Vijf cruciale stappen voor ot-beveiliging

In dit artikel:

Dean Parsons, hoofdtrainer bij het Sans Institute en ics/ot-cybersecurityadviseur, waarschuwt dat industriële controlesystemen de ruggengraat vormen van vitale infrastructuur en dat hun beveiliging vaak door it-teams wordt uitgevoerd die onvoldoende ot-kennis hebben. “Ics beschermen levens,” benadrukt hij — een verschil met it waar de belangrijkste schade meestal economische of privacygerelateerd is; in ot kunnen fouten of aanvallen letterlijk fysieke schade en slachtoffers veroorzaken.

Parsons, die van it naar ot overschakelde en ontdekte dat zo’n zeventig procent van zijn eerdere kennis niet toepasbaar was, werkt wereldwijd met ziekenhuizen, olieplatforms, waterzuiveringsinstallaties en elektriciteitscentrales. Op basis van die praktijkervaring ontwikkelde hij vijf controlemechanismen die volgens hem onmisbaar zijn in een ics/ot-cyberstrategie:

- Incidentrespons op maat: ics draaien vaak op plc’s, rtu’s en andere apparaten zonder conventionele besturingssystemen. Daarom zijn specifieke herstelplannen en regelmatige, op OT-gerichte oefeningen noodzakelijk.
- Segmentatie: bijna de helft van ics-incidenten komt via it-netwerken binnen. Een strikte scheiding tussen it, internet en ics-netwerken vermindert besmettingsroutes.
- Continue netwerkbewaking: protocolbewuste monitoringtools geven zicht op assets, kwetsbaarheden en afwijkend gedrag in het OT-netwerk en ondersteunen bij technische troubleshooting. Parsons zegt dat dit, als je maar één maatregel kiest, de meest waardevolle is.
- Beveiligde externe toegang: leveranciers en integrators werken vaak op afstand in. Alle remote-accesspunten moeten worden geïdentificeerd, beperkt tot geautoriseerde bestemmingen en waar mogelijk met multi-factor-authenticatie beschermd.
- Gerichte kwetsbaarheidsaanpak: standaard 30-dagenpatchcycli uit it zijn in OT vaak niet haalbaar. Je moet per component de kwetsbaarheden kennen en passende compensaties en mitigaties toepassen.

Parsons wijst ook op geopolitieke risico’s: bij OT zijn aanvallen vaker gericht op spionage of het toebrengen van fysieke schade, soms gekoppeld aan statelijke actoren. Overigens is hij optimistisch: omdat OT-omgevingen minder gebruikers en minder variatie kennen, zijn ze vaak gemakkelijker te verdedigen — mits organisaties investeren in OT-specifieke kennis via job shadowing of hands-on trainingen.

Over nieuwe thema’s zegt hij dat ai nuttig kan zijn voor detectie en voorspellend onderhoud, maar geen prioriteit is zolang de basiscontroles niet op orde zijn; ai mag geen autonome blokkeringen uitvoeren. Hij juicht strengere regelgeving zoals NIS2 toe als stimulans voor betere bescherming, maar waarschuwt dat compliance geen garantie voor veiligheid biedt.

Praktische kennisdeling gebeurt op evenementen zoals de ICS Summit en binnenkort Cybersec Netherlands (10–11 september, Jaarbeurs Utrecht), waar OT dit jaar extra aandacht krijgt. Buiten zijn werk maakt Parsons synthwave-cyberpunkmuziek onder de naam Arcade Knights, waarbij hij thema’s uit de cybersecuritywereld artistiek verwerkt.

Zijn kernboodschap aan bestuurders: investeer in mensen, training en de vijf basiscontroles — daarmee leg je de fundamenten voor veilige kritieke systemen.