Easi werpt tijdens Behind Closed Doors een brede blik op het beveiligingslandschap. Niet alleen IT, maar ook OT krijgt veel aandacht en dat is niet toevallig. OT en IT vloeien steeds meer samen, maar zijn ook fundamenteel verschillend.
Easi brengt weer veel volk uit allerlei sectoren op de been voor zijn Behind Closed Doors-evenement. De deuren van het Van der Valkhotel in Gent, dat uitkijkt op het naburige voetbalstadion, zijn gelukkig nog niet gesloten wanneer we aankomen. Na het welkomstwoord zoekt iedereen die nog binnenkomt haastig naar een vrij plekje aan één van de zestien tafels.
Behind Closed Doors is een ‘marktplaats’ voor beveiliging. Aan iedere tafel geven de geselecteerde vendoren tijdens acht sessies van veertig minuten het beste van zichzelf. Zoals een avondje speeddaten gaan de aanwezigen van tafel tot tafel. Een diverse waaier aan onderwerpen passeert de revue: van pentests tot SOC’s en (uiteraard) AI. De moderator houdt de planning strak in de gaten en een luid alarmsignaal geeft aan dat het tijd is om naar de volgende tafel te gaan.
Zwakke schakel
De rondetafels beperken zich niet tot IT-beveiliging. Ook operationele technologie, kortweg OT, komt regelmatig aan bod. IT en OT werden lang als twee aparte werelden beschouwd, maar mede onder druk van Europese regelgeving zoals NIS2, komen ze hoe langer hoe meer samen. Toch wordt OT nog vaak als een ‘zwakke schakel’ in beveiliging beschouwd.
Of die bedenkelijke reputatie terecht is, vragen we aan Jeroen Colpaert, Business Unit Manager bij Easi en zijn collega Gerrit Neyrinck, Executive Security Engineer. Neyrinck legt meteen de vinger op de zere wonde. “IT heeft een voorsprong van twintig jaar op OT als we over beveiliging spreken. Als machines draaien en werken dan blijf je eraf, want productie stilleggen kost veel geld. De meeste OT-ingenieurs van de ‘oude garde’ hebben ook weinig tot geen kennis over security. OT bleef vroeger lokaal, maar met IoT is er meer convergentie met IT.”
“De scope is helemaal anders”, vult Colpaert verder aan. “Bij IT-security spreken we vooral over de integriteit van data. Beschikbaarheid, betrouwbaarheid en veiligheid zijn de drie kernwoorden van OT-beveiliging. OT en IT moeten elkaar leren begrijpen en kennis met elkaar delen. Nu weten ze nog te vaak niet van elkaar wat ze doen.”
IT heeft een voorsprong van twintig jaar op OT in beveiliging.
Gerrit Neyrinck, Executive Security Engineer Easi
Noodknop
De overlapping van IT en OT verloopt niet zonder slag of stoot, net omdat beide werelden zo verschillend zijn. Vaak wordt OT-beveiliging vanuit IT-principes benaderd, maar die aanpak werkt niet, stelt Neyrinck vast.
lees ook
IT-principes kan je niet forceren op OT-omgevingen
“Er bestaat geen ‘noodknop’ voor OT: dan vliegt je fabriek de lucht in bij wijze van spreken. Patchen zoals in IT de norm is, werkt eveneens niet omdat je niet kan testen in een OT-omgeving. Eens de upgrade gestart is, kan je niet meer herstarten want dan duurt het te lang om weer in productie te gaan. De risico’s zijn veel hoger in een OT-context, daarom is de aanpak voorzichtiger.”
“Vroeger zat productie in een air-gapped omgeving, maar vandaag is alles connected. Beveiligde remote access wordt ook voor productiemachines cruciaal. Hoe weten we of het veilig is als iemand vanop afstand op een knop duwt? Als alles draait is het goed, maar als een machine uitvalt, kunnen de gevolgen catastrofaal zijn. Je kan toestellen niet isoleren: dat werkt simpelweg niet in een OT-omgeving. De impact van OT-problemen is zeer groot: niet alleen financieel, maar mogelijk ook voor de veiligheid van mensen of het milieu”, waarschuwt Colpaert.
De aanwezigheid van verouderde technologie zorgt voor extra complexiteit in de beveiliging. Neyrinck: “OT-systemen kunnen tot dertig jaar mee gaan en moeten 24/7 blijven draaien. Bovendien zijn geen twee fabrieksomgevingen exact hetzelfde. Als een vendor van een specifieke machine failliet gaat, heb je het risico dat je nergens terecht kan voor problemen. In IT doe je om de pakweg vijf jaar een hardware refreshment, maar we kunnen productiebedrijven toch niet vragen om iedere vijf jaar nieuwe machines die miljoenen euro’s kosten te vervangen?”
Zichtbaarheid
OT-beveiliging verdient een eigen aanpak, zijn Colpaert en Neyrinck het over eens. Alles begint met zichtbaarheid krijgen in je omgeving. Colpaert: “Je moet niet alleen weten wat er in je fabriek staat, maar ook welke componenten er in de machines zitten. Vervolgens ga je kijken naar waar eventuele kwetsbaarheden in het netwerk zitten en welke policies kunnen botsen. Als je dat niet weet, kan je er ook geen beveiliging op toepassen. Het gaat om visibiliteit krijgen in alles wat je hebt en hoe je dat op een veilige manier kan laten draaien.”
“We zien de markt evolueren”, zegt Neyrinck. “Vendoren uit de IT-beveiligingswereld zien hun kans om een graantje mee te pikken en nemen OT erbij. Persoonlijk denk ik dat er wel nood is aan dedicated OT-oplossingen die de specifieke protocollen begrijpen.” “Ook fabrikanten van chips voor de machines spelen hier een rol. Vendoren willen helpen om tools te ontwikkelen. Maar het is geen kwestie van hoe van IT naar OT te gaan, maar hoe beide werelden samen te brengen”, vult Colpaert aan.
In IT-beveiliging ligt tegenwoordig veel focus op mensen opleiden om veilig met technologie om te gaan. Colpaert en Neyrinck zien hier voor OT ook meerwaarde in, maar plaatsen een kanttekening. “Mensen moeten begrijpen hoe ze omgaan met machines in de context van beveiliging, niet enkel vanuit operaties, zegt Colpaert.
Neyrinck pikt verder in: “Er is wel een andere aanpak nodig. Je productieteams werken niet vanachter een pc. Met verplichte videotrainingen bereik je hen niet. Flash cards bijvoorbeeld zijn effectiever om bewustzijn te creëren onder gebruikers. Fysieke beveiliging is nog het allerbelangrijkste in OT.”
De impact van OT-problemen is zeer groot: niet alleen financieel, maar ook voor mens en milieu.
Jeroen Colpaert, Business Unit Manager Easi
Kop uit het zand
Neyrinck ziet een positieve kentering in het bewustzijn over beveiliging. Het is van moeten, want NIS2 maakt geen uitzondering voor OT-omgevingen. “Vroeger wisten bedrijven dat OT-beveiliging bestond, maar deden ze er niets aan. Nu is de struisvogeltactiek niet meer mogelijk. Bedrijven gaan worden bestraft als ze er niet mee bezig zijn. Standaarden voor OT gaan evenveel belang krijgen als IT-standaarden”.
“Ik vind het een goede zaak dat NIS2 ook OT in rekening neemt en niet enkel IT”, klinkt Colpaert instemmend. “De frameworks gaan over dezelfde theorieën, enkel de manier waarop je het aanpakt is verschillend. Bedrijven zoeken de juiste mensen met de juiste vaardigheden. Die zijn in de OT-wereld wel eerder beperkt.”
Er is kortom nog veel werk aan de winkel, besluit ook Neyrinck. “NIS2 maakt strikt onderscheid tussen kmo’s en grote bedrijven. Daardoor weten kmo’s niet goed of het ook op hen impact zal hebben. Ook moeten we meer gaan denken aan back-ups en disaster recovery. Grote bedrijven kunnen sneller een team van dedicated mensen op hun OT zetten, maar dan nog werk je een achterstand van twintig jaar niet zomaar weg”.
Dit is een redactionele bijdrage in samenwerking met Easi. Kijk hier voor meer informatie over de beveiligingsoplossingen.