In de haven van Antwerpen-Brugge is de beveiliging van OT van cruciaal belang. Een voorbeeld van veerkracht
De convergentie tussen IT en OT wordt inmiddels goed begrepen. Toch bereikt vandaag de dag slechts een minderheid van de bedrijven een aanvaardbaar niveau op het gebied van OT-beveiliging. Drie experts bundelen hun visie: Alisa Isachenkova (Haven van Antwerpen-Brugge), Peter Witsenburg (lid van de Board of Advisors van Cybersec Europe) en Nick Peeters (Soterics).
Wie inzet op cyberveerkracht, kan het belang van OT-beveiliging niet negeren. In een steeds meer verbonden wereld trekt ook de operationele technologie, waarop de doorgaans kritieke infrastructuren van organisaties rusten, de aandacht van cybercriminelen. De verwevenheid tussen IT en OT wordt inmiddels goed begrepen. Toch bereikt vandaag slechts een minderheid van de bedrijven een aanvaardbaar niveau op het vlak van OT-beveiliging.
OT speelt een essentiële rol in de haven van Antwerpen-Brugge (Port of Antwerp-Bruges), de op één na grootste haven van Europa. De systemen waarmee de bruggen en sluizen worden bediend, werken uitsluitend op basis van OT. Bij een IT-incident zouden schepen dus niet meer kunnen binnen- of uitvaren. De impact blijft dan ook niet beperkt tot de havenorganisatie, maar treft ook alle bedrijven die ervan afhankelijk zijn. Het scheepvaartverkeer in zijn geheel zou zelfs kunnen worden verstoord door een OT-gerelateerd probleem.
Een prioriteit in de haven van Antwerpen-Brugge
Bruggen en sluizen vormen dan ook kritieke infrastructuur, net als water en energie. Nu de grenzen tussen IT en OT vervagen, worden ook deze infrastructuren steeds vaker blootgesteld aan cyberaanvallen. Daarom is sinds 2020 OT-beveiliging een prioriteit in de haven van Antwerpen-Brugge. Speciale teams werken hard aan het wegwerken van kwetsbaarheden. Er wordt dus bijzondere aandacht besteed aan de meest kritieke infrastructuren, maar in bijna negen op de tien bedrijven is de OT-omgeving nog lang niet beveiligd.
De tijd dringt, want cybercriminelen zijn zich terdege bewust van deze kwetsbaarheid. Waar de verstoring van deze systemen vroeger eerder een neveneffect was van een geslaagde IT-aanval, worden ze vandaag een direct doelwit. Sommige groepen hebben zich zelfs gespecialiseerd in aanvallen op OT. Enerzijds omdat de kans op betaling van losgeld groter is wanneer de aanval gericht is op systemen die een grote impact hebben op organisaties en de samenleving. Anderzijds omdat OT ook aan belang wint bij geopolitieke spelers die hun tegenstanders willen raken via belangrijke industriële installaties.
Twee werelden apart
OT-beveiliging is een werk van lange adem. Historisch gezien zijn IT en OT twee werelden apart, met hun eigen teams, systemen en doelstellingen. Waar IT bijvoorbeeld belang hecht aan gegevensvertrouwelijkheid, legt OT meer nadruk op veiligheid en productiviteit. In vergelijking met een IT-omgeving is OT ook veel meer verspreid. Een bedrijf heeft soms tientallen productielocaties, met afzonderlijke operationele eenheden en verantwoordelijken. Wie draagt dan de eindverantwoordelijkheid?
In veel organisaties ligt deze verantwoordelijkheid bij de CISO. En gezien de omvang van de taak schakelt deze vaak ook de CIO in. Hun missie is verre van eenvoudig: alle stemmen in het bedrijf bij elkaar brengen en het project verdedigen bij de raad van bestuur om de benodigde budgetten te verkrijgen.
De hoge kosten van OT-beveiliging vormen namelijk een rem, net als het gebrek aan adequate communicatie en documentatie. De operationele teams spreken niet dezelfde taal als de IT-specialisten. En aangezien veel OT-systemen, in vergelijking met IT, uit de ‘prehistorie’ stammen, zijn ze zelden gedocumenteerd. Jarenlang berustte deze kennis op een lokale expert, een veel te kwetsbare basis.
Het gebrek aan kennis en overzicht maakt het niet gemakkelijker om de aanwezige assets en hun onderlinge verbindingen te identificeren. Maar wat je niet ziet, kun je onmogelijk beveiligen. Bovendien kan een OT-kwetsbaarheid niet worden verholpen met een IT-patch. Compatibiliteit met SCADA – het visualisatieplatform van een OT-omgeving – ontbreekt doorgaans. Legacy-systemen zijn van nature niet ontworpen volgens robuuste beveiligingsprotocollen. In veel gevallen zou de eenvoudigste oplossing er in feite uit bestaan alle OT-systemen te vervangen, maar dit wordt afgewezen vanwege de complexiteit en de kosten.
Stel uw prioriteiten vast en wacht niet langer!
In de huidige geopolitieke context is niets doen geen optie. Maar hoe kunnen organisaties concreet beginnen met het beveiligen van hun OT-omgevingen? Allereerst moet men begrijpen dat er geen wondermiddel bestaat dat van de ene op de andere dag werkt. OT-beveiliging duurt doorgaans vijf tot zeven jaar. Begin met het verzamelen van informatie en het communiceren van het belang van dit project aan het C-level. Stel vervolgens de juiste prioriteiten vast voor de budgetten en de implementatie. Richt u niet meteen op de kleinste stukjes van de puzzel, maar stel een strategisch plan op dat OT-beveiliging op een holistische manier benadert. Ga dus niet uit van de technologie, maar werk stapsgewijs.
Het is aan een dergelijk meerjarenplan dat de haven van Antwerpen-Brugge haar relatief hoge niveau van OT-beveiliging te danken heeft. De organisatie heeft de prioriteiten per batch en segment vastgesteld. Samenwerking en communicatie zijn eveneens essentieel. Als bijvoorbeeld een sluis een weekend buiten gebruik moet worden gesteld vanwege beveiligingswerkzaamheden, moet dit maanden van tevoren worden gepland om de operationele impact te minimaliseren.
Samen staan we sterk
Onder impuls van de NIS2-richtlijn zijn de meeste organisaties zich bewust van de uitdagingen die voor hen liggen. OT-beveiliging is daarmee een prioriteit geworden voor de raad van bestuur. Er gebeurt iets, maar te langzaam. Zeker omdat cybercriminelen niet stilzitten. Bedrijven, leveranciers en overheden moeten daarom snel handelen om deze lacunes in de komende twee jaar op te vullen.
Wetgeving kan een belangrijke hefboom zijn. De NIS2-richtlijn biedt overigens een goede basis, maar dit kader is nog onvoldoende afgestemd op OT. Veel maatregelen zijn moeilijk toe te passen en te implementeren vanwege de complexiteit van deze omgevingen. Organisaties kunnen het zich dus niet veroorloven om te wachten op impulsen van de wetgever.
Het voorbeeld van de haven van Antwerpen-Brugge moet een bron van inspiratie worden. Bedrijven in het havengebied hebben begrepen dat IT/OT-beveiliging niet het resultaat kan zijn van individuele inspanningen. Ze delen hun ervaringen en ideeën en werken actief samen met leveranciers van beveiligingsoplossingen. En het zijn juist deze gezamenlijke inspanningen die hen hun mooie vooruitgang opleveren. Samen staan we sterk!
Stronger together is trouwens het thema van Cybersec Europe, het grootste evenement rond cyberbeveiliging in de Benelux. Op 20 en 21 mei komen professionals uit de sector samen in Brussels Expo. U kunt er onder meer kennismaken met de ervaringen van de haven van Antwerpen-Brugge.
