Veilige integratie IT en OT is essentieel

“Steeds meer industriële bedrijven genereren op productielocaties informatie die waardevol is voor zakelijke beslissingen, zoals het inplannen van predictive maintenance”, zegt Jasper Wubben, Business Development Manager Operational Technology (OT) bij Fortinet. “We zien dus bij onze klanten de trend dat informatie uit de OT-omgeving wordt gebruikt voor IT-doeleinden.”

Een obstakel hierbij is echter dat de OT-omgeving van oudsher niet altijd even goed beveiligd is als moderne IT. “We hebben in praktijk vrijwel altijd te maken met legacy-systemen die oorspronkelijk nooit ontworpen zijn met cybersecurity in gedachten. Dit creëert een enorme uitdaging, maar tegelijkertijd is het ook een kans in de markt. Dat is waar wij samen met Exclusive Networks bedrijven in willen helpen.”

Levenscycli

Paul de Jong, Sales Manager bij Exclusive Networks, vult aan: “Tussen OT en IT bestaat een groot verschil in levenscycli. Binnen IT praten we vaak over een cyclus van vier tot vijf jaar voordat systemen worden vervangen. Bij OT is die levenscyclus veel langer. Daar draaien oplossingen soms al vijftien jaar of langer, en niemand durft eraan te komen zolang het functioneert. Maar tegelijkertijd sturen die systemen wel kritieke productielijnen aan.”

Hij vervolgt: “Maar de integratie tussen IT en OT blijft onherroepelijk doorgaan, nu data steeds vaker wordt uitgewisseld tussen beide omgevingen. En wanneer die koppeling wordt gelegd, vormen de twee systemen een nieuw systeem dat goed beveiligd moet worden.”

Wet- en regelgeving

De afgelopen twintig jaar is er door organisaties veel geïnvesteerd in IT-beveiliging, beschikbaarheid en capaciteit. OT was daarentegen altijd een gescheiden omgeving, met vaak aparte afdelingen binnen organisaties die nauwelijks met elkaar communiceerden. Daardoor functioneren IT en OT in praktijk nog steeds als twee losse eilanden.

“Nu zien we echter dat wet- en regelgeving bedrijven dwingt om ook naar de OT-omgeving te kijken. Organisaties realiseren zich dat ze bijvoorbeeld nog directe VPN-verbindingen naar leveranciers of productielijnen hebben, wat een potentieel beveiligingsrisico vormt. Daarom krijgen we steeds meer vragen over hoe OT-omgevingen beter beveiligd kunnen worden, zonder direct alles ingrijpend te veranderen. Dit is een uitdaging, omdat veel legacy-applicaties en -systemen niet zomaar vervangen kunnen worden.”

Partners

Dit alles betekent dat IT-partners, dus de bedrijven die verantwoordelijk zijn voor de IT-infrastructuur in kantooromgevingen, steeds vaker worden geconfronteerd met vragen vanuit productiebedrijven. “Die bedrijven willen hun IT-omgeving beter beveiligen en vragen wat IT-partners daarin kunnen betekenen. Dat is voor die IT-partners weer een compleet andere wereld.”

Tegelijkertijd willen OT-bedrijven zich richten op die eigen OT-omgeving en niet op IT. “Zo ontstaan er twee werelden die steeds dichter bij elkaar komen, maar waarin iedereen nog zijn plek moet vinden en een manier moet bedenken om die integratie goed vorm te geven. Vanuit zowel Fortinet als Exclusive willen wij hier een rol in spelen en ondersteuning bieden.”

Wetgeving

Maar waarom is dit onderwerp, dat al jaren speelt, nu zo actueel? Wubben: “Een van de belangrijkste redenen hiervoor is wetgeving. Bijvoorbeeld de NIS2-richtlijn. De Europese Unie heeft de risico’s die wij zojuist bespraken – de toenemende connectiviteit binnen kritieke infrastructuur – als een groot aandachtspunt geïdentificeerd.”

“Dit geldt niet alleen voor fabrieken in de voedings- of agri sector, maar bijvoorbeeld ook voor waterschappen die steeds meer verbonden raken met IT-systemen. NIS2 heeft een bredere scope en strengere eisen dan de eerste versie. Meer organisaties vallen nu onder deze regelgeving, en dat zorgt ervoor dat dit onderwerp opeens urgent wordt.”

Aansprakelijk

Een belangrijk verschil met vroeger is dat bedrijven nu ook persoonlijk verantwoordelijk worden gesteld als ze hun beveiliging niet op orde hebben. “Dat verklaart waarom er nu zoveel beweging in de markt is. Vijf jaar geleden, toen ik ook met OT bezig was, hoorde ik vaak ‘Als het werkt, dan is het goed genoeg.’ Maar nu komt de druk echt vanuit het management, omdat zij persoonlijk aansprakelijk kunnen worden gesteld als de beveiliging niet voldoet.”

NIS2 is niet de enige regelgeving die een rol speelt. Ook de Cyber Resilience Act (CRA) legt extra verplichtingen op aan fabrikanten. “Een bedrijf moet niet alleen een functionerend systeem leveren, maar ook kunnen aantonen dat er cyber security maatregelen in de elektronische componenten zijn ingebouwd."

Kansen

Wubben: “Onze rol als partner begint bij bewustwording. IT-bedrijven informeren over de mogelijkheden en de stappen die genomen kunnen worden, maar ook eventuele terughoudendheid wegnemen. Want veel IT-bedrijven willen er liever hun vingers niet aan branden. Er zit een verschil tussen het beveiligen van een productieomgeving en direct een diepe duik nemen in die omgeving met specifieke oplossingen.”

De Jong: “Je kunt er een beschermende laag omheen leggen en integreren met de IT-omgeving. Ik denk dat het juist onze rol is om IT-partners hierover te informeren, samen met Fortinet, om ze inzicht te geven in de standaarden en mogelijkheden die er zijn. We willen laten zien dat hier kansen liggen.”

Wil jij op een laagdrempelige manier instappen in de kansen die OT Security met zich mee brengt? Fortinet en Exclusive Networks organiseren samen regelmatig OT-ready trainingen. De eerste staat gepland op 5 maart, schrijf je in en ontdek de efficiëntie met alle mogelijkheden die Fortinet biedt.

Op 27 mei organiseren wij vanuit Exclusive Networks een groot OT event, houd onze nieuwsbrief in de gaten en blijf op de hoogte. Mis deze kans niet om mee in te stappen in de OT-Security markt.