OT loopt achter: de vergeten schakel in cybersecurity

Opinie door Martin Zuurbier, Head of Equans Digital NL

Eén OT-hack, een aandelenkoers die met 55% keldert en 250.000 banen op losse schroeven. Dat gebeurde onlangs bij Jaguar Land Rover, waar een cyberaanval de productie lamlegde en miljoenen kostte. Het is een harde waarschuwing: digitalisering zonder cybersecurity is als een huis zonder deuren, iedereen wandelt zo binnen.

Wat veel mensen vergeten, is dat de kwetsbaarste systemen vaak niet in de IT, maar in de OT (operational technology) zitten: de installaties die fabrieken, gebouwen en energievoorzieningen draaiende houden. En dat is precies waar ik mij zorgen over maak. Sommige installaties draaien al veertig jaar. Daar is nooit rekening gehouden met hackers. Toch zijn het mission-critical systemen: valt er één uit, dan ligt de productie stil of valt de energievoorziening weg.

Van onschuldig eiland naar open doelwit

Toen ik ruim dertig jaar geleden in deze sector begon, waren OT-systemen redelijk veilig door hun isolement. Ze draaiden decennialang mee, vaak zonder enige verbinding met het internet of externe netwerken. Kun jij je dat nog voorstellen?

Mede door de energietransitie moeten installaties steeds vaker data ontsluiten en communiceren met andere systemen. Die verbinding maakt ze slimmer, maar ook kwetsbaarder. Een verouderde besturingskast of gebouwinstallatie die nooit is ontworpen met cybersecurity in gedachten, kan ineens het toegangspunt worden voor een cyberaanval.

Het recente voorbeeld van de hack bij Jaguar Land Rover laat zien hoe groot de gevolgen kunnen zijn: productiebanden die stilvallen, miljoenenverliezen en langdurige reputatieschade. Het is een dure waarschuwing dat OT niet langer genegeerd kan worden in cybersecuritystrategieën.

Waarom OT-cybersecurity achterblijft

Wat ik zie bij veel organisaties, is dat de focus vooral ligt op IT-beveiliging. ERP-systemen, e-mail en bedrijfsnetwerken zijn vaak goed afgedekt. Maar de installaties in fabrieken en gebouwen? Die “behoren” tot technische dienst, facilitair of productie-afdelingen met beperkte security-capaciteit en -kennis. Dáár ontstaat de kwetsbaarheid.

Op dat snijvlak tussen IT en OT ontstaat echte waarde. Door installaties slim te verbinden en data veilig te ontsluiten, wordt inzicht omgezet in resultaat. De kunst is om deze werelden effectief te combineren. Lees meer over het thema digitalisering.

Continuïteit boven alles

Een datalek in een CRM-systeem is vervelend. Maar een hack in een productielijn of ventilatiesysteem in een ziekenhuis kan direct mensenlevens of miljoenenomzetten raken. OT-systemen zijn mission-critical: uitval is geen optie.

Daarom pleit ik voor “cybersecure by design”. Elke modernisering of verduurzamingsslag moet cybersecurity vanaf dag één meenemen. Dat begint bij inventarisatie: welke systemen draaien er, hoe oud zijn ze en welke kwetsbaarheden hebben ze? Vervolgens moet je segmenteren (kritieke installaties afschermen), monitoren (afwijkingen realtime zien) en - misschien wel het belangrijkste - IT en OT integraal laten samenwerken.

Digitalisering vraagt vertrouwen

De energietransitie is een digitale transitie. Zonder digitalisering is er geen grip op energieverbruik, geen flexibiliteit en geen voorspelbaarheid. Maar digitalisering werkt alleen als de basis veilig is. Je kunt geen AI inzetten of datagedreven sturen als je niet zeker weet dat je data integer is en je systemen beschikbaar blijven. OT-security is daarmee geen luxe, maar een randvoorwaarde voor verduurzaming.

Neem OT net zo serieus als IT

Bedrijven die OT-security negeren, lopen enorme risico’s. Van dure productiestops tot onherstelbare reputatieschade. Ik ben ervan overtuigd dat de energietransitie alleen kan slagen als we onze OT-systemen even serieus nemen als IT.

Mijn oproep aan bestuurders en asset managers is dan ook: neem OT vanaf nu mee in je cybersecuritystrategie. Praat erover mee tijdens ons cybersecurity event ‘DigitalConnect: Cybersecurity x IT/OT’ op 30 oktober.