Als het om OT gaat, is zichtbaarheid de basis voor effectieve beveiliging

Door Phil Muncaster • 18 November 2025

IT haalt vaak de krantenkoppen, vooral nu we een nieuw tijdperk van AI-gestuurde technologie ingaan. Maar het is operationele technologie (OT) die nog steeds een groot deel van de wereld draaiende houdt. Van fabrieken tot energiecentrales, en van ziekenhuizen tot transportnetwerken, deze technologie maakt doorgaans verbinding met de fysieke wereld om vitale industriële machines aan te sturen. Er is slechts één probleem: het is nooit echt ontworpen om het hoofd te bieden aan het cyberdreigingslandschap van de 21e eeuw.^st eeuw.

Dit is waarom nieuwe begeleiding De verklaring van het Nationaal Cyber Security Centrum (NCSC) zou door OT-operators verwelkomd moeten worden. Het benadrukt de cruciale eerste stap naar het beveiligen van OT: zichtbaarheid. En het suggereert dat ISO 27001 een uitstekende manier is om dit te bereiken.

Waarom OT-beveiliging belangrijk is

Aangezien OT industriële controlesystemen aanstuurt, is er niet veel verbeeldingskracht nodig om te begrijpen wat er op het spel staat. Het kapen van dergelijke systemen zou cybercriminelen in staat stellen om potentieel kritieke infrastructuur (CNI) te verstoren. Sterker nog, vorig jaar werden Chinese staatsgesponsorde tegenstanders ontdekt in Amerikaanse CNI-netwerken. zichzelf vooraf gepositioneerd om in geval van een militair conflict vernietigende aanvallen uit te voeren.

Afgezien van de mogelijke fysieke schade die dergelijke aanvallen kunnen toebrengen aan individuen en hele samenlevingen, kunnen ze een zware financiële en reputatieschade veroorzaken bij CNI-aanbieders en andere OT-operators. Slechts een paar maanden geleden zei de verzekeraar Marsh McLennan probeerde te kwantificeren De omvang van dit risico werd in kaart gebracht met behulp van de eigen claimdatabase en andere informatie. Het bedrijf berekende dat het jaarlijkse financiële risico in verband met overbruggingsincidenten wel eens $ 329.5 miljard (£ 250 miljoen) zou kunnen bedragen.

De uitdaging is dat OT-systemen vaak slecht beveiligd zijn. Apparatuur gaat veel langer mee dan een standaard IT-systeem, wat betekent dat er vaak oudere software en besturingssystemen op moeten draaien waarvoor geen patches meer beschikbaar zijn. Als er theoretisch gezien beveiligingsupdates beschikbaar zijn, krijgt uptime meestal voorrang boven beveiliging. Bovendien werken deze machines vaak in kritieke omgevingen, waar het offline halen ervan om patches te testen en toe te passen logistiek gezien een uitdaging is. Verouderde en onveilige communicatieprotocollen kunnen ook extra beveiligingsrisico's opleveren.

Wat de NCSC zegt

De aanpak van het NCSC is degelijk: je kunt niet beschermen wat je niet kunt zien. Daarom wil het dat OT-beheerders zich eerst richten op het creëren van een "definitief beeld" van hun OT-architectuur. Dit gaat veel verder dan een simpele lijst met assets, waaronder:

Componenten zoals apparaten, controllers, software en gevirtualiseerde systemen, allemaal geclassificeerd op basis van criticaliteit, blootstelling en beschikbaarheidsvereisten
Connectiviteit: dwz hoe deze activa interacteren binnen het OT-netwerk en daarbuiten
Bredere systeemarchitectuur inclusief zones, leidingen en segmentatiemaatregelen; veerkrachtbepalingen; en de redenering achter ontwerpkeuzes
Toeleveringsketen en toegang door derden: d.w.z. welke leveranciers, integrators en dienstverleners verbinding maken met de OT-omgeving, en hoe verbindingen worden beheerd en beschermd
Zakelijke en impactcontext: Begrijpen wat er vanuit operationeel, financieel en veiligheidsperspectief zou gebeuren als een asset/verbinding zou falen of in gevaar zou komen

De NCSC's begeleiding, dat ook is vormgegeven door instanties in de VS, Canada, Nieuw-Zeeland, Nederland en Duitsland, is gebaseerd op vijf principes. Het verplicht OT-operators om processen te ontwikkelen voor het opzetten en beheren van hun "definitieve dossier", het identificeren en categoriseren van activa, het identificeren en documenteren van connectiviteit, en het documenteren van risico's van derden.

Uw definitieve record beschermen

Misschien wel het meest interessant is Principe 2: Het opzetten van een programma voor OT-informatiebeveiligingsbeheer. Dit is essentieel gezien de gevoeligheid van de informatie in het definitieve dossier. Het kan ontwerp- en bedrijfsinformatie, identiteits- en autorisatiegegevens, operationele gegevens met betrekking tot realtime controle van OT-systemen en cyber- en veiligheidsrisicobeoordelingen omvatten.

Tegenstanders zouden deze informatie kunnen gebruiken om hun aanvallen te verfijnen door een contextueel beeld te schetsen van de systeemarchitectuur en componenten te selecteren die ze willen aanvallen en exploiteren, aldus het NCSC. "Uw organisatie zou duidelijk gedocumenteerd beleid en procedures moeten hebben voor de beveiliging van elk type informatie", voegt het toe – en dringt er bij organisaties op aan om rekening te houden met de klassieke "CIA"-triade. Dit betekent dat u ervoor moet zorgen dat:

Gevoelige informatie is alleen toegankelijk voor systemen en gebruikers die daartoe geautoriseerd zijn (vertrouwelijkheid)
Informatie is compleet, intact, betrouwbaar en niet gewijzigd (integriteit)
Organisaties beschermen de informatie tegen uitval, vertragingen en verminderde beschikbaarheid van de dienstverlening.

Het ISO 27001-voordeel

De NCSC adviseert OT-operators om “standaarden te gebruiken zoals ISO / IEC 27001 om te helpen bij de implementatie van een OT-informatiebeveiligingsmanagementsysteem.” Dat klinkt als muziek in de oren van Sam Peters, CPO van ISMS.online, die zegt dat het een groeiende consensus weerspiegelt: “de principes van een gestructureerd, op risico's gebaseerd informatiebeveiligingsmanagementsysteem zijn net zo effectief op OT als op IT.”

Peters vertelt ISMS.online dat hij, omdat hij al jaren met de norm werkt, precies weet hoe effectief deze kan zijn bij het beheersen van OT-gerelateerde risico's.

"Ik weet uit eigen ervaring dat ISO 27001 een consistente aanpak biedt voor assetzichtbaarheid, configuratiebeheer en wijzigingsbeheer – allemaal cruciaal in complexe, verouderde OT-omgevingen waar ongeplande wijzigingen reële veiligheidsimplicaties kunnen hebben", voegt hij eraan toe. "Het versterkt ook de zekerheid in toeleveringsketens door te formaliseren hoe toegang, patches en onderhoud door derden worden beheerd."

ISO 27001 biedt ook vanuit een technisch perspectief ondersteuning, door organisaties te helpen de kloof tussen IT en OT te overbruggen door middel van "gedeelde terminologie, gestandaardiseerde controles en op bewijs gebaseerde risicobehandeling", aldus Peters.

"Het ondersteunt zeker de oproep van het NCSC voor een definitieve visie op de OT-architectuur, zodat beveiligingsbeslissingen worden gebaseerd op nauwkeurige, actuele systeemkennis in plaats van op aannames", concludeert hij.

Om duidelijk te zijn: het gaat hier niet om het overhevelen van IT-controles naar OT. Het gaat om het toepassen van een bewezen managementsysteem dat rekening houdt met de unieke beperkingen van industriële systemen, waarbij beschikbaarheid, veiligheid en veerkracht prioriteit krijgen en tegelijkertijd traceerbaarheid en continue verbetering behouden blijven. Die balans is precies wat OT al een tijdje nodig heeft.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster