De chemiesector heeft niet de naam spitstechnologie te omarmen op het vlak van IT. Toch probeert de internationale reus Ineos zo goed mogelijk bij te blijven, onder andere omdat het moet.
Ineos is een Britse multinational actief in de chemiesector in 32 landen. In België is het bedrijf bij het grote publiek gekend als bouwer van het grote Ineos One-project in de haven van Antwerpen, al heeft het nog verschillende vestigingen in Vlaanderen, Brussel en Wallonië. Ook in andere Europese landen, de VS, Zuid-Amerika en Azië heeft Ineos fabrieken en kantoren.
We spraken af met Claudio Bolla op de Security Day van Fortinet. Als CISO is Claudio Bolla verantwoordelijk voor de uitgebreide IT-omgeving die al deze sites overkoepeld. In dit gesprek licht hij de grootste uitdagingen toe, van cybersecurity tot AI.
Hoe ziet de IT-omgeving waarvoor je verantwoordelijk bent eruit?
Claudio Bolla: “Die lijkt soms op een bord spaghetti. We zijn een wereldwijd actief chemiebedrijf, dus onze IT-structuur is enorm verweven met elkaar. Alles hangt samen: sites, systemen, IT- en OT-processen. Die complexiteit vraagt om een stevige coördinatie tussen overkoepelende standaarden en lokale autonomie.”
Wat zijn de belangrijkste prioriteiten op dit moment?
Bolla: “Mijn prioriteit is de naam van het bedrijf uit de krant houden wat betreft cybersecurity. Daaronder vallen drie concrete doelen: IT en OT op vlak van cybersecurity samenbrengen, voldoen aan NIS2, en het correct beheren van derde partijen.
“We werken met meer dan 28.000 leveranciers. Moet ik dan focussen op wie het meeste kost? Of op wie het diepst in onze systemen zit? En wat met grote spelers als Microsoft, BP of Shell? Je hoopt dat ze hun verantwoordelijkheid nemen in de supply chain, maar ook bij gecertificeerde of bekende leveranciers ben je als klant niet automatisch beschermd.”
Begrijpt de business de IT-uitdagingen voldoende?
Bolla: “Het bewustzijn groeit, maar nog onvoldoende. We hebben grote stappen gezet om cybersecurity op de agenda te krijgen. Het management begrijpt het belang steeds meer, ook door de toegenomen regelgevingen en de media-aandacht. Toch blijft het technisch een uitdaging. Bestuurders zijn soms al wat ouder en niet sterk technisch onderlegd. Ik zie gelukkig wel verbetering, zeker vergeleken met vijf, tien of twintig jaar geleden.“
Heeft je organisatie toegang tot voldoende mensen en middelen?
Bolla: “Neen, de chemische industrie is gewoonweg niet aantrekkelijk voor IT’ers. Wij lopen meestal niet voorop op vlak van technologie. Het is veel fijner om bijvoorbeeld voor een telecombedrijf als Proximus te werken.” Om dat op te vangen, probeert Ineos wereldwijd talent aan te trekken via een hybride model. “We centraliseren en standaardiseren waar mogelijk, maar laten ook lokale autonomie toe. Zo kunnen we putten uit een bredere poule van mensen.”
Zit de toekomst van de IT-omgeving van Ineos in de cloud, on-premises of in een combinatie daarvan?
Bolla: “Volledig naar de cloud migreren zal nooit gebeuren. Ineos blijft deels on-premises werken. We zijn een sterk gereguleerde sector met real-time systemen die fysieke impact hebben. Als die uitvallen, kunnen dingen snel misgaan. Dan telt elke milliseconde. Tegelijk is de cloud nodig voor globale toepassingen. We gebruiken cloud voor systemen die meerdere sites en landen overstijgen. Dus ja, het wordt een hybride toekomst.”
Welke impact heeft regelgeving zoals NIS2 op het beleid?
Bolla: “NIS2 verandert de spelregels compleet. Het maakt niet enkel de raad van bestuur persoonlijk verantwoordelijk, maar ook de lokale juridische entiteiten. Die decentralisatie van aansprakelijkheid verandert hoe IT met de rest van het bedrijf praat. Ik zie het positief: het verhoogt de betrokkenheid van lokale directies en dwingt ons om cybersecurityregels beter toe te passen.”
Hoe gaat Ineos om met de AI-hype?
Bolla: “We zijn voorzichtig nieuwsgierig. AI wordt binnen Ineos al getest voor predictive maintenance, chemische modellering en zelfs cybersecurity. Maar we zijn ook waakzaam. Hoe kunnen hackers deze tools gebruiken? Hoe gaan regulators reageren? In de VS wordt nu bijvoorbeeld geëist dat AI-output wordt bewaard. Maar wat betekent dat concreet? Wordt het aangevochten? En wat zijn de gevolgen voor Europa?”
Wat zijn de belangrijkste plannen en uitdagingen in de nabije toekomst?
Bolla: “Twee thema’s springen er voor ons uit: AI en wetgeving. De snelheid waarmee regelgeving vandaag evolueert is hallucinant. Vroeger was wetgeving traag en voorspelbaar. Nu moeten wij de wetgevers proberen bij te benen. Dat heeft gevolgen. We worden niet succesvoller door ISO 27001-certificatie, maar we zullen de certificaten misschien nodig hebben om te mogen blijven opereren. Dat is een trend die ik serieus neem.”