Operationele technologie staat midden in een transformatie. Waar industriële installaties jarenlang bewust geïsoleerd bleven, zijn ze vandaag steeds vaker verbonden met IT-systemen, cloudplatforms en externe leveranciers. Daarom hebben acht internationale cyberbeveiligingsautoriteiten, een richtlijn (pdf) gepubliceerd voor veilige connectiviteit van operationele technologie (OT)
Die connectiviteit maakt realtime monitoring, voorspellend onderhoud en efficiëntere bedrijfsvoering mogelijk. Tegelijkertijd vergroot zij het aanvalsoppervlak van industriële omgevingen aanzienlijk. Cyberincidenten in OT hebben bovendien andere gevolgen dan in IT: verstoring van productie, fysieke schade, veiligheidsrisico’s en maatschappelijke impact zijn reële scenario’s.
Tegen die achtergrond publiceerden meerdere nationale cybersecurity-organisaties gezamenlijk een set principes voor veilige connectiviteit in OT-omgevingen. Het document richt zich niet op losse technische maatregelen, maar op ontwerpkeuzes en bestuurlijke afwegingen die bepalend zijn voor de weerbaarheid van industriële netwerken.
Van “kan het?” naar “moet het?”
Een van de centrale boodschappen is dat OT-connectiviteit altijd begint met een expliciete afweging tussen kansen en risico’s. Niet elke verbinding die technisch mogelijk is, is ook wenselijk. Organisaties worden geacht vooraf een businesscase vast te leggen waarin onder meer het doel van de verbinding, de verwachte bedrijfswaarde, de risicotolerantie en de potentiële impact van misbruik zijn beschreven. Belangrijk daarbij is dat er ook bestuurlijke verantwoordelijkheid wordt benoemd: wie accepteert het risico als deze verbinding wordt misbruikt?
Voor managers betekent dit dat connectiviteit geen puur technisch vraagstuk is, maar een strategische beslissing. Voor technici betekent het dat architectuurkeuzes aantoonbaar herleidbaar moeten zijn tot vastgestelde risicoafwegingen.
Legacy blijft een structureel probleem
Een terugkerend thema is de aanwezigheid van verouderde systemen. Veel OT-omgevingen bevatten componenten die niet langer worden ondersteund door leveranciers en nooit zijn ontworpen voor moderne netwerken. Zulke systemen missen vaak basale beveiligingsmechanismen zoals sterke authenticatie of actuele cryptografie. Het document is daar expliciet over: obsolete systemen mogen niet worden vertrouwd als beveiligingsanker.
In de praktijk zijn deze systemen echter niet van de ene op de andere dag te vervangen. Daarom wordt segmentatie gezien als een tijdelijke maatregel om risico’s te beheersen, niet als eindoplossing. Organisaties worden aangemoedigd om parallel een realistisch migratiepad te definiëren, zodat tijdelijke compensaties niet permanent worden.
Minder blootstelling, minder risico
Een belangrijk ontwerpprincipe is het beperken van blootstelling. Hoe minder systemen direct of indirect bereikbaar zijn, hoe kleiner de kans op misbruik. Dat begint bij een eenvoudige regel: verbindingen vanuit OT-omgevingen worden bij voorkeur altijd outbound opgezet, zodat geen inkomende poorten hoeven te worden geopend.
Wanneer externe partijen, zoals leveranciers, toegang nodig hebben, verloopt dat via bemiddelde verbindingen in een aparte beveiligde zone, bijvoorbeeld een DMZ. Directe internettoegang tot OT-apparatuur wordt expliciet afgeraden. Daarnaast wordt benadrukt dat niet alle verbindingen permanent actief hoeven te zijn. Just-in-time toegang verkleint het tijdsvenster waarbinnen een aanvaller kan toeslaan.
Standaardiseren om complexiteit te beheersen
Historisch gegroeide OT-netwerken bestaan vaak uit maatwerkverbindingen, ieder met eigen uitzonderingen. Dat maakt beheer en beveiliging complex. De richtlijn pleit daarom voor centralisatie en standaardisati ven netwerkverbindingen. Door verbindingen te hergebruiken en te categoriseren, wordt het eenvoudiger om consistente beveiligingsmaatregelen toe te passen en afwijkingen te detecteren.
Voor technici betekent dit werken met herhaalbare architectuurpatronen. Voor managers betekent het investeren in eenvoud en beheerbaarheid, ook als dat op korte termijn minder flexibel lijkt.
Protocolkeuze is geen detail
Naast netwerkarchitectuur krijgt ook het protocolniveau veel aandacht. In veel industriële omgevingen zijn nog onversleutelde of niet-geauthenticeerde protocollen in gebruik. Het document adviseert om waar mogelijk over te stappen op veilige varianten van industriële protocollen, met ondersteuning voor authenticatie, integriteitscontrole en moderne cryptografie.
Waar dat (nog) niet kan, moet het gebruik van onveilige protocollen expliciet worden gemotiveerd en gecompenseerd met aanvullende maatregelen. Opvallend is de nadruk op “crypto-agility”: systemen moeten in staat zijn om cryptografische algoritmen in de toekomst te vervangen zonder volledige herbouw van de infrastructuur.
De OT-grens als verdedigingslinie
Omdat veel OT-componenten lastig te patchen zijn, verschuift de beveiligingsfocus naar de netwerkgrens. Moderne firewalls met applicatie-inspectie, strikte scheiding tussen zones en goed beheerde DMZ’s vormen daarbij de eerste verdedigingslinie. Deze grenscomponenten moeten wél eenvoudig te vervangen en actueel te houden zijn.
Daarbij wordt benadrukt dat beveiliging gelaagd moet zijn. Vertrouwen op één maatregel is onvoldoende. Least-privilege, sterke authenticatie, het verwijderen van ongebruikte diensten en het afdwingen van eenrichtingsverkeer waar mogelijk zijn allemaal onderdelen van die gelaagde aanpak.
Beperk de impact als het toch misgaat
Geen enkele beveiliging is waterdicht. Daarom gaat een belangrijk deel van de richtlijn over het beperken van schade na een compromittering. Segmentatie en micro-segmentatie spelen hierin een sleutelrol: hoe kleiner de zone waarin een aanvaller zich kan bewegen, hoe kleiner de impact.
Ook organisatorische maatregelen zoals scheiding van taken krijgen aandacht. Monitoring- en analysesystemen mogen bijvoorbeeld geen directe besturingsrechten hebben over productieprocessen. Daarmee wordt voorkomen dat een incident in ondersteunende systemen direct gevolgen heeft voor de operatie.
Zicht houden op wat er gebeurt
Logging en monitoring worden gepositioneerd als laatste verdedigingslaag. Door normaal gedrag vast te leggen, kunnen afwijkingen sneller worden herkend. Dat geldt niet alleen voor netwerkverkeer, maar ook voor wijzigingen in configuraties en het gebruik van noodtoegangen. Break-glass-accounts mogen uitsluitend in noodsituaties worden gebruikt en moeten altijd leiden tot directe alarmsignalen.
Voor industriële organisaties betekent dit dat OT-logging structureel onderdeel moet zijn van bredere security-monitoring, en niet een losstaand technisch hulpmiddel.
Isolatie als bewuste ontwerpkeuze
Tot slot benadrukt het document het belang van een doordacht isolatieplan. In geval van verhoogde dreiging of een vastgesteld incident moet een OT-omgeving kunnen worden losgekoppeld van externe systemen zonder dat dit leidt tot onveilige situaties. Isolatie is geen noodgreep, maar een vooraf ontworpen scenario dat regelmatig wordt getest en is afgestemd met leveranciers en partners.
De kernboodschap is helder: veilige OT-connectiviteit is geen verzameling losse beveiligingsmaatregelen, maar het resultaat van bewuste ontwerpkeuzes, duidelijke verantwoordelijkheden en realistische aannames over dreigingen. Voor managers vraagt dit om bestuurlijke betrokkenheid en risicobesef. Voor technici vraagt het om discipline in architectuur, standaardisatie en monitoring. Alleen door die combinatie blijft industriële connectiviteit een kracht in plaats van een kwetsbaarheid.