Vaak wordt er bij cybersecurity enkel gedacht aan de cyberrisico’s voor informatiesystemen, bedrijfs- en persoonsgegevens. Denk bijvoorbeeld aan phishing, onveilige internetverbindingen en onveilige websites. Dat deel gaat echter alleen over informatietechnologie (IT). Tegenhanger van IT is de OT, ofwel Operationele Technologie, ook daar is alertheid op cyberrisico’s van belang. OT gaat over de productieprocessen van een bedrijf of gebouw en richt zich dus vooral op de installaties, productielijnen en besturingssystemen binnen bedrijven.
Productielijnen die nog analoog zijn, zijn schaars. Bijna elke moderne productiestraat is met een computer te bedienen, soms zelfs op afstand. Wanneer deze computer of verbinding wordt gehackt kan dit grote gevolgen hebben voor de productie en processen binnen een organisatie. Hierdoor kunnen OT schadebedragen oplopen tot een veelvoud van IT schadebedragen.
Ter illustratie: bij een hack op IT gebied waarbij er persoonsgegevens worden gelekt, legt de autoriteit persoonsgegevens een boete op. De maximale boete voor een AVG overtreding bedraagt 20 miljoen euro of 4% van de wereldwijde omzet. De hoogste boete die ooit in de EU is afgegeven is 50 miljoen euro en werd afgegeven aan Google. Wanneer we kijken naar schadebedragen naar aanleiding van OT cybersecurity incidenten komen we forse bedragen tegen. Hydro Noorwegen leed circa 55 miljoen schade na een ransomware aanval. En ook Maerks (APM en TNT terminals) leed circa 300 miljoen schade door een dergelijke aanval. Bij het MKB zien we deze verhouding ook terug en is de schade bij OT cyber gerelateerde incidenten groter dan bij IT incidenten. Wanneer de continuïteit van een productieproces wordt aangetast, kost dat nu eenmaal veel geld.
Bovendien zijn er vaak meer risico’s op OT gebied. Dit omdat er verouderde protocollen zijn, meer dan de helft van de IIoT*-apparaten zijn kwetsbaar voor aanvallen en daarnaast verschuiven cyberaanvallen ook van IT naar OT. Helemaal nu het aantal ‘smart buildings’ en zelfs ‘smart cities’ (gebouw of omgeving waarin slimme, innovatieve technieken zijn geïntegreerd om de werk- en leefomgeving te verbeteren) toeneemt.
Een eenvoudig overzicht laat al snel zien dat OT-systemen veel meer risico lopen.
| IT (office) systems | OT production systems | |
| Antivirus | Veel gebruikt | Ingewikkeld tot onmogelijk |
| Levensduur | 3-5 jaar | 5-20 jaar |
| Bewustwording | Aanwezig | Niet aanwezig |
| Update beheer | Vaak, vaak automatisch | Zelden, bang voor storingen |
| Verander management | Regelmatig en gepland | Zeldzaam |
| Evaluatie van logfiles | Gebruikelijk | Ongebruikelijk |
| Tijdsafhankelijk | Vertraging wordt geaccepteerd | Kritisch |
| Beschikbaarheid | Storingen en fouten geaccepteerd | 24/7, uitval onacceptabel |
| Security tests | Wijdverbreid | Zeldzaam en problematisch |
| Testomgeving | Beschikbaar | Vaak niet aanwezig |
Maar hoe zorgen we dat uw klanten niet de risico’s onderschatten? Goede maatregelen beginnen bij een actuele stand van zaken. Een cyber risk assessment biedt uitkomst. Door dit cyber risk assessment worden namelijk alle lopende risico’s blootgelegd en met dit verworven inzicht kunnen bedrijven aan de slag gaan met verbeterslagen. Echter, vereist een cyber risk assessment op OT gebied wel specialistische kennis. Vaak is het verstandig om dan een dergelijke inspectie uit te laten voeren door een bureau met een brede dienstverlening en specialistische kennis op zowel IT als OT gebied, zoals TÜV Nederland. Omdat OT risico’s onderschat worden is cyberpreventie vaak gericht op de IT. Wees dus bewust dat wanneer u een cyber risk assessment laat uitvoeren dat deze, wanneer van toepassing, ook het OT gedeelte behelst.
Altijd alert op Phishing!
Voorkom dat u, uw collega’s en relaties in phishingmails trappen met handige posters. Deze a3 formaat posters kunt u eenvoudig zelf printen en prominent op uw kantoor hangen. Bewustwording is namelijk de sleutel in informatiebeveiliging.
*Vaak spreken we ook van IIoT (Industrial Internet of Things) als in de OT apparaten aan het internet verbonden zijn.
