Voorbij de fabriek: waarom operationele technologierisico's overal voorkomen

Door Phil Muncaster • 17 augustus 2023

Wanneer een verslag Vorig jaar werden 56 nieuwe kwetsbaarheden onthuld in de producten van tien operationele technologie (OT)-leveranciers. Experts noemden dit een wake-up call voor de industrie. Het onderzoek bracht een endemisch probleem met OT-apparatuur aan het licht: een behoefte aan meer basale best practices op het gebied van beveiliging door ontwerp. Het feit dat driekwart van de producten waarvan werd vastgesteld dat ze kwetsbaarheden bevatten, geldige beveiligingscertificeringen hadden, zou verdere nervositeit onder IT/OT-managers moeten veroorzaken.

Het komt erop neer dat de problemen die in het rapport worden benadrukt zo diepgaand zijn dat het onwaarschijnlijk is dat ze binnenkort binnen de hele sector kunnen worden opgelost. Dat legt de verantwoordelijkheid bij bedrijfsbeveiligingsprogramma's om ervoor te zorgen dat OT-risico's met dezelfde aandacht voor detail worden beheerd als IT.

Het wat en waarom van OT

Terwijl IT-systemen informatie en applicaties beheren, omvat OT de hardware en software die wordt gebruikt om de fysieke wereld te monitoren en te controleren. Het kan van alles zijn, van een geldautomaat tot een industrieel besturingssysteem (ICS), een fabrieksrobot tot een programmeerbare logische controller (PLC). De technologie is het duidelijkst te vinden op de fabrieksvloer. Maar het omvat een enorm scala aan industrieën die verder gaan dan de productiesector, waaronder de gezondheidszorg, olie en gas, nutsvoorzieningen en transport.

Historisch gezien waren OT-systemen niet met internet verbonden en waren apparaten vaak speciaal gebouwd en draaiden ze gespecialiseerde software. Dat betekende dat veiligheid als een bijzaak werd beschouwd. De meeste apparatuur beschikt tegenwoordig echter over connectiviteit, wat betekent dat aanvallers op afstand deze kunnen onderzoeken op kwetsbaarheden. Tegelijkertijd draait het vaak Windows of andere commerciële software. Dat maakt het een aantrekkelijk doelwit.

Omdat OT fysieke processen controleert, kunnen aanvallers door inbreuken op de beveiliging kritieke operaties saboteren of verstoren. Kwetsbare eindpunten kunnen zelfs worden gebruikt als opstapje naar IT-netwerken voor diefstal van gevoelige gegevens. Een 2022 rapport beweert dat 83% van de organisaties in de afgelopen 36 maanden te maken heeft gehad met een OT-inbreuk. Volgens cijfers geciteerd door McKinseykunnen de kosten per incident van ernstige aanvallen oplopen tot 140 miljoen dollar. Het zijn niet alleen financiële risico's waar organisaties rekening mee moeten houden. OT wordt ook gereguleerd door de NIS 2-richtlijn en het Britse equivalent ervan.

Wat zijn de risico's?

Het gespecialiseerde karakter van OT betekent dat systemen worden blootgesteld aan bepaalde cyberrisico’s die mogelijk niet van toepassing zijn op IT-omgevingen. Ze bevatten:

Gebruik van verouderde, onveilige communicatieprotocollen
Leveranciers die onvoldoende aandacht besteden aan kwetsbaarheidsbeheer
Hardwarelevenscycli van meer dan 10 jaar, wat betekent dat beheerders gedwongen worden verouderde besturingssystemen/software te gebruiken
Uitdagingen bij het patchen, omdat apparatuur vaak niet offline kan worden gehaald om updates te testen (zelfs als deze beschikbaar zijn)
Apparatuur die te oud is om moderne beveiligingsoplossingen op in te zetten
Beveiligingscertificeringen die ernstige gebreken niet herkennen, waardoor beheerders een vals gevoel van veiligheid krijgen
Security-by-design-problemen die niet worden gerapporteerd/toegewezen CVE's, wat betekent dat ze onder de radar blijven
Afzonderlijke IT/OT-teams, die gaten in de zichtbaarheid, bescherming en detectie kunnen creëren
Onveilige wachtwoorden en verkeerde configuraties (hoewel dit ook gebruikelijk is in IT-omgevingen)

Technisch gezien is de Forescout rapport Het eerder genoemde benadrukt verschillende categorieën van kwetsbaarheden in veel OT-producten:

Onveilige technische protocollen
Zwakke cryptografie of kapotte authenticatieschema's
Onveilige firmware-updates
Uitvoering van externe code (RCE) via native functionaliteit

Hoe u de risico's van OT-systemen kunt beperken

Wat de IT-beveiliging betreft, is diepgaande verdediging de beste manier om OT-cyberrisico's te beperken. Volgens Carlos Buenano, Principal Solutions Architect for Operational Technology (OT) bij Armis, begint het met zichtbaarheid van OT-middelen en vervolgens met het snel patchen.

“Aangezien het heel gebruikelijk is dat OT-omgevingen kwetsbare assets hebben, moeten organisaties een uitgebreide asset-inventaris van hun netwerk maken en over aanvullende informatie beschikken over wat die assets zijn en wat ze feitelijk doen”, vertelt hij aan ISMS.online. “Contextuele gegevens stellen teams in staat te definiëren welk risico elk apparaat met zich meebrengt voor de OT-omgeving en de zakelijke impact ervan te beoordelen, zodat ze prioriteit kunnen geven aan het herstel van kritieke en/of bewapende kwetsbaarheden om het aanvalsoppervlak snel te verkleinen.”

Hier is een korte checklist voor organisaties:

Ontdekking/beheer van activa: Wat je niet kunt zien, kun je niet beschermen. Begrijp dus de volledige omvang van OT in de onderneming.

Snelle patching en continu scannen: OT-middelen moeten voortdurend worden gescand op kwetsbaarheden zodra ze worden ontdekt. En een op risico gebaseerd patchprogramma zal ervoor zorgen dat CVE’s effectief prioriteit krijgen. Overweeg om een niet-kritieke testomgeving voor patches te bouwen. En als bepaalde assets niet kunnen worden gepatcht, overweeg dan alternatieven, zoals virtuele patching, netwerksegmentatie, SIEM en integriteitsmonitoring.

Identiteits- en toegangsbeheer: Implementeer op rollen gebaseerde toegangscontroles, volg het principe van minimale bevoegdheden en ondersteun multi-factor authenticatie (MFA).

Segmentatie: Scheid bedrijfsnetwerken van OT-netwerken en segmenteer OT-netwerken om de verspreiding van malware tegen te gaan.

Preventie van bedreigingen: Implementeer controlemechanismen zoals inbraakdetectie (IDS), AV-software en tools voor het controleren van de bestandsintegriteit om malware te voorkomen en te detecteren.

Encryptie en back-up: Bescherm OT-gegevens in rust en onderweg en zorg voor back-ups om de impact van ransomware te beperken.

IT-OT-silo's afbreken

Nu OT- en IT-systemen in veel organisaties samenkomen, worden bedreigingen die ooit beperkt bleven tot IT, zoals compromissen op afstand, steeds gebruikelijker voor industriële systemen. Daarom zal het voorkomen, detecteren en reageren op dergelijke bedreigingen meer interactie tussen IT- en OT-teams vereisen. OT-teams kunnen veel leren van de ervaring die IT door de jaren heen heeft opgebouwd beveiligingsmaatregelen, en beiden hebben een gevestigd belang bij bedrijfscontinuïteit.

“Door samen te werken kunnen IT- en OT-teams cybersecurityrisico’s identificeren en beperken die zowel IT- als OT-omgevingen beïnvloeden, waardoor de organisatie wordt beschermd tegen cyberaanvallen”, vertelt Bharat Mistry, technisch directeur van Trend Micro UK & Ireland, aan ISMS.online. “Bovendien zal de samenwerking tussen de teams de efficiëntie van de beveiligingsteams verbeteren en uiteindelijk helpen de kosten te verlagen.”

Vanuit complianceperspectief kan dit van de organisatie vereisen dat zij verder gaat dan de grenzen van ISO 27001 en op zoek gaat naar aanvullende certificeringen op OT-gebied.

“Wij zien kaders als ISO 27001 gebruikt in bedrijfs-IT en op maat gemaakte of op maat gemaakte raamwerken zoals IEC 62443 voor OT”, legt Mistry uit. “Op papier is er enige overlap tussen deze, maar in werkelijkheid zijn deze raamwerken startpunten en worden ze vaak aangepast aan de omgeving van de organisatie.”

Uiteindelijk is het in ieders belang om samen te werken, zegt Buenano van Armis.

“Vanuit organisatorisch perspectief moet een op risico gebaseerde benadering van kwetsbaarheidsbeheer hand in hand gaan met OT- en IT-afdelingen die samenwerken om de mitigatie-inspanningen te helpen coördineren”, besluit hij. “Departementale projecten zullen helpen het proces- en resourcebeheer te stroomlijnen en een grotere compliance en gegevensbeveiliging te bereiken.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster