Boek een kennismaking
Blog

IT vs OT Security: Waarom uw IT-team uw productiemachines niet kan beveiligen (en dat is geen kritiek)

Standaard IT-tools crashen uw PLC’s en veroorzaken stilstand. Ontdek waarom OT-security specialistische kennis vraagt en hoe u veilig blijft produceren.
Een technicus voert een OT-security audit uit op een PLC-schakelkast in een productieomgeving, waarbij hij een laptop gebruikt voor passieve monitoring zonder de operationele technologie te verstoren. Cyberplan Cybersecurity

U heeft een bekwaam IT-team. Ze houden uw servers veilig, uw e-mail draait, en beveiligingsupdates worden netjes uitgerold. Maar wanneer ze dezelfde aanpak toepassen op uw productiemachines, gaat het mis. Niet omdat ze incompetent zijn, maar omdat industriële beveiliging een compleet ander vak is.

De stilstand van een productielijn na een “standaard” kwetsbaarheidscan. Een PLC die crasht omdat iemand een Windows-update uitrolt. Een robotarm die onverwacht beweegt tijdens een netwerkscan. Dit zijn geen hypothetische scenario’s — dit gebeurt werkelijk wanneer IT-methoden blindelings worden toegepast op operationele technologie.

Laat ons uitleggen waarom OT-security (Operational Technology) zo fundamenteel verschilt van IT-security, en waarom gespecialiseerde expertise essentieel is om uw productie veilig én draaiend te houden.

Het verschil tussen kantoor en fabriek: IT versus OT

Uw IT-systemen draaien om data. Een gecrashte mailserver is vervelend, maar zelden levensgevaarlijk. Uw productiemachines daarentegen sturen fysieke processen aan: kleppen die opengaan, robots die bewegen, temperaturen die stijgen. Hier staat veiligheid van mensen en continuïteit van productie voorop.

In de IT-wereld hanteren we de CIA-triade: Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid). Een IT-beveiliger die malware detecteert, zet de geïnfecteerde server onmiddellijk offline — data beschermen gaat voor.

Op de productievloer geldt de omgekeerde prioriteit. Beschikbaarheid en veiligheid staan bovenaan. Een hoogoven kun je niet zomaar uitzetten omdat er een cyberdreiging is — dat risico op explosies of materiaal dat vast komt te zitten in leidingen is groter dan de cyberdreiging zelf. Het proces moet blijven draaien, zelfs als er een indringer op het netwerk zit, totdat een veilige shutdown mogelijk is.

Dit fundamentele verschil in prioriteiten verklaart waarom zoveel “best practices” uit de IT-handleiding op de werkvloer voor problemen zorgen.

Waarom patchen geen optie is (en wat wel werkt)

“Update uw systemen” is het mantra van elke IT-beveiliger. Maar in de productieomgeving stuit deze aanpak op harde muren:

24/7-processen kennen geen pauze. Een elektriciteitscentrale, waterzuivering of chemische fabriek kan niet zomaar even offline voor een update. Stilstand kost tienduizenden euro’s per uur. Onderhoudsmomenten worden maanden van tevoren gepland — die kritieke beveiligingspatch van vandaag kan operationeel gezien pas over zes maanden worden uitgerold.

Leveranciers dicteren het tempo. Uw productiemachines zijn vaak geleverd als geïntegreerd pakket (Siemens, Rockwell, ABB). De leverancier garandeert de werking alleen in een specifieke, geteste configuratie. Een Windows-update installeren zonder toestemming van de leverancier? Dan vervalt direct uw garantie en support. In gereguleerde sectoren zoals farmacie kan dit zelfs uw productlicentie kosten.

Legacy-systemen zijn de realiteit. Machines gaan 20 tot 30 jaar mee. Het is volkomen normaal om PLC’s aan te treffen die worden bestuurd door Windows XP of Windows 7 — systemen waarvoor Microsoft al jaren geen patches meer uitbrengt. De machine vervangen alleen om het besturingssysteem te upgraden? Bedrijfseconomisch onverantwoord zolang de machine mechanisch perfect functioneert.

De oplossing ligt niet in patchen, maar in compenserende maatregelen: netwerksegmentatie volgens het Purdue-model, virtual patching via beveiligingsapparatuur die de kwetsbaarheid blokkeert zonder de machine aan te raken, en strenge toegangscontrole.

De gevaren van standaard IT-tools op de werkvloer

Een voorbeeld uit de praktijk: een fabriek waar de IT-afdeling elke zaterdagochtend om 10:00 uur automatisch een kwetsbaarheidscan uitvoerde. Elke zaterdag om 10:00 uur viel dezelfde productielijn stil. Weken lang verving de technische dienst voedingen en sensoren, op zoek naar een fysiek defect. Tot bleek dat de IT-scanner de PLC overbelastte, wat leidde tot een veiligheidsstop.

Actieve netwerkscans zijn giftig voor OT. Tools zoals Nessus of Nmap sturen duizenden pakketten per seconde om apparaten te identificeren. Voor robuuste kantoor-hardware geen probleem. Voor een PLC met beperkte processorcapaciteit is dit een ramp:

  • De PLC raakt vol met verbindingen en kan niet meer communiceren met de besturing
  • Scan-verkeer wordt per ongeluk geïnterpreteerd als stuurcommando’s
  • Oudere PLC’s crashen door onverwachte netwerkpakketten

De gouden standaard in OT-beveiliging is passieve monitoring: netwerkverkeer wordt gekopieerd en geanalyseerd zonder dat er pakketten het netwerk opgestuurd worden. Gespecialiseerde software ontleedt de industriële protocollen en identificeert apparaten en kwetsbaarheden, zonder risico op productiestoring.

OT-security vraagt een andere aanpak

Operationele technologie beveiliging is geen uitbreiding van IT-security, maar een specialisme op zich. Het vereist kennis van industriële protocollen (Modbus, Profinet, OPC-UA), procesfysica en veiligheidssystemen.

Industriële protocollen zijn ‘insecure by design’. Ze stammen uit een tijdperk van vertrouwen en fysieke isolatie. Modbus TCP, het meest gebruikte industriële protocol, kent geen authenticatie — elke computer op het netwerk kan commando’s sturen naar een PLC, en de PLC zal gehoorzamen. Communicatie gebeurt in platte tekst, waardoor aanvallers exact kunnen leren hoe het proces werkt.

Een standaard IT-firewall begrijpt deze protocollen niet. Hij ziet dat verkeer naar poort 502 (Modbus) mag gaan, maar kan geen onderscheid maken tussen “lees temperatuur” en “stop machine”. Gespecialiseerde OT-firewalls doen aan protocol-specifieke inspectie en kunnen worden ingesteld om alleen specifieke commando’s toe te staan.

De culturele kloof is even belangrijk als de technische. IT-afdelingen zien verouderde systemen als risico’s die onmiddellijk geëlimineerd moeten worden. OT-personeel herinnert zich de keer dat een Windows-update de SCADA-server liet crashen en vertrouwt IT sindsdien niet meer. Hun motto: “If it ain’t broke, don’t fix it.”

Een gespecialiseerde OT-security partner begrijpt beide werelden. We spreken de taal van plant managers (“Dit beïnvloedt uw OEE niet”) én vertalen technische risico’s naar oplossingen die acceptabel zijn voor de werkvloer.

Regelgeving dwingt tot actie. De NIS2-richtlijn bestempelt veel industriële sectoren als essentieel, waarbij bestuurders persoonlijk aansprakelijk worden voor nalatigheid. Generieke IT-audits voldoen niet meer — u heeft pentests en audits nodig die specifiek zijn afgestemd op de gevoeligheden van operationele technologie.

De praktische stappen vooruit

Hoe brengt u structuur in uw OT-security zonder de productie te verstoren?

  1. Start met een OT-security audit. Weet waar u staat. Een gespecialiseerde audit brengt uw assets in kaart via passieve monitoring, identificeert kwetsbaarheden en geeft een realistisch plan met quick wins en langetermijnmaatregelen.
  2. Segmenteer uw netwerken rigoureus. Kantoornetwerk en productienetwerk moeten strikt gescheiden zijn volgens het Purdue-model. Data-uitwisseling (productieorders, rapportages) loopt via een gecontroleerde tussenzone (DMZ).
  3. Implementeer virtual patching. Plaats beveiligingsapparatuur vóór kwetsbare machines die exploits blokkeert zonder de machine zelf aan te raken — geen reboot, geen garantieverlies.
  4. Regel secure remote access voor leveranciers. Geen open RDP-poorten meer. Toegang is tijdelijk, gecontroleerd en gemonitord.
  5. Overleg tussen IT en OT. Creëer een overlegstructuur waarin beide afdelingen elkaar begrijpen en samen werken aan veiligheid én continuïteit.

De goede nieuwsflits: tot 45% van deze investeringen kan gesubsidieerd worden via de KMO-portefeuille. Cyberbeveiliging hoeft uw budget niet te slopen.

Veelgestelde vragen over OT-security

Wat is het verschil tussen IT-security en OT-security?

IT-security beschermt data en systemen zoals servers en laptops. OT-security beschermt machines en processen die de fysieke wereld aansturen — van productierobots tot energiecentrales. Het grote verschil: bij OT staat beschikbaarheid en veiligheid van mensen voorop, bij IT gaat het om vertrouwelijkheid van data.

Waarom kan ik mijn productiemachines niet gewoon patchen zoals mijn kantoor-computers?

Productiemachines draaien vaak 24/7 en kunnen niet zomaar offline voor updates. Bovendien eisen leveranciers dat u alleen gevalideerde patches installeert om de garantie te behouden. In gereguleerde sectoren kan een ongevalideerde patch uw productlicentie kosten. Daarom werken we met compenserende maatregelen zoals virtual patching.

Valt mijn bedrijf onder de NIS2-wetgeving voor OT-security?

NIS2 is van toepassing op essentiële en belangrijke entiteiten in sectoren zoals energie, vervoer, drinkwater, digitale infrastructuur, productie van kritieke producten en voedselproductie. Als u meer dan 50 werknemers of €10 miljoen omzet heeft én in zo’n sector actief bent, valt u waarschijnlijk onder NIS2. Een screening helpt u zekerheid te krijgen.

Kunnen netwerkscans mijn productie stilleggen?

Ja. Standaard IT-scantools kunnen PLC’s overbelasten, wat leidt tot communicatie-timeouts en veiligheidsstops. Daarom gebruiken OT-security specialisten passieve monitoring: we analyseren uw netwerkverkeer zonder pakketten terug te sturen, zodat uw productie ongestoord doorloopt.

Wat kost een OT-security audit?

Een OT-security audit start vanaf circa €4.700, waarbij tot 45% gesubsidieerd kan worden via de KMO-portefeuille. De investering weegt niet op tegen de kosten van één dag productiestilstand door een cyberincident — die lopen al snel in de tienduizenden euro’s.

Hoe combineer ik OT-security met mijn bestaande IT-beleid?

Het draait om samenwerking tussen IT en OT. We helpen bij het opzetten van een geïntegreerd beveiligingsbeleid dat de specialismen respecteert: IT beheert het kantoornetwerk volgens hun standaarden, OT-security borgt de productie met aangepaste maatregelen, en netwerksegmentatie zorgt dat beide werelden veilig met elkaar communiceren.

Op beide oren slapen, zonder productiestilstand

Uw IT-team doet uitstekend werk waar ze voor zijn opgeleid: het kantoornetwerk beveiligen. Maar operationele technologie is een ander speelveld met andere spelregels. Machines die 24/7 draaien, systemen uit de jaren ’90, protocollen zonder authenticatie — dit vraagt gespecialiseerde kennis.

Cyberplan combineert cybersecurity-expertise met begrip voor de realiteit van de productievloer. We voeren OT-audits uit zonder uw productie te verstoren, implementeren netwerksegmentatie volgens industriestandaarden en adviseren over NIS2-compliance voor uw operationele technologie.

Wilt u weten waar uw OT-security staat? Boek een vrijblijvend kennismakingsgesprek. We bekijken samen uw situatie en vertalen dit naar concrete, haalbare stappen — zonder jargon, zonder productiestilstand.