De industrie heeft grotere zorgen dan cybersecurity (maar kan er niet omheen)

DoorMichelle Wols

“Stel je voor: je hebt €200.000 om te investeren in je fabriek. Stop je dat in energiemanagement, wat direct kostenbesparingen oplevert? In efficiency tools die je productiviteit verhogen? In extra machines voor meer productievolume? Deze afweging is voor veel productiebedrijven al complex. En dan komt security er ook nog bij,” vertelt Nienke Vergeer van Siemens. “Maar als je de basis van je digitalisering op orde hebt, inclusief security, dan heb je een sterke business case voor al die andere investeringen.”

Over OT-security wordt vooral sinds de introductie van NIS2 veel gesproken. Om daar meer inzicht in te krijgen spraken we met drie experts van Siemens over de toekomst van de maakindustrie, en de rol die daarin voor security is weggelegd. Nienke kijkt als Digital Innovation Manager naar de ontwikkelingen in de industrie. Ruud Welschen is Consultant Industrial Cybersecurity en Ivo van Nimwegen overziet als CISO de security-maatregelen binnen Siemens.

De maakindustrie staat voor existentiële uitdagingen

“We zijn de meest vergrijsde branche van Nederland,” vertelt Nienke. “Er gaat straks heel veel kennis verloren. Er beginnen nu al bedrijven echt in de puree te raken.” Met een groeiende vraag naar producten en steeds minder mensen om het werk te doen, staan bedrijven voor een grote uitdaging. 

Daarnaast moeten ze verduurzamen, energiekosten beheersen en voldoen aan steeds strengere milieueisen. Digitalisering lijkt de oplossing voor veel van deze problemen. “Maar dan wordt security een voorwaarde om te kunnen innoveren,” legt Nienke uit. “Zonder digitalisering geen industrie, en zonder security geen digitalisering.”

Een cultuurverandering is nodig

“De implementatie van OT-security vraagt om een cultuurverandering in de industrie,” vertelt Ruud. “We hebben decennia lang geprobeerd om dat bottom-up voor elkaar te krijgen, door security bij het middelmanagement neer te leggen. Maar zonder mandaat en budget gebeurt er weinig. De managers denken vaak: ik moet waarschijnlijk iets doen met security, maar niemand vertelt me wat precies en wanneer het goed genoeg is. Zonder duidelijke richting en verantwoordelijkheden gebeurt er dan niks.”

“De enige methode die werkt, is top-down,” vervolgt Ruud. “Het management moet de richting bepalen, budgetten vrijmaken en mensen verantwoordelijk maken.” De industrie staat wel open voor deze verandering, maar zoekt naar concrete handvatten. “Er is geen sprake van onwil,” legt Ruud uit. “Bedrijven zijn vooral zoekende: hoe pak je security op de juiste manier aan? En wanneer is je security-niveau goed genoeg?”

Om bedrijven hierbij te helpen, heeft Siemens verschillende handreikingen ontwikkeld. “We willen daarmee de industrie verder helpen en volwassener maken op het gebied van security,” vertelt Ruud. “We stellen bijvoorbeeld blueprints beschikbaar met duidelijke handleidingen over hoe je OT-security kunt aanpakken. Niet als one-size-fits-all oplossing, maar als startpunt voor bedrijven om hun eigen security-aanpak te ontwikkelen.”

Van geïsoleerd systeem naar verbonden omgeving

De traditionele aanpak in de industrie was simpel: houd systemen geïsoleerd. “OT is toch een beetje verstopt geweest,” legt Ivo uit. “Dat is op zich ook logisch. Het was meer in een afgescheiden omgeving, niet echt verbonden met extern, waardoor de risico’s ook beperkt waren.”

Maar die situatie is niet meer houdbaar. Er wordt steeds meer connectiviteit gevraagd binnen OT-omgevingen. “Dat is binnen een OT-omgeving een uitdaging,” waarschuwt Ivo. “De kennis die daar aanwezig is, is beperkt. Je ziet dat daar situaties gaan ontstaan die niet veilig zijn. Dingen die aan elkaar geknoopt worden wat vanuit functionaliteit een oogpunt heel goed lijkt te zijn.”

Een markt in beweging

“Als je naar bedrijfskundige ontwikkelingen kijkt, wordt het interessant,” vertelt Nienke. “Neem bijvoorbeeld machinebouwers. Van origine hebben zij elektrotechnici en werktuigbouwers in dienst. Hun kerncompetentie ligt niet in cybersecurity, maar nu zou je kunnen zien dat zij hun businessmodel gaan veranderen en security onderdeel wordt van hun propositie. In de praktijk blijkt echter dat security-eisen door gebruikers niet zuiver gesteld worden en machinebouwers moeite hebben dit goed aan te bieden.”

“Het is nog helemaal niet duidelijk wie hier de winnende partijen gaan zijn,” vervolgt ze. “Je hebt de traditionele IT-security bedrijven, de machinebouwers die hun diensten uitbreiden, maar ook nieuwe spelers die zich specifiek op OT-security richten. De requirements zijn nog niet uitgekristalliseerd, klanten weten vaak nog niet precies wat ze nodig hebben, en de uitdaging wordt extra complex door de enorme installed base aan verouderde systemen die nog overal in gebruik is.”

“Het is nog chaos,” vult Ruud aan. “Je hebt een hele vreemde concurrentiemarkt die misschien gaat ontstaan, afhankelijk van wie wat oppakt. De OT-security wereld is stiekem heel interessant omdat er nog heel weinig bepaald is.”

De weg vooruit: samenwerking als sleutel

“De oplossing ligt volgens de experts in samenwerking. “Security is samenwerken,” benadrukt Ruud. “Dat is IT en OT samen aan tafel zien te krijgen en uit te spreken: waar kunnen we elkaar vinden? Hoe kunnen we dingen wel voor elkaar krijgen?”

Siemens werkt bijvoorbeeld samen met solution partners, consultancybedrijven en brancheorganisaties om deze verandering te faciliteren. “Dit doen we zeker niet allemaal zelf,” zegt Ruud. “Want als je het probleem op heel korte termijn zou moeten tackelen, daar hebben we niet genoeg resources voor. In de hele markt niet. Bedrijven die te lang wachten om dit thema serieus in de organisatie te bespreken, zullen er straks achter komen dat er niemand meer tijd voor ze heeft. Het aantal mensen met kennis is erg beperkt in dit vakgebied.”

Hoe deze cultuurverandering in de praktijk vorm krijgt en welke concrete stappen bedrijven kunnen nemen om OT-security te implementeren, bespreken we in het volgende artikel.

Vergelijkbare berichten

Melanie Rieback urges a rethink of traditional business models in cybersecurity cover

Melanie Rieback urges a rethink of traditional business models in cybersecurity

DoorMichelle Wols

Dr. Melanie Rieback, CEO of Radically Open Security, advocates for “Post Growth Entrepreneurship” in cybersecurity, challenging traditional profit-driven models by implementing a not-for-profit structure and Steward Ownership to prioritize social impact over financial extraction.