OT-risico kan een probleem van $ 330 miljard zijn: hoe lossen we het op?

OT-risico zou een probleem van 330 miljard dollar kunnen zijn: hoe lossen we dit op?

Door Phil Muncaster • 18 September 2025

Bedrijfsleiders negeren het risico van operationele technologie (OT) op eigen risico. Dit zijn de systemen die een deel van de meest kritieke nationale infrastructuur (OT) van het Verenigd Koninkrijk aandrijven – van kerncentrales tot waterzuiveringsinstallaties. In tegenstelling tot IT-dreigingen kunnen aanvallen op OT een directe fysieke impact hebben op de bevolking. Toch maken CNI-besturen zich er vaak schuldig aan om andere bedrijfsdoelen voorrang te geven boven cybersecurity.

Dat zou wel eens kunnen veranderen met de publicatie van een nieuw rapport Van OT-beveiligingsspecialist Dragos. Gesteund door een onafhankelijke analyse van verzekeraar Marsh McLennan, blijkt dat het jaarlijkse financiële risico in verband met OT-incidenten kan oplopen tot wel $ 329.5 miljard. De vraag is: als raden van bestuur eindelijk naar hun CISO's gaan luisteren, wat gebeurt er dan?

Waarom is er een risico op ergotherapie?

OT-beveiliging is niet over de hele linie slecht. Maar veelvoorkomende tekortkomingen zijn:

Oudere apparatuur die een lange levensduur heeft en vaak verouderde software draait, hetzij vanwege problemen met de hardwarecompatibiliteit en/of omdat het moeilijk is om de apparatuur offline te halen om te patchen.
Historische benaderingen van risicomanagement, waarbij OT-systemen werden afgesloten van het openbare internet, falen nu, omdat systemen steeds meer convergeren met IT en voorzien zijn van connectiviteit.
Scheve prioriteiten waarbij beschikbaarheid en veiligheid voorrang krijgen boven beveiliging

Hierdoor blijven veel OT-omgevingen achter zonder kritieke updates, gebruiken ze verouderde, onveilige communicatieprotocollen en zijn ze voorzien van platte, ongesegmenteerde netwerken. Ook kan er sprake zijn van een gebrek aan inzicht in OT-middelen en zwakke authenticatie, zoals statische wachtwoorden op endpoints.

Veiligheidsproblemen als deze werden op beruchte wijze uitgebuit door Chinese dreigingsactoren om zich op Amerikaanse CNI-netwerken te "prepositioneren", met als doel destructieve aanvallen uit te voeren in geval van een conflict. Volgens March McLennan waren de sectoren die het meest getroffen werden door OT-inbreuken in de afgelopen tien jaar

Gezondheidszorg (27%)
Bouw (27%)
Productie (16%)
Gebouwautomatisering: (3%)
Nutsbedrijven: (2%)

Wat het rapport zegt

Om tot een cijfer voor het OT-risico te komen, wat vermoedelijk de eerste keer is dat financieel risico op deze manier wordt gemeten, analyseerde Marsh McLennan gegevens uit een van 's werelds grootste databases voor verzekeringsclaims. Ook analyseerde hij gegevens van onafhankelijke derden, verzekerbaarheidsrapporten en rapporten over het herstel van inbreuken – over de periode 2014-2024.

Naast het worstcasescenario van cyberincidenten in de over-to-endsector die jaarlijks een financieel risico van bijna $ 330 miljard opleveren, merkt het rapport op dat incidenten die leiden tot een claim voor bedrijfsonderbreking, $ 172 miljard aan verliezen kunnen veroorzaken. Interessant is dat een groot deel van deze verliezen voortkomt uit indirecte kosten – die vaak niet worden meegerekend in de risicomodellering. Zo'n 70% van de cyberincidenten in de over-to-endsector brengt deze kosten met zich mee – die voortkomen uit operationele verstoringen en uit "overmatige voorzichtigheid" uitgevoerde shutdowns.

"De complexiteit van onderling verbonden OT-systemen kan in deze omgevingen vaak leiden tot toenemende risico's", aldus het rapport.

Een zaak van de directie

Volgens Dragos hebben organisaties in het verleden moeite gehad met het beheersen van OT-risico's omdat:

Ze konden de financiële blootstelling die aan specifieke incidenten was verbonden niet kwantificeren
Ze konden de effectiviteit van OT-beveiligingscontroles niet meten
Ze hadden geen onafhankelijke maatstaven die hen konden vertellen welke controles het belangrijkst zijn en waarom.

Dankzij het rapport hebben ze nu beter inzicht. Het benadrukt de volgende vijf maatregelen als het meest effectief in het verminderen van "de kans op en de ernst van financieel verlies" door een inbreuk op de overuren:

Plannen voor reactie op incidenten
Verdedigbare architectuur
Netwerkzichtbaarheid en -bewaking
Veilige toegang op afstand
Risicogebaseerd kwetsbaarheidsbeheer

Phil Tonkin, CTO van Dragos Field, legt uit dat het bouwen van een verdedigbare architectuur moet beginnen met inzicht in de fysieke processen en veiligheidssystemen waarop industriële activiteiten zijn gebaseerd.

"Een verdedigbare architectuur in OT moet bestand zijn tegen gerichte aanvallen, onbedoelde verstoringen en andere storingen. Dit betekent dat controlenetwerken moeten worden geïsoleerd van bedrijfssystemen, dat er strikte toegangscontroles moeten worden toegepast voor externe connectiviteit en dat er inzicht moet zijn in elk bedrijfsmiddel en elk communicatiepad", vertelt hij aan ISMS.online.

Het vereist ook dat systemen worden ontworpen met veerkracht in gedachten. Dit betekent dat, zelfs als er een inbreuk plaatsvindt, de impact beperkt blijft en herstel snel kan plaatsvinden. De architectuur moet de operationele realiteit van elk industrieel besturingssysteem weerspiegelen – niet alleen de theoretische modellen van IT-beveiliging. Het gaat erom vertrouwen te creëren in de infrastructuur zelf.

De volgende stap

Gewapend met overtuigende gegevens zoals die in het Dragos-rapport, hebben OT-beveiligingsmanagers een geweldige kans om strategische gesprekken te starten met het senior management over de beste manier om de operationele beveiliging te verbeteren.

"De volgende stap is het vertalen van operationele kwetsbaarheden naar bedrijfstaal – door te laten zien hoe een gecompromitteerd controlesysteem kan leiden tot productiestilstand, veiligheidsincidenten of blootstelling aan regelgeving. Het is nu mogelijk voor leiders om dat risico te kwantificeren en aan te tonen hoe specifieke controles het verminderen", aldus Tonkin.

Dit stelt hen in staat om te pleiten voor gerichte investeringen, niet alleen voor brede beveiligingsuitgaven. Het opent ook de deur naar een zinvollere samenwerking tussen operationele, financiële en risicoteams. Het doel is om van reactieve verdedigingssystemen over te stappen op proactieve veerkracht – door OT-beveiliging te integreren in de algehele risicohouding en het besluitvormingskader van een organisatie.

Best practice-normen kunnen hierbij helpen, met name ISO 62443 – die is ontworpen met industriële automatisering en besturingssystemen in gedachten. De sleutel is ervoor te zorgen dat ze "door een OT-lens" worden toegepast, aldus Tonkin.

"Als ze zorgvuldig worden aangepast, kunnen deze normen OT-teams helpen een gestructureerde aanpak van risicomanagement te ontwikkelen", concludeert hij.

"Het was vaak moeilijk voor beveiligingsteams en het management om deze kaders te koppelen aan meetbare resultaten. Maar we kunnen nu zien hoe specifieke OT-controles, zoals incidentresponsplanning en netwerkinzicht, direct verband houden met financiële risicoreductie."

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster

Cyber security 3 December 2025