudingsgewijs heb je dus meer risico factoren aan de IT kant dan de OT kant door zoiets als onvoorspelbare gebruikers.

Oja, de eerdere ‘air gap’ wordt steeds vaker overbrugt vanwege remote monitoring wat zorgt voor een toenemend risico maar echt zorgelijke ontwikkeling hierin is de ‘consumerization of IT’ want goedkoop gaat nog altijd boven digitale weerbaarheid. Neem de KLM, door een personeelstekort moeten koffers nagestuurd worden terwijl 90% van dit systeem geautomatiseerd is. Knelpunt in de keten is namelijk niet altijd ICT.

En toen ging het licht….

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-07-01T15:45:00.000Z Matthias Maier
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.