Blauwe overalls en grijze pakken: Marcel Jutte over OT-security

OT-systemen vormen de basis van veel vitale processen, van chemie tot waterzuivering. Dat vraagt om een andere benadering dan IT-security, aldus Marcel Jutte, die al 35 jaar werkzaam is in het OT-domein.
Toch schuiven OT en IT steeds dichter tegen elkaar aan. Systemen worden met elkaar verbonden en raken onderling afhankelijk. En juist daardoor vallen de verschillen in cultuur, risico en tempo meer op.

“Het zomaar patchen, wat we eigenlijk liefst altijd snel willen met je Microsoft PC, moet je in OT zeker niet zomaar doen.
– Marcel Jutte

De blauwe overall vs. het grijze pak

Volgens Marcel worden de mensen in overall, de OT’ers genoemd en de IT’ers die zitten op kantoor. Dat klinkt misschien zwart-wit, maar het verschil tussen deze twee werelden zit diep en dat botst wel eens.

Zo is het in de IT-wereld vanzelfsprekend om een kwetsbaarheid snel te patchen. Je voert de update door, en klaar. Maar probeer dat eens te doen in een draaiende fabriek zonder dat je proces stilvalt. Want in een OT-omgeving draait alles om continuïteit en is het fysieke proces leidend, dan is er vaak geen tijd of mogelijkheid om een proces stil te leggen. Denk bijvoorbeeld aan een turbine die voortdurend blijft draaien of een waterleiding die constant onder druk staat. “Even een pentest doen tijdens een draaiende installatie? Dat kan je serieus in de problemen brengen,” zegt Marcel.

Updates of pentest kunnen dus niet zomaar worden uitgevoerd, niet terwijl die systemen actief zijn. Daarom vragen zulke wijzigingen om meer voorbereiding en afstemming tussen deze werelden. Daarnaast zijn veel OT-systemen verouderd en onderling afhankelijk van elkaar, wat het niet makkelijker maakt.

Zicht op je eigen omgeving: weet wat je in huis hebt of denkt te hebben

In veel organisaties ontbreekt een actueel en compleet overzicht van de eigen OT-omgeving. Welke systemen draaien er, hoe oud zijn ze, hoe zijn ze met elkaar verbonden, en in welke staat verkeren ze? Dat dit overzicht ontbreekt komt deels doordat OT jarenlang technisch beheerd werd, zonder dat veranderingen structureel werden vastgelegd.

Tegelijkertijd gaat het om systemen die soms al decennialang meegaan. Op sommige installaties hangen briefjes met de waarschuwing om ze vooral niet uit te zetten, omdat niemand zeker weet of ze daarna nog opstarten.
De enige persoon die dat wist, is soms al met pensioen. De kennis over deze infrastructuur verdwijnt langzaam uit de organisatie, en daarmee ook het vermogen om verantwoord te beheren of te moderniseren.

“Soms hangen er briefjes op installaties: ‘niet uitzetten’. Omdat niemand weet of het daarna weer opstart. Of omdat de enige persoon die dat wist, met pensioen is.”
-Marcel Jutte

Standaarden als houvast, maar geen doel op zich

Wie techniek en beleid bij elkaar wil brengen, heeft iets nodig om op te bouwen. Standaarden kunnen daarbij helpen, als ze aansluiten op wat er werkelijk gebeurt. De IEC 62443 normenreeks biedt daarvoor een stevig internationaal kader. Ook de Cyber Security Implementatie Richtlijn (CSIR) van Rijkswaterstaat, is inmiddels grotendeels overgenomen door waterschappen en provincies en helpt om verantwoordelijkheden en processen gestructureerd aan te pakken.

Dat deze standaarden steeds breder worden toegepast, is geen toeval. Door de komst van strengere wet- en regelgeving, zoals de NIS2 richtlijn of de Cyber Resilience Act wordt het onderwerp OT-security steeds relevanter. Deze verplichtingen dwingen organisaties om met het onderwerp aan de slag te gaan.

Standaarden, richtlijnen en regels geven richting, maar bepalen niet het succes. Daarvoor zijn mensen nodig die elkaar begrijpen, kennis durven te delen en samen de risico’s willen overzien.

“We hebben te maken met andere werelden. En als die elkaar niet begrijpen, dan gebeurt er niks.”
-Marcel Jutte

Er kan maar één kapitein op het schip zijn, en dat is de CISO

De verantwoordelijkheid voor OT-security schuift in de praktijk nog weleens van de ene afdeling naar de andere. Soms ligt die bij een technisch beheerder of iemand uit de onderhoudsploeg, terwijl anderen denken dat de verantwoordelijkheid juist hoger in de organisatie ligt. Daardoor ontstaat er onduidelijkheid en gaat de besluitvorming traag of raakt deze versnipperd.

Idealiter is de CISO verantwoordelijk, maar dan moet die wél begrijpen dat OT een andere benadering vraagt dan IT. Het is logisch dat niet één persoon alles weet, maar de juiste expertise moet wel beschikbaar zijn binnen het team of actief worden betrokken via het netwerk. Tegelijkertijd is heldere sturing nodig: iemand die de regie neemt, beslissingen durft te nemen en signalen uit de operatie serieus oppakt.

Omdat OT en IT steeds meer met elkaar verweven raken, verschuift ook de verantwoordelijkheid van de CISO. Die gaat al verder dan compliance en risicobeheersing, en vraagt óók om inzicht en kennis van operationele technologie, tot op zekere hoogte. Dat betekent niet dat je alles zelf hoeft te weten, maar wel dat je de juiste vragen stelt, de juiste mensen betrekt en zorgt voor verbinding tussen afdelingen en werelden.