IT raakt OT. OT raakt alles: waarom ketenweerbaarheid nu topprioriteit is

De afgelopen jaren heb ik als incident responder talloze digitale incidenten onderzocht. Wat me steeds vaker opvalt: de grootste risico’s ontstaan niet binnen één domein, maar juist op het snijvlak van IT en OT. En de impact blijft zelden beperkt tot één organisatie. In een wereld van digitale ecosystemen is de weerbaarheid van jouw organisatie onlosmakelijk verbonden met die van je leveranciers, partners en dienstverleners. 

IT en OT: één ecosysteem, gedeelde risico’s 

Operationele technologie (OT) – zoals PLC’s, SCADA-systemen en industriële installaties – werd lange tijd als ‘veilig’ beschouwd, simpelweg omdat het fysiek gescheiden was van IT. Maar die tijd is voorbij. Digitalisering, IoT en remote beheer hebben OT-omgevingen steeds vaker verbonden met IT-netwerken en zelfs met het internet. Daarmee ontstaan nieuwe aanvalsvectoren. 

Waar IT vaak beschikt over segmentatie, monitoring en patchmanagement, zien we in OT-omgevingen nog veel legacy-systemen, zwakke authenticatie en beperkt zicht op toegangsrechten. Combineer dat met de hoge beschikbaarheidseisen van OT (stilstand = directe schade), en je hebt een aantrekkelijk doelwit voor cybercriminelen. 

Drie praktijkvoorbeelden: IT-lek, OT-impact 

• Colonial Pipeline (2021): Een gecompromitteerd VPN-account leidde tot een ransomware-aanval in de IT-omgeving. Hoewel de OT omgeving niet direct geraakt werd, werd uit voorzorg het hele operationele systeem stilgelegd. Gevolg: brandstoftekorten en enorme economische schade. 
• Norsk Hydro (2019): Via phishing werd ransomware (LockerGoga) geïnstalleerd die IT-systemen versleutelde. Hierdoor viel ook de OT-aansturing uit. Productielocaties moesten overschakelen op handmatige bediening. De schade liep op tot meer dan €60 miljoen euro. 
• Triton (2017): Het uiteindelijke doel van deze aanval is nooit publiek vastgesteld maar het is hoogstwaarschijnlijk dat deze malware zich richtte op safety instrumented systems (SIS) in een petrochemische fabriek in het Midden Oosten. Via een geïnfecteerde werkplek kregen aanvallers toegang tot de Triconex-controllers, met als waarschijnlijke doel de failsafes uit te schakelen. 

De keten als aanvalsoppervlak 

Cyberaanvallen beginnen steeds vaker bij een derde partij. Denk aan: 

• SolarWinds (2020) – SolarWinds zelf werd in 2020 gehackt via een aanval op hun Orion software. De aanvallers injecteerde malware (Sunburst) in een legitieme software-update van het SolarWinds Orion platform. Via deze gecompromitteerde software-update kregen aanvallers toegang tot duizenden netwerken van klanten van SolarWinds, waaronder Microsoft en tientallen Nederlandse klanten. 
• Kaseya (2021) – Een aanval op een IT-beheertool, de VSA-sofware van Kaseya leidde tot besmetting van duizenden klanten wereldwijd. 
• Third-party VPN – In mijn eigen onderzoeken bleek een oud, ongebruikt leveranciersaccount het toegangspunt voor ransomware. 

In al deze gevallen lag het lek niet bij het slachtoffer zelf, maar bij een partij in de keten. Vijf maatregelen voor ketenbrede weerbaarheid 

1. Breng OT-assets in kaart: Zonder inzicht geen grip. Start met een actuele asset inventory, inclusief netwerkkaarten en protocolanalyse. 
2. Pas Zero Trust toe – ook op OT: Vertrouw geen enkele verbinding standaard. Segmenteer netwerken, authenticatie op alle lagen, en voorkom laterale bewegingen van IT naar OT. 
3. Evalueer ketenrisico’s structureel: Neem leveranciers op in je risicoanalyse. Vraag naar hun securitymaatregelen, audits en incidenthistorie. Leg afspraken contractueel vast. 
4. Oefen ketenbrede scenario’s: Simuleer incidenten waarbij een leverancier uitvalt of een aanval zich via de keten verspreidt. Test detectie, respons en communicatie. 
5. Deel kennis actief: Threat intelligence moet gedeeld worden – binnen sectorverbanden, met leveranciers en via ISACs. Aanvallers werken samen, wij ook. 

Tot slot: cybersecurity is een gezamenlijke verantwoordelijkheid 

De grenzen tussen IT en OT vervagen. Net als de grenzen tussen intern en extern. Continuïteit is alleen te waarborgen als je als organisatie deelneemt aan een veilig ecosysteem. Dat vraagt om onderbouwd vertrouwen, transparantie en samenwerking. 

Cybersecurity is allang geen puur technisch vraagstuk meer. Het is strategisch, tactisch én operationeel. En het raakt iedereen in de keten.