IT komt van Mars, OT van Venus
hoe versterken ze elkaar?
Informatietechnologie (it) en operationele technologie (ot) zijn totaal verschillende werelden. De een komt van Mars, de ander van Venus, zo lijkt het wel. Maar in een dreigend aanvalslandschap zijn ze gedoemd om met elkaar samen te werken. Hoe kan dat het beste? ‘Door elkaars sterktes te gebruiken, kun je al een slag slaan.’
Tekst: William Visterin Beeld: CYBERSEC NETHERLANDS
It kennen we allemaal, maar lang niet iedereen is vertrouwd met ot. Bij ot gaat het om industriële it, het is bijvoorbeeld sterk aanwezig in onze kritieke infrastructuur. De twee werelden groeien naar elkaar toe, al gebeurt dat niet zonder slag of stoot. Een recente wereldwijde studie van Omdia, bij vijfhonderd verantwoordelijken voor it- of ot-security in de manufacturing-industrie, toont aan dat de convergentie van it en ot aandacht vergt: tachtig procent zag het afgelopen jaar meer cyberincidenten, terwijl minder dan de helft (45 procent) zich voldoende voorbereid acht. Opvallend is dat driekwart van de aanvallen, volgens Omdia, bij it begint en vervolgens doorgaat naar ot, met vaak aanzienlijke impact op de beschikbaarheid en continuïteit van productieprocessen.
Op presentaties, zoals onlangs op Cybersec Netherlands, wijst Ronald Beiboer, die vrijwillig SOC lead is bij het Dutch Institute for Vulnerability Disclosure (DIVD) en ook solutions engineer bij Splunk/Cisco, regelmatig op de verschillen tussen it en ot. En vooral: hoe ze beter kunnen samenwerken.
Hoe verschillen it en ot in hun positionering
en rol binnen de organisatie?
It en ot situeren zich binnen organisaties meestal op verschillende niveaus en afdelingen. It richt zich vooral op kantoorautomatisering en informatiesystemen, terwijl ot verantwoordelijk is voor industriële processen en operationele aansturing. Dit vertaalt zich ook in uiteenlopende beveiligingsnormen en prioriteiten. Of meer operationeel beschouwd: it bevindt zich op het niveau van de enterprise of office zone. Bij ot spreken we over industriële processen, industrial DMZ, site operations en basic control. Andere werelden met ook andere normen en risico’s. ‘Informatietechnologie in een ot-omgeving is de grootste bedreigingsvector voor organisaties,’ zo zet Ronald Beiboer meteen al de puntjes op de i.
De verschillen uiten zich nog meer in de manier van werken en hoe ze tegen technologie aankijken. ‘Bij it-security spreek je over software, cloud en compliance. Het is gericht op de eindgebruiker in de organisatie en de veranderingscycli gaan snel’, aldus Beiboer. Bij ot gaat het om langdurige lifecycles met impact op de fysieke wereld. ‘Ot fungeert ook meer vanuit een geïsoleerde mindset. De focus ligt heel erg op de operationele risico’s. Elke verandering in de infrastructuur wordt als risicovol beschouwd. Kortom, er heerst een heel andere dynamiek dan bij it-security.’
Welke misvattingen belemmeren de samenwerking tussen it en ot?
Tussen it- en ot-teams bestaan hardnekkige aannames over elkaars werkwijze en verantwoordelijkheden, wat kan leiden tot het fout inschatten van risico’s. Vaak spelen een aantal misverstanden. ‘Dat een ot-omgeving helemaal air-gapped is en dus los van een netwerk staat, is bijvoorbeeld zelden het geval.’ Net zoals het een misverstand is dat it de hele cyberbeveiliging voor zijn rekening kan nemen. ‘Dat blijkt in de praktijk onhaalbaar. Je moet hiervoor kennis hebben van ot, de kernprocessen onder de knie hebben én in staat zijn om op een verantwoorde manier te reageren. Kortom, de twee teams, it en ot, hebben elkaar nodig.’
‘Informatietechnologie in een ot-omgeving is de grootste bedreigingsvector voor organisaties’
Welke factoren beïnvloeden de samenwerking tussen it- en ot?
De relatie tussen it- en ot-teams wordt in menige organisatie gekenmerkt door afstand en wederzijds onbegrip, beweert Ronald Beiboer. ‘Verschillende doelen en culturen zorgen ervoor dat samenwerking niet altijd vanzelfsprekend is. De klassieke wij tegenover zij-bias is in organisaties vaak niet ver weg’, signaleert hij. ‘Let wel, dat is best menselijk. Mensen hebben de neiging om hun eigen groep of leefwereld te favoriseren, terwijl ze de andere groep vaak van stereotypen voorzien. Of ze zelfs wantrouwen.’
Volgens Beiboer speelt nog een ander psychologisch effect: de attribution bias. De neiging om het gedrag van anderen toe te wijzen aan hun persoonlijkheid, terwijl ze hun eigen gedrag wijten aan de omstandigheden.’ Of hoe ot-teams de collega’s van it al snel als roekeloos zullen bestempelen, terwijl de it-teams de ot-collega’s op hun beurt als stroef of star kapittelen. Wat ook meespeelt, is dat de twee groepen letterlijk een andere taal en ook een ander jargon hanteren. ‘Hebben de ot-mensen het over Scada en PLC, dan hanteren de it’ers SIEM en EDR als termen. En meer dan eens zijn ze minder thuis in elkaars terminologie.’
Concrete stappen om de kloof tussen it en ot te verkleinen?
Zoiets vergt bewuste inspanningen op menselijk en organisatorisch vlak. ‘Zoals met elk it-project of -initiatief is leadership buy-in, of toch op z’n minst betrokkenheid vanuit het management, een sleutelelement’, zo weet Beiboer. Voorts is het de kwestie om elkaars werelden en termen te leren kennen. ‘Je kunt best op zoek gaan naar gelijkenissen tussen de twee domeinen. En vooral: toon de voordelen van samenwerking aan. Beide partijen hebben elkaar nu eenmaal nodig om de cyberveiligheid op peil te krijgen en te houden. Gelet op de hedendaagse uitdagingen is dat overigens een must.’ Bewustwording van gevaren en belang van samenwerking staat voorop, net als vertrouwen. ‘Een aantal oefeningen kunnen hierbij helpen. Zoals gezamenlijke red-teaming en tech sessies en het opzetten van gemengde teams. Vaak is het aangewezen om zoiets klein te beginnen en dat vervolgens uit te bouwen.’
Ronald Beiboer
‘Ot fungeert vanuit een geïsoleerde mindset. De focus ligt heel erg op de operationele risico’s’
Hoe kunnen it en ot elkaar zelfs versterken?
It en ot brengen elk hun eigen expertise en focus mee op het vlak van security. ‘Bij ot gaat het dan onder meer om risk awareness en de focus op uptime en continuïteit in de fysieke wereld. Terwijl de it’ers goed zijn in domeinen als patch management, detectie en monitoring en identity management. Ook innovatie en automatisatie zijn hen niet vreemd. Door elkaars sterktes te gebruiken, kun je in een organisatie al een slag slaan.’
De kwestie is om deze complementaire sterktes te combineren. Een goed voorbeeld ziet Beiboer in vulnerability management. ‘Daar kun je zogenaamde quick wins realiseren. Met één administratie, een overlap in kwetsbaarheden, gecombineerd risk management en eventueel de start van een gemeenschappelijke CMDB of configuration management database. Ook de mogelijke gezamenlijke planning voor patches is een meerwaarde.’
Toch is er volgens de security expert nog veel werk om de twee werelden dichter bij elkaar te brengen. ‘Al merk ik wel dat er op dit vlak in organisaties een en ander beweegt.’
