OT-security staat steeds vaker op de agenda van bedrijven en overheden. En terecht, want door de oprukkende digitalisering in de sector neemt ook het aanvalsoppervlak toe met mogelijk ingrijpende risico’s voor bedrijven en de maatschappij. Ook vanuit wettelijk perspectief is er door de nieuwe Cyberbeveiligingswet en NIS2-regelgeving druk om meer aandacht te schenken aan OT-security. Een positieve ontwikkeling, maar om echt effectief te zijn met maatregelen voor de OT-omgeving, is een bredere blik nodig op security. Anders is het al snel verspilde moeite.
OT-security kreeg lange tijd relatief weinig aandacht. In fabrieken en andere industriële omgevingen zoals faciliteiten rondom netbeheer, water- en energievoorziening en nucleaire installaties, waren mondjesmaat digitale toepassingen te vinden. Dit is in het afgelopen decennium van ‘smart industry’ ingrijpend veranderd. Om succesvol aan de slag te gaan met OT-security is echter wel een specifieke benadering vereist. De dynamiek binnen OT-security is namelijk aanmerkelijk anders dan bij IT-security. Neem alleen al de levensduur van apparatuur: operationele technologie moet vaak tientallen jaren meegaan. Met de huidige ontwikkelingen is de security van deze apparaten al snel verouderd.
Een ander groot verschil is dat bij OT alles draait om beschikbaarheid. Systemen moeten 24/7 operationeel zijn. Zo moet een besturingssysteem van een pomp of sensor 30 jaar zonder downtime kunnen functioneren. Security updates kunnen daarbij simpelweg niet worden uitgevoerd. Niet alleen omdat downtime geen optie is, maar ook omdat er altijd een kans is dat er tijdens de update iets misgaat waardoor het systeem ernstig verstoord raakt. Nu zijn updates in OT-omgevingen ook niet de heilige graal. Zoals we ook de tijdens Pwn2Own hackcompetitie voor OT-systemen hebben gezien, is het zelfs bij state-of-the-art apparatuur relatief eenvoudig nieuwe kwetsbaarheden te vinden. Legacy systemen zijn destijds niet ontwikkeld met de aanvaller in gedachten, maar nieuwe OT-systemen blijkbaar ook niet.
In IT-omgevingen ligt de focus juist op het bewaken van data en de integriteit van de gegevens. Updates zijn een vanzelfsprekendheid en worden doorgaans ‘s nachts geïnstalleerd zodat niemand er last van heeft. Vaak zijn er zelfs back-up systemen die in het geval van downtime functies kunnen overnemen. Hoewel je binnen de industrie wel steeds vaker digital twins ziet waarbij met een digitale variant van een machine productiesituaties worden nagebootst, is er niet veel ruimte voor experimenten of security-testen.
Als je verder kijkt naar de strategie die organisaties hanteren voor OT-security, is dit doorgaans dezelfde. Er wordt een slotgracht en een stadsmuur om het OT-netwerk heen gebouwd waar niemand in of uit kan. Tegelijkertijd wil men echter wel remote toegang voor bijvoorbeeld monitoring van de productie en een koppeling voor het onderhoud. Dit laatste wordt bovendien vaak uitgevoerd door gespecialiseerde derde partijen waarmee ook extra risico’s ontstaan, omdat deze organisaties op zichzelf al een interessant doelwit zijn. Door verschillende van dit soort ingangen te creëren wordt het lastiger deze allemaal adequaat te beveiligen waarmee het risico dat aanvallers kunnen binnendringen, toeneemt.
Nu hangt het OT-netwerk vaak niet publiekelijk aan het internet, maar is het verbonden met het IT-domein van het bedrijf. Daar zit namelijk ook de direct de crux van effectieve OT-security en wordt noodzaak tot adequate, geïntegreerde beveiliging nog evidenter. Door heel nauwgezet detectie in te zetten binnen het IT-domein kun je voorkomen dat een aanvaller überhaupt binnenkomt bij het OT-netwerk. En vice versa. Toen enkele jaren geleden Colonial Pipeline werd stilgelegd door een ransomware-aanval werd pijnlijk duidelijk hoe IT en OT met elkaar vervlochten zijn. Omdat het facturatiesysteem werd gehackt kon het bedrijf niet leveren en werd ook de oliepijplijn stilgelegd. Als je OT wil ontwrichten is het vaak ook al voldoende om een deel van het IT-systeem aan te vallen.
Naast detectie binnen het IT-netwerk moeten alle toegangspoorten tot het OT-netwerk in kaart worden gebracht zodat daar extra monitoring op ingericht kan worden. Dit alles vereist een nauwere samenwerking tussen de twee disciplines. In plaats van security aan te pakken vanuit silo’s is er dus een geïntegreerde strategie nodig waarbij OT en IT samen optrekken.
Dit klinkt wellicht eenvoudig, maar uit recent onderzoek van Cisco blijkt dat bij 41% van de bedrijven in EMEA OT- en IT-teams nu nog onafhankelijk van elkaar opereren. De mensen die werkzaam zijn in deze teams hebben doorgaans ook een hele andere achtergrond. Zo zijn OT-teams doorgaans ontstaan vanuit een technische dienst met specifieke, meer werktuigbouwkundige skills. Wel geeft ook bijna 40 procent van de organisaties aan dat betere samenwerking tussen OT en IT kan leiden tot verbeterde security. Het is dan ook onvermijdelijk dat er meer integratie gaat plaatsvinden en dat OT- en IT-security als één geheel bezien zullen worden. Alleen op deze manier kunnen overheden en bedrijven effectief inspelen op de toenemende dreigingen die vitale processen kunnen ontwrichten.