Zonder inzicht blijft OT-security vooral een gevoel”, zegt Erik de Jong, Chief Research Officer bij Tesorion. “Dat is niet genoeg. Bestuurders en management moeten goed kunnen zien waar ze staan, waar de grootste risico’s zitten en welk effect maatregelen daadwerkelijk hebben.”

Van silo’s naar één risicobeeld

In industriële omgevingen lopen IT, OT en fysieke beveiliging al jaren langs elkaar heen. Dat leidt tot versnipperde investeringen en onduidelijkheid over prioriteiten. Tesorion kiest bewust voor een integrale benadering, waarin cyber- en fysieke risico’s samen worden beoordeeld binnen één risicokader.

“Wetgeving zoals NIS2 en de Wet Weerbaarheid Kritieke Entiteiten dwingt organisaties om die samenhang heel expliciet te maken”, aldus De Jong. “Maar belangrijker nog: alleen door IT-, OT- en fysieke risico’s naast elkaar te leggen, kun je ze goed tegen elkaar afwegen.”

Inzicht als vertrekpunt

De aanpak van Tesorion begint daarom niet bij tooling, maar bij inzicht. Door risicoanalyses, threat modeling en maturity-assessments ontstaat een duidelijk beeld van de OT-weerbaarheid. Daarbij wordt gekeken naar kans, impact en afhankelijkheden binnen processen en installaties.

“Wij vertalen technische kwetsbaarheden naar bestuurlijke risico’s”, zegt De Jong. “Wat betekent het als een installatie stilvalt? En welke dreiging maakt dat scenario realistisch?” Door die vragen concreet te beantwoorden, wordt OT-security bespreekbaar op management- en bestuursniveau.

Externe toegang onder controle

Een terugkerend aandachtspunt is externe toegang tot OT-omgevingen, bijvoorbeeld door onderhoudspartijen. Onbeheerde laptops en tijdelijke accounts vormen een structureel risico voor beschikbaarheid en veiligheid. Tesorion beheerst dit risico door vast te leggen wie toegang heeft, tot welk deel van de installatie, en onder welke voorwaarden.

“Het gaat erom dat je kunt aantonen dat toegang gecontroleerd en begrensd is”, legt De Jong uit. “Niet alleen technisch, maar ook procedureel. Dat maakt het risico beheersbaar én toetsbaar.”

Denken als een aanvaller

Inzicht betekent ook kijken vanuit het perspectief van een aanvaller. Daarvoor heeft Tesorion samen met Nassau420 de taskforce Hybrid Shield opgericht. Binnen deze taskforce worden cyberanalyses gecombineerd met fysieke dreigingsscenario’s en openbronnenonderzoek.

Zo wordt ook zichtbaar hoeveel informatie publiek beschikbaar is die zou kunnen bijdragen aan (fysieke) sabotage of verstoring. “Organisaties zijn vaak verrast door wat er allemaal te achterhalen is”, zegt De Jong. “Door dat inzichtelijk te maken, ontstaat een objectieve basis om maatregelen te nemen.”

Voorbereid zijn op incidenten

Tot slot speelt incident response een belangrijke rol in het verbeteren van de weerbaarheid van IT/OT-security. Detectie, responstijd en herstelvermogen zijn concrete indicatoren voor weerbaarheid. “Je kunt niet alles voorkomen”, stelt De Jong. “Maar je hebt wel invloed op hoe snel je reageert en hoe goed jouw organisatie een incident doorstaat.”

Door de effecten van maatregelen op het gebied van preventie, detectie en respons zichtbaar te maken, helpt Tesorion organisaties om security integraal te sturen op feiten in plaats van aannames. “Pas dan”, besluit De Jong, “wordt OT-security een volwassen onderdeel van risicomanagement.”