De kloof tussen IT en OT is nog steeds even groot. Cyber4Industry beoordeelt het maturiteitsniveau als “catastrofaal”.

De digitalisering van de industrie heeft het aanvalsoppervlak van industriële systemen aanzienlijk vergroot en daarmee neemt ook het aantal veiligheidsincidenten toe. Uitleg van Gregorio Matias.

“Vandaag de dag betekent het beveiligen van de industrie ervoor zorgen dat IT en OT convergeren door dezelfde taal te spreken. Helaas zijn we, gezien het maturiteitsniveau van de cyberbeveiliging in de industrie in het algemeen, nog ver verwijderd van dat doel!”

Vroeger werd vaak ten onrechte gedacht dat de minder geautomatiseerde industriële wereld buiten het bereik van cyberaanvallen zou blijven, legt Gregorio Matias, CEO van MCG, uit. “Niets is minder waar. Deze twee werelden zijn nu volledig met elkaar verbonden en onderling afhankelijk, vooral op het gebied van IT-beveiliging.”  

Om de IT/OT-uitdaging aan te gaan, hebben MCG en AgiNTech in 2022 de handen ineengeslagen en Cyber4Industry opgericht. Hun missie: de continue bescherming van productielijnen waarborgen met cyberbeveiligingsoplossingen die zijn aangepast aan verschillende omgevingen. Kortom, twee werelden die elkaar niet begrijpen verzoenen.

Industrie 5.0, de mens vindt zijn plaats terug

Er is haast bij. Overal zien we een toename van beveiligingsincidenten die rechtstreeks verband houden met de digitalisering van industriële installaties. “Automatiseringssystemen, die lange tijd intern verbonden waren, communiceren nu met de buitenwereld; de uitwisseling tussen productie en beheer zal steeds vaker plaatsvinden. Het gaat vaak niet alleen om aanvallen op het industriële systeem, maar ook om aanvallen die via een rebound het beheersysteem treffen. Deze interacties tussen IT en OT worden echter steeds noodzakelijker om productiegegevens uit te wisselen met het ERP-systeem, voorspellend onderhoud in te voeren of zelfs gegevens naar de cloud te sturen.

Industrie 4.0, industrie 5.0… De digitalisering breidt zich uit. En versnelt door de invoering van het IoT, de cloud en nu ook AI. “Deze transformatie vergroot het aanvalsoppervlak en creëert grotere e onderlinge afhankelijkheden tussen belanghebbenden die een belang en een verantwoordelijkheid hebben bij het beveiligen van kritieke infrastructuren.

De uitdagingen van IT/OT-convergentie

Maar terwijl het aanvalsoppervlak aanzienlijk is vergroot, zijn industriële systemen vaak verouderd. Hoeveel PLC’s en SCADA-controlesystemen zijn twintig jaar of langer geleden geïnstalleerd? Hoeveel productielocaties draaien nog steeds op Windows XT?

“Industriële systemen zijn vaak ontworpen voordat cyberrisico’s echt in aanmerking werden genomen. En hoewel de Stuxnet-aanval in 2010 tot nadenken heeft gestemd, reageert de industrie als geheel slechts traag!”

Volgens Gregorio Matias staan twee werelden ongewild tegenover elkaar. Binnen hetzelfde bedrijf leggen IT-teams de nadruk op cyberbeveiliging en gegevensvertrouwelijkheid, terwijl OT de veiligheid van het personeel en de beschikbaarheid van industriële apparatuur vooropstelt. “Als we daar nog eens het gebrek aan begrip van elkaars taal tussen IT- en OT-teams aan toevoegen, hebben we alle ingrediënten voor een tijdbom. “

NIS2, opleidingen, bewustmaking…

Ondertussen is NIS2 van kracht geworden. De Europese richtlijn versterkt de industriële cyberbeveiliging aanzienlijk door de betrokken sectoren uit te breiden, strengere risicobeheersmaatregelen en meldingsplichten voor incidenten op te leggen en de eisen uit te breiden tot de hele toeleveringsketen. Het is duidelijk dat NIS2 een domino-effect zal hebben tussen de grote opdrachtgevers die onder de Europese verordening vallen en hun onderaannemers.

Het wordt dan ook absoluut cruciaal om het personeel bewust te maken van en te trainen in het opsporen van cyberaanvallen. “Operators kennen hun machines en zijn zich terdege bewust van de normale reacties van hun gereedschappen”, benadrukt Gregorio Matias. “Het gaat er nu om hen bewust te maken van het belang van cyberbeveiliging. Een bewust persoon is twee personen waard. En dat is, denk ik, een punt dat aansluit bij de principes van Industrie 5.0, die de samenwerking tussen mens en machine kenmerkt.”