Van filosofie naar praktijk: zo pakt Siemens OT-security aan

“In de OT-wereld zijn we gewend om security vooral te baseren op basis van fysieke beveiliging, aangevuld met netwerksegmentatie,” vertelt Ivo van Nimwegen, CISO bij Siemens. “Maar met de toenemende connectiviteit en digitalisering is dat niet meer voldoende. We bewegen nu naar een Zero Trust-model, waarbij identiteit en authenticatie centraal staan – ook in de fabriek.”

In een eerder artikel bespraken we hoe OT-security past in de bredere uitdagingen van de maakindustrie. Nu zoomen we in op de technische en organisatorische aanpak: hoe implementeer je security in een omgeving waar beschikbaarheid cruciaal is en systemen soms decennia meegaan?

We spreken hierover met drie experts van Siemens. Ivo van Nimwegen is als CISO verantwoordelijk voor zowel IT- als OT-security. Ruud Welschen implementeert als Consultant Industrial Cybersecurity oplossingen bij klanten. En Nienke Vergeer kijkt als Digital Innovation Manager naar de integratie van security in nieuwe ontwikkelingen.

Geïntegreerde governance voor IT en OT

“De discussie over aparte governance voor OT-security is niet productief,” stelt Ivo. “Natuurlijk heb je specialistische kennis nodig voor OT, maar uiteindelijk wil je als CISO overzicht hebben over al je risico’s. Zodra je IT en OT splitst, creëer je blinde vlekken.”

Deze geïntegreerde aanpak vertaalt zich bij Siemens in een security framework dat beide domeinen omvat. “Waar we voor IT ISO 27001 gebruiken, is voor OT de IEC 62443 leidend,” legt Ruud uit. “Deze frameworks vullen elkaar aan. De principes zijn hetzelfde – denk aan asset management, toegangscontrole, incident response – maar de implementatie verschilt per domein.”

Van compliance naar risk-based security

“NIS2 heeft OT-security op de kaart gezet, maar het gaat veel verder dan compliance,” benadrukt Ruud. “We zien bij onze klanten dat de echte driver digitalisering is. Bedrijven willen hun productiedata gebruiken, remote maintenance mogelijk maken, hun supply chain integreren. Dan moet je security vanaf het begin meenemen, want het achteraf realiseren van security is echt heel veel duurder.”

Siemens hanteert hiervoor een risk-based aanpak. “We kijken eerst naar de business impact,” legt Ivo uit. “In IT gaat het vooral om data en privacy. In OT praat je over productiestilstand, veiligheid, milieuschade. Die risico’s bepalen je security-eisen.”

Praktische implementatie in brownfield omgevingen

De grootste uitdaging zit in bestaande installaties. “We hebben installaties in Nederland die meer dan 40 jaar oud zijn,” vertelt Ruud. “Die kun je niet zomaar upgraden of vervangen. Daarom werken we met een gelaagde aanpak.”

Deze aanpak bestaat uit verschillende niveaus:

• Netwerksegmentatie als basis
• Monitoring en detectie op netwerkniveau
• Security voor nieuwe componenten en systemen
• Geleidelijke upgrade van legacy systemen waar mogelijk

“OT wordt vaak gebruikt als een containerbegrip. Dat klopt natuurlijk niet. Er zit een hoop IT in een OT omgeving: Een oude PLC kun je misschien niet patchen,” vult Ivo aan, “maar de netwerkomgeving eromheen, de DMZ, de domain controllers, jump hosts, etc. – die kun je wel beveiligen. Zo bouw je ring voor ring je defense in depth op.”

De shift naar Zero Trust in OT

Siemens zet vol in op Zero Trust, ook in OT-omgevingen. “De traditionele perimeter-based security werkt niet meer,” stelt Ivo. “Met Industrial Internet of Things, cloud-integratie en remote access heb je geen duidelijke perimeter. Daarom gaan we naar een model waarbij elk device, elke gebruiker, elke applicatie zich moet authenticeren.”

Dit vereist wel een andere architectuur. “We bouwen nu identity-aware netwerken,” legt Ruud uit. “Elk industrieel component krijgt een identiteit, certificaten worden automatisch beheerd, en toegang wordt continu geverifieerd. Maar wel op een manier die past bij OT – zonder de beschikbaarheid in gevaar te brengen.”

Security Operations voor OT

“Het grote verschil met IT zit in operations,” vertelt Ruud. “In IT draai je patches, in OT moet je eerst impact analysis doen. In IT heb je automated response, in OT wil je menselijke verificatie. Je monitoring moet anders ingericht worden, je incident response is anders.”

“Siemens heeft daarom een dedicated OT Security Operations Center. “We gebruiken IT security tools als basis,” zegt Ivo, “maar de processen, de mensen, de responses – die zijn specifiek voor OT. Je moet beide werelden begrijpen om dit effectief te maken. Neem bijvoorbeeld asset beheer en vulnerability management. Als je dat op een klassieke IT-manier probeert te doen, word je overspoeld door meldingen. Het is de kunst om zuiver te kunnen focussen op de prioritaire zaken en van reactief naar proactief te gaan, waarbij je gecontroleerd besluit op basis van risico’s.”

De weg vooruit

Voor bedrijven die hun OT-security willen verbeteren, heeft Siemens een aantal concrete aanbevelingen:

1. Begin met een IEC 62443 assessment om je huidige situatie te bepalen
2. Implementeer monitoring voordat je changes doorvoert
3. Focus eerst op netwerksegmentatie en -visibility
4. Bouw geleidelijk je identity management op
5. Investeer in OT-specifieke security kennis en processen

“Het belangrijkste is dat je een langetermijnvisie hebt,” sluit Ruud af. “Je kunt niet in één keer naar Zero Trust. Maar elke stap die je zet, moet wel in die richting wijzen. Zo bouw je stap voor stap een veilige, toekomstbestendige OT-omgeving.”