Op weg naar OT-security? Neem vooral IT-monitoring mee!

Moderne cybersecurity moet werken als een luchthaven. Een luchthaven die nooit op één controlepunt vertrouwt. Veiligheid ontstaat daar niet bij de hekken, en ook niet alleen bij de gate, maar in de keten ertussen. Aan de buitenkant, bij toegangswegen, het hekwerk en eerste toegangscontroles, want je wil vroeg zien wie eraan komt en via welke route. Binnenin, bij security lanes, gescheiden zones en airside, wil je begrijpen wat er daadwerkelijk gebeurt zodra iemand door de eerste lagen heen is, en of de kritieke operatie geraakt wordt. Een luchthaven die alleen de buitenkant zou beveiligen, merkt problemen pas (te) laat, omdat het echte gedrag van een aanvaller pas binnen zichtbaar wordt. Ook een luchthaven die alleen binnen zou monitoren, is te laat. Hoe moet op basis van deze principes security binnen Operational Technology (OT) omgevingen worden ingericht?

Security in OT-omgevingen draait om beschikbaarheid, veiligheid en controle over fysieke processen. Daarbij is het belangrijk onderscheid te maken tussen cyberaanvallen, bredere incidenten en algemene dreigingen. Niet iedere verstoring in OT is het gevolg van een cyberaanval: ook menselijke fouten, insiders, fysieke schade of zelfs dieren kunnen leiden tot uitval of verlies van zicht op een proces. Wanneer we echter specifiek kijken naar cyberaanvallen op OT-omgevingen, begint de route naar impact vaak niet in de OT zelf. Die loopt meestal via componenten die we kennen uit de reguliere IT: identities, remote access, enterprise endpoints, edge-apparatuur en remote patching. OT-monitoring is natuurlijk essentieel en blijft dat, maar werkt pas echt als het volgt op volwassen IT-monitoring en als je beide omgevingen in één detectie- en responsketen verbindt. Verder blijft goede preventie een voorwaarde voor goede monitoring. Daarom beginnen zowel preventie als detectie bij cyberaanvallen vaak in IT, terwijl OT-monitoring nodig blijft om de operationele impact, óók bij niet-cyberoorzaken, tijdig te herkennen.

Je kunt geen OT-cybersecurity bedrijven als je IT-cybersecurity niet op orde is. Als we kijken naar de vijf kritieke ICS Cyber Security Controls van SANS, een raamwerk voor cyberbeveiliging speciaal ontworpen voor industriële besturingssystemen (ICS) en operationele technologie (OT), wordt dat al duidelijk. Die vijf controls zijn een OT-specifiek Incident Response Plan, een Defensible Architecture, OT Netwerkmonitoring en een Vulnerability Management Programma. Deze elementen zouden de basis moeten vormen van iedere degelijke (OT) Cyber Security Posture en geen van deze controls is los van IT op te pakken.

Organisaties die OT-security behandelen als een afzonderlijk domein, met een extra tool, een apart SOC of een apart programma, investeren vaak wel in zicht op de operationele omgeving, maar niet in vroegtijdig zicht op de aanloop ernaartoe. Daarmee creëren ze als het ware een vliegveld dat pas aan de gate problemen kan detecteren. Vandaag de dag draait het beschermen van OT-omgevingen in eerste instantie om IT-detectie, zodat zo vroeg mogelijk zichtbaar wordt wat zich richting OT beweegt. Met OT-monitoring kan vervolgens de mogelijke impact op OT-processen worden bevestigd en begrensd.

Cyberaanvallen beginnen meestal in IT, dus daar begint de detectie

Het romantische beeld van een OT-aanval is iemand die infiltreert in een fabriek, een USB-stick met malware op zak heeft en vervolgens de malware direct op een HMI (Human Machine Interface) of een PLC (Programmable Logic Controller) plaatst. In de praktijk begint de meeste schade door cyberaanvallen met iets wat elk IT SOC herkent: misbruik van accounts, remote access, kwetsbare perimeter-appliances of een leverancierstoegang. Dat zijn IT-paden. En de eerste signalen, zoals afwijkende logins, nieuwe VPN-sessies, credential reuse en privilege-escalatie, zijn te vinden in IT-telemetrie. In de twaalf maanden vanaf maart 2025 kregen industriële bedrijven te maken met 2.073 ransomware-aanvallen, gemiddeld goed voor 29,6% van alle wereldwijde ransomware-activiteit in die periode. Dat neemt niet weg dat operationele verstoringen ook een niet-cyberoorzaak kunnen hebben. Juist daarom is het waardevol om naast aanvalsdetectie ook situationeel bewustzijn over de OT-omgeving op te bouwen.

OT-monitoring is cruciaal, maar rendeert pas echt als het op IT-monitoring aansluit

De wereldwijd opererende cybersecurityspecialist Dragos levert wereldwijd OT-cyberbeveiligingstechnologie voor industriële en kritieke infrastructuur. Voor het negende achtereenvolgende jaar heeft Dragos een jaarrapport uitgebracht, het 9th Annual Year in Review OT/ICS Cybersecurity Report. Dit jaarraport laat zien dat in 73% van hun incident response-cases de aanvalsketen begon met actieve exploitatie van een kwetsbaarheid of met het hergebruik van geldige inloggegevens voor VPN-verbindingen, jumphosts en andere remote-accesspunten. Met andere woorden: aanvallers komen vaak niet als eerste via een PLC of HMI binnen, maar via de toegangslaag ernaartoe. Precies daarom moet detectie daar al beginnen. Als je die keten pas ziet in OT ben je waarschijnlijk al te laat.

In het jaarraport schat Dragos dat minder dan 10% van OT-netwerken wereldwijd netwerkzichtbaarheid en monitoring op orde heeft. Wie zonder OT-telemetrie werkt, kan vaak niet eens achteraf vaststellen of een aanval aan de basis van een operationeel incident stond. In 30% van Dragos’ incident response-cases in 2025 begon de escalatie niet met een alert, maar met iemand die zei: ‘iets voelt vreemd’. Regelmatig werden data om dat te kunnen bevestigen of uit te sluiten nooit verzameld. OT-telemetrie is vluchtig: als je het niet vastlegt wanneer het gebeurt, is het weg.

Daarom is het buitengewoon nuttig om doorlopend PCAPs (Packet Captures) op te slaan voor forensisch onderzoek en threat hunting. Tegelijk is OT-monitoring alleen niet genoeg. Detectie faalt vaak op het kruispunt van IT en OT: 81% van de rapporten bevatte tekortkomingen in IT/OT-segmentatie, en 49% signaleerde zwaktes in secure remote access. OT-monitoring moet daarom aansluiten op volwassen IT-monitoring. Je wilt dezelfde aanvalsketen kunnen volgen van identity-signaal naar boundary-systeem, naar engineering workstation en uiteindelijk naar procesimpact.

Diezelfde OT-monitoring levert bovendien waarde wanneer er géén cyberaanval plaatsvindt. Als een kabel wordt losgetrokken, beschadigd raakt of door een dier wordt doorgeknaagd, kan het effect voor de operatie alsnog direct merkbaar zijn: verkeer valt weg, systemen worden onbereikbaar of procesdata stopt plotseling. Dat is misschien geen aanval, maar wel een incident dat vraagt om snelle duiding. Door IT- en OT-signalen samen te brengen, ontstaat situationele awareness: niet alleen kunnen organisaties sneller zien dát er iets gebeurt, maar ook beter bepalen of het gaat om een cyberaanval, een menselijke fout, fysieke schade of een andere operationele verstoring.

Dankzij AI worden aanvallers sneller, dus vroege IT-detectie wordt belangrijker

De impact van de meest recente generatie van generatieve AI-modellen als Claude Mythos zit niet alleen in wat het kan, maar vooral in wat het betekent voor het tempo van aanvallen. Als berichten kloppen dat het model op grote schaal kwetsbaarheden vindt in veelgebruikte open-source software, inclusief zero-days en exploitketens, dan verdwijnt een oude rem uit cybersecurity. Het vinden van serieuze kwetsbaarheden was lang moeilijk, traag en afhankelijk van specialistische expertise. Een model dat dit proces drastisch versnelt, verandert dus niet alleen vulnerability research, maar ook het aanvalsvenster voor defenders. Niet omdat OT-systemen ineens rechtstreeks door AI worden overgenomen, maar omdat de route ernaartoe sneller openligt via de IT-systemen waar vrijwel elke aanvalsketen begint. Daarmee schuift de horizon naar voren. De tijd tussen een fout in software en een bruikbaar aanvalspad wordt korter, terwijl organisaties diezelfde snelheid aan de verdedigende kant niet kunnen evenaren. Juist daarom wordt vroege IT-detectie belangrijker. Wie afwijkingen in accounts, sessies, endpoints en perimeter-systemen niet meteen ziet, verliest het enige wat nog schaars is: reactietijd. En zonder reactietijd resteert voor OT slechts het moment waarop de verstoring voelbaar is in de operatie.

“OT is anders; OT-security is specialistisch en kan niet op IT leunen”

Deze tegenwerping is begrijpelijk. Niet omdat OT fundamenteel andere beveiligingsdoelen kent dan IT, maar omdat in OT fysieke veiligheid, procescontinuïteit en voorspelbaar systeemgedrag zwaarder doorwerken in ontwerp- en beheerkeuzes. Change windows zijn schaars en patching is risicogedreven. Daardoor worden kwetsbaarheden niet altijd direct verholpen, maar geregeld afgevangen met compenserende beheersmaatregelen, zoals strengere netwerksegmentatie, aanvullende monitoring of sterk begrensde remote access via een beheerde jumphost met multi-factor authenticatie. Juist die beperkte speelruimte versterkt het belangrijkste punt van dit stuk: wie OT goed wil beschermen, moet aanvallen zo vroeg mogelijk in de IT-keten kunnen signaleren en onderbreken. En dat kan bijna alleen in IT, waar de keten begint en waar de meeste vroege signalen zitten. Dragos beschrijft hoe ransomware in 2025 vaak via valid credentials en remote access binnenkomt en zich vervolgens richt op apparatuur die de brug vormt tussen IT- en OT en virtualisatie target, wat leidt tot Denial of View en Denial of Control zonder dat een PLC wordt aangeraakt. Daar komt geen OT-protocoltruc aan te pas, hier zijn het de identity en infrastructuur die falen. OT-security is daarom als het ware een audit van je IT-volwassenheid, aangevuld met OT-context om direct te handelen wanneer er iets misgaat.

Een concreet OT-voorbeeld is de drinkwaterinstallatie in Oldsmar, Florida, waar onbevoegde remote toegang werd gebruikt om de dosering van natriumhydroxide in het proces te wijzigen. De wijziging werd tijdig opgemerkt en teruggedraaid, maar de casus laat precies zien dat de weg naar OT-impact vaak loopt via remote access, operator workstations en andere systemen op de grens van IT en OT. OT-security is daarom geen alternatief voor volwassen IT-detectie, maar er in hoge mate van afhankelijk.

Meet of je echt kunt reageren

OT-security is geen apart programma dat je erbij doet. Het is de harde test of je organisatie in staat is om een aanvalsketen te zien, te stoppen en gecontroleerd te herstellen, zonder dat productie, veiligheid of publieke dienstverlening de prijs betaalt. Dragos laat zien hoe vaak het misgaat als het gaat om zichtbaarheid, segmentatie en remote access, en hoe vaak detectie pas start wanneer mensen al operationele afwijkingen voelen. Tegelijk versnelt AI de keten en verkort het jouw reactietijd.

De consequentie is daarom duidelijk. Zonder volwassen IT-detectie is er geen OT-security, hooguit OT-ambitie. En als je OT-monitoring niet volwassen is, kun je de impact niet veilig begrenzen. Het is dus geen keuze tussen IT en OT. Het is een veiligheidsontwerp zoals een luchthaven dat kent: vroeg zicht op instroom en routes naar binnen, en diep zicht op wat er gebeurt in de kritieke operatie. Alleen die combinatie, met een streng bewaakte overgang tussen beide, maakt het verschil tussen een incident dat je beheerst en een incident dat jou beheerst.

https://arstechnica.com/information-technology/2021/02/breached-water-plant-employees-used-the-same-teamviewer-password-and-no-firewall

https://www.nccgroup.com/newsroom/operational-technology-faces-heightened-cyber-risk-with-the-industrials-sector-experiencing-thousands-of-attacks-per-year-warns-ncc-group

Logo IndustrieVandaag

Redactie

De redactie van IndustrieVandaag bestaat uit gespecialiseerde redacteuren met ervaring in de procesindustrie, productie-industrie en machinebouw met een focus op industriële automatisering. Artikelen worden samengesteld op basis van primaire bronnen zoals persinformatie, interviews met leveranciers en vakinhoudelijke documentatie.
Lees meer van: Redactie

Algemeen - Uitgelicht

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEVEN EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

MAANDAG: EVENTS OVERZICHT
VRIJDAG: NIEUWS OVERZICHT

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.