De markt voor ot-security groeit snel, maar is versnipperd en complex. Welke soorten problemen zijn er? Welke partijen bieden oplossingen? En hoe vindt een beheerder van ot-installaties zijn of haar weg in dit landschap? Kiezen voor standaarden in plaats van producten zal helpen.
Tekst: Robbert Hoeffnagel Beeld: ENVATO
Operational technology (ot) vormt het digitale zenuwstelsel van industriële processen, infrastructuur en moderne gebouwen. Van gebouwbeheersystemen en energievoorzieningen tot bruggen, tunnels en productielijnen: waar fysieke processen worden aangestuurd door software en netwerken, is ot aanwezig. Tegelijk groeit de aandacht voor ot-security. Incidenten laten zien dat kwetsbaarheden in deze omgevingen niet alleen datalekken veroorzaken, maar ook fysieke schade, veiligheidsrisico’s en langdurige uitval. Uitdagingen rond ot-security zijn grotendeels structureel van aard en komen in vrijwel elke sector terug. Er zijn globaal zes soorten uitdagingen.
- Allereerst speelt de lange levensduur van ot-systemen een rol. Programmable logic controllers (plc’s) en industriële controllers gaan vaak twintig tot dertig jaar mee, met firmware die nooit is ontworpen voor hedendaagse dreigingen. Patches zijn schaars (een keer per half jaar is geen uitzondering) of ontbreken volledig.
- Daarnaast is er de historische scheiding tussen it en ot. Ot-engineers zijn gericht op continuïteit en veiligheid van processen, terwijl it-securityteams focussen op beleid, logging en updates. Die cultuurkloof leidt regelmatig tot onvolledige risico-analyses.
- Een derde categorie is het principe dat beschikbaarheid nog vaak boven veiligheid gaat. In veel ot- omgevingen is stilstand duurder dan het risico op een cyberincident. Althans, dat was vaak de houding die bedrijven aannamen. Maatregelen die downtime of latency veroorzaken, worden daarom uitgesteld of vermeden. Daar komt bij dat ot-omgevingen complex en heterogeen zijn: uiteenlopende protocollen zoals Modbus, OPC-UA en DNP3, vaak van verschillende generaties en leveranciers, maken uniforme beveiliging lastig.
- Ook supply chain-risico’s spelen een grote rol. Veel ot-componenten bevatten firmware van derden, soms met vaste wachtwoorden en maken gebruik van niet direct zichtbare services op de achtergrond. Kwetsbaarheden worden daardoor soms pas ontdekt als systemen al jaren in productie zijn.
- Verder ontbreekt het in veel omgevingen aan zichtbaarheid en monitoring. Traditionele it-securitytools begrijpen ot-protocollen niet of onvoldoende, waardoor afwijkend gedrag onopgemerkt blijft.
- Ten slotte zijn er regelgeving-druk en resource-beperkingen. Standaarden als IEC 62443 en NIST SP 800-82 zijn breed geaccepteerd, maar lastig te vertalen naar concrete maatregelen. Tegelijk is er een tekort aan professionals die zowel ot-kennis als cybersecurity-expertise combineren.
Een markt met duidelijke segmenten
Deze probleemcategorieën hebben geleid tot een markt die is opgedeeld in vier segmenten:
A
Een eerste groep bestaat uit asset-discovery en visibility-specialisten. Zij leveren tools die passief ot-netwerken analyseren en inzicht geven in apparaten, firmwareversies en communicatiepatronen. Zonder deze basis is verdere beveiliging nauwelijks mogelijk.
B
Een tweede groep richt zich op netwerksegmentatie en perimeterbeveiliging. Industriële firewalls, datadiodes en secure gateways scheiden ot-netwerken van it en externe verbindingen, met gecontroleerde en gelogde toegang. Dit segment wordt deels bediend door klassieke it-securityleveranciers, maar ook door partijen met een meer industriële achtergrond.
C
Daarnaast is er een groeiende markt voor ot-specifieke monitoring en detectie. Deze oplossingen herkennen afwijkingen in industriële protocollen en procesgedrag, in plaats van alleen bekende malware-signaturen. Ze worden vaak gekoppeld aan soc-diensten.
D
Een vierde categorie bestaat uit governance-, risk- en compliance-specialisten. Zij helpen organisaties bij risico-analyses, maturity-assessments en het implementeren van normen als IEC 62443. Dit zijn vaak adviseurs, soms voortgekomen uit de it-securitywereld, soms uit industriële engineering.
Specialisatie en schaalvergroting
De dynamiek in de ot-securitymarkt laat twee parallelle bewegingen zien: verdere specialisatie en schaalvergroting. Enerzijds ontstaan niche-spelers die zich toeleggen op één onderdeel, zoals protocol-analyse of veilige remote access voor onderhoudspartijen. Anderzijds breiden grote it-securityleveranciers hun portfolio uit met ot-functionaliteit, vaak via overnames. Marktanalyses van onder meer MarketsandMarkets en Grand View Research laten zien dat deze consolidatie de komende jaren doorzet, aangejaagd door de vraag naar geïntegreerde platforms en ondersteuning in meerdere landen en regio’s.
Peter Roelofsma van het Cyber Security Living Lab CSyLL in Zoetermeer ziet die ontwikkeling dagelijks terug. ‘Organisaties worstelen met losse oplossingen’, zegt hij. ‘Er is behoefte aan samenhang: zichtbaarheid, segmentatie en monitoring moeten op elkaar aansluiten, maar wel met respect voor de specifieke ot-context.’ CSyLL leidt zowel hbo- als mbo-studenten op en doet samen met partners onderzoek op het gebied van risicomanagement en cybersecurity in zowel it- als ot-omgevingen.
‘Initiatieven rond open standaarden en open source, benadrukken het belang van bouwen op standaarden in plaats van gesloten producten’
Amerikaanse dominantie, Europese accenten
Net als in it-security spelen Amerikaanse leveranciers een hoofdrol. Veel grote platforms en detectietools komen uit de VS, mede dankzij schaalvoordelen en een volwassen investeringsklimaat. Tegelijk is in Europa een tegenbeweging ontstaan die wordt gevoed door zorgen over digitale soevereiniteit, regelgeving en afhankelijkheid. Initiatieven rond open standaarden en open source, denk aan Clouds of Europe, benadrukken het belang van bouwen op standaarden in plaats van gesloten producten. Dat klinkt logisch, maar gebeurt in de praktijk vaak nog niet. In ot kiest men vaak een bij de situatie passend product van een leverancier, terwijl men daarmee al gauw ‘opgesloten’ raakt in de oplossingen van die ene aanbieder. Overstappen naar een andere partij wordt dan erg lastig. Door te kiezen voor standaarden en vervolgens daarbij passende producten te selecteren, kan men deze vendor lock-in voorkomen.
Volgens Roelofsma zijn er kansen: ‘In Europa zie je relatief veel kennis rond industriële automatisering en infrastructuur. Die combinatie van ot-domeinkennis en security is precies waar de markt naartoe beweegt.’ Europese spelers profileren zich vaker als specialist of system integrator, die oplossingen combineren en afstemmen op lokale regelgeving en specifieke branches.
It-roots of industriële achtergrond?
Opvallend is dat ot-securityleveranciers vaak uit twee verschillende werelden komen. Een deel is voortgekomen uit de it-securityindustrie en past bestaande technologie aan voor ot-omgevingen. Dat levert schaal en volwassen tooling op, maar soms ook frictie met de eisen van industriële processen. Een ander deel komt juist uit de industriële en installatiewereld: systeemintegratoren, gebouwautomatiseringsspecialisten en industriële dienstverleners die security toevoegen aan hun bestaande portfolio. Zij kennen de installaties en processen goed, maar moeten vaak investeren in security-expertise en tooling.
In de praktijk werken deze werelden steeds vaker samen. Roelofsma: ‘De meest effectieve aanpak ontstaat wanneer installateurs, ot-engineers en securityspecialisten gezamenlijk verantwoordelijkheid nemen. Security wordt dan geen add-on, maar integraal onderdeel van ontwerp en beheer.’
Wegwijzer voor ot-beheerders
Voor beheerders van gebouwen en (industriële) infrastructuur met ot-installaties is de markt niet eenvoudig te doorgronden. Een logische eerste stap is het opbouwen van een volledige asset-inventaris. Zonder inzicht in wat er binnen de eigen organisaties in gebruik is, is elke securitymaatregel symptoombestrijding. Vervolgens is netwerksegmentatie essentieel: scheiding tussen it en ot, met gecontroleerde koppelingen voor beheer en data-uitwisseling.
‘Ot-security is geen product dat je koopt, maar een traject dat je organiseert op basis van een weldoordachte risico-analyse’
Daarna komt monitoring op maat. Kies oplossingen die ot-protocollen begrijpen en passief werken, zodat processen niet worden verstoord. Tegelijk is het verstandig om regelmatige risico-assessments uit te voeren, bijvoorbeeld langs de lijnen van IEC 62443, en bevindingen te vertalen naar een meerjarenplan.
Tot slot vraagt ot-security om organisatie en cultuur. Training van ot-engineers in de basisprincipes van cybersecurity en omgekeerd begrip bij it-teams voor industriële processen verkleint de kloof. Roelofsma vat het samen: ‘Ot-security is geen product dat je koopt, maar een traject dat je organiseert op basis van een weldoordachte risico-analyse. Wie dat beseft, kan ook in deze complexe markt gefundeerde keuzes maken.’
Conclusie
De ot-securitymarkt weerspiegelt de complexiteit van de omgevingen die zij moet beschermen. Structurele technische uitdagingen, een divers landschap aan aanbieders en een spanningsveld tussen specialisatie en schaal maken het speelveld onoverzichtelijk. Amerikaanse leveranciers domineren in volume, maar Europese partijen brengen veel domeinkennis en integratievermogen in.
Voor beheerders ligt de sleutel tot succes in inzicht, gefaseerde verbetering en samenwerking. Niet door blind te kiezen voor één oplossing of product, maar door ot-security te benaderen als een samenhangend onderdeel van het beheer van kritieke systemen.
