In industriële en vitale omgevingen ziet Godfried waarom dat zo vaak misgaat: organisaties weten niet precies welke systemen zij hebben, ze zien niet tijdig wat er in hun netwerk gebeurt en ze hebben te weinig beschermende maatregelen voor systemen die niet onmiddellijk te patchen zijn. Volgens hem draait weerbaarheid uiteindelijk altijd om deze drie stappen.
In dit artikel leggen we die drie stappen uit: (1) weten wat je hebt, (2) weten wat er gebeurt en (3) je systemen beschermen wanneer patchen (tijdelijk) niet kan.
“Weet wat je hebt” – de kern van elke patchstrategie
“Organisaties weten vaak niet wat ze hebben,” zegt Godfried. En als je niet weet wat je hebt, weet je ook niet wat je moet patchen. Tijdens een security congress in Antwerpen zag hij een demonstratie van vier verschillende monitoringbronnen: wat de IT-manager dacht dat er stond, wat de virusscanner zag, wat Windows Update registreerde en wat endpointdetectie in kaart bracht. “Tussen de IT-manager en de endpointdetectie zat bijna een factor twee,” zegt hij. Dat is geen uitzondering, maar iets wat hij in veel organisaties ziet.
Juist in industriële ketens is die blinde vlek riskant. Oude machines worden ’s nachts vervangen, apparaten worden ad-hoc opnieuw aangesloten en niemand houdt precies bij wat waar staat. “Ik denk dat ik nog nooit een volledig up-to-date CMDB heb gezien,” zegt Godfried. Daardoor leidt een kritieke patch niet alleen tot de vraag wanneer je patcht, maar vooral wat je moet patchen. En dat weten veel organisaties simpelweg niet. Zijn advies blijft daarom verrassend eenvoudig: bouw eerst zichtbaarheid, dan snelheid.
Patchmanagement in OT is een vak apart. “Soms staat OT echt voor oude troep, zeg ik altijd als grap.” In industriële omgevingen staan Windows XP-systemen en twintig jaar oude controllers nog volop in productie. De vervanging brengt namelijk enorme kosten met zich mee. “Je gaat dat niet eventjes oplossen. Machines gaan dertig, veertig jaar mee,” legt hij uit. Daardoor zijn kritieke updates vaak geen simpele softwarehandelingen, maar diep technische ingrepen die risico’s meebrengen voor productie, veiligheid en continuïteit.
Terminaloperaties, petrochemische processen en energievoorziening draaien 24/7. “Die draaien 365 dagen per jaar. Onderhoudsmomenten zijn heel schaars,” zegt Godfried. Dat betekent dat bedrijven soms wéten dat een patch dringend is, maar geen veilig moment hebben om hem door te voeren.
Snelheid door inzicht – waarom monitoring net zo belangrijk is als patching
OT-omgevingen zijn voorspelbaar: apparaten communiceren met vaste patronen, PLC’s praten met dezelfde subset systemen en afwijkende bewegingen vallen onmiddellijk op. “Als je elke dag alleen maar blauwe autootjes voorbij ziet rijden op je netwerk en er komt opeens een rood autootje voorbij, dan is dat gek.” Juist die voorspelbaarheid maakt gedragsmonitoring in OT krachtig.
Maar monitoring werkt alleen als het landschap gesegmenteerd en georganiseerd is. In een plat netwerk vol oude apparatuur is afwijkingsdetectie vooral ruis. Daarom ziet Godfried monitoring en segmentatie als twee kanten van dezelfde medaille. “Er komen gelukkig steeds meer goede middelen beschikbaar in OT,” zegt hij, maar ze werken pas echt als je zones, firewalls en duidelijke scheidingen aanbrengt. Innovatie in detectie kan niet zonder innovatie in netwerkstructuur en dat is waar veel organisaties vastlopen.
Ketens schalen risico’s – én vertragen besluitvorming
In industriële en logistieke ketens zijn er veel wederzijdse afhankelijkheden. Daarom stopt monitoring niet bij de eigen organisatie. Een cyberaanval op één organisatie kan een impact hebben op leveranciers, partners en klanten. Die ketenafhankelijkheid maakt snelheid juist belangrijker. “Het zijn gerichte aanvallen op een logistieke keten,” zegt Godfried. Als één organisatie vertraagt, loopt het hele systeem risico.
In de Rotterdamse haven kozen bedrijven, overheid en havenbedrijven na de Merck-incidenten ervoor om informeel contact structureel te maken. Zo ontstonden het Harbour ISAC en later FERM – een publiek-privaat initiatief waar informatie-uitwisseling, scenario-oefeningen en dagelijkse dreigingssignalen centraal staan. “Je moet elkaar kennen vóórdat het misgaat,” zegt Godfried. Dat principe zorgde voor kortere lijnen en snellere besluitvorming, óók bij patches en kwetsbaarheden.
Die samenwerking is volgens hem wat andere sectoren missen. In de haven wordt niet gediscussieerd over wie eigenaar is van welke kwetsbaarheid, maar worden problemen gedeeld omdat iedereen weet dat verstoringen de hele keten raken. Dat leidt niet tot perfectie, maar wél tot snelheid. “Je moet op gebied van cyber niet concurreren met elkaar”
Systemen beschermen wanneer patchen (tijdelijk) niet kan
In OT-omgevingen is patchen zelden een kwestie van “even updaten”. Veel systemen draaien al tientallen jaren, bevatten maatwerkhardware of hebben zulke kritieke rollen dat elke wijziging risico’s oplevert voor productie en veiligheid. Daarom ziet Godfried dat organisaties vaak noodgedwongen moeten werken met kwetsbare systemen die nog maanden - soms jaren - blijven staan. “Soms is het echt oude troep,” zegt hij, “maar je gaat het niet zomaar vervangen.” In zulke situaties wordt risicobeheersing geen technische keuze maar een strategische: hoe voorkom je dat een aanvaller bij een kwetsbaar systeem kan komen, ook als dat systeem zelf niet direct te repareren is?
Volgens Godfried begint dat bij segmentatie, zonering en zero-trustprincipes. Een kwetsbaar systeem hoeft geen direct probleem te zijn zolang het geïsoleerd is en een aanvaller er niet vrij naar binnen en buiten kan bewegen. “Zet er een muur omheen. Maak een gelaagde, het liefst zero-trust omgeving,” adviseert hij. Firewalls tussen zones, gescheiden veiligheidsdomeinen en streng gecontroleerde communicatiepaden zorgen ervoor dat één kwetsbaarheid niet een hele fabriek of logistieke keten raakt. Beschermen is daarmee geen vervanging voor patchen, maar een noodzakelijke tussenstap: een manier om tijd te kopen zonder de deur voor aanvallers wijd open te zetten.
Conclusie: snelheid begint bij inzicht én samenwerking
Voor Godfried is het simpel: wie sneller wil patchen, moet eerst beter kijken. Zicht op alle systemen, begrip van afhankelijkheden en vertrouwen in de keten leggen de basis voor snelheid. Daarna gaat het om urgentie: kwetsbaarheden wachten niet op change boards of onderhoudsvensters. Organisaties die volwassen willen worden, moeten erkennen dat basishygiëne niet vanzelf ontstaat, maar voortkomt uit duidelijke verantwoordelijkheid, technische discipline en gedeelde risicoafweging.
“Hackers wachten niet zo lang.”
Benieuwd naar het volledige interview met Godfried Boshuizen? Luister hier aflevering 10 van de NLSecure[ID]-podcast.