Wat is OT? en ben jij al bewust van jouw omgeving?

De security van OT staat vaker hoog op de agenda van ondernemingen. Daarover vertellen Maarten Werff en Eddie Steenbergen van Conscia. Ze staan ook stil bij het verschil tussen IT en OT.

Definitie – wat en waar

OT wat is dat? Maarten: “Er zijn veel definities, maar voor mij zijn het primair systemen waar je niet direct applicaties op kan installeren. Het is niet een operating system dat vrij toegankelijk is. OT heeft ook betrekking op componenten met een functie in een productieproces, medische omgeving of een gebouwbeheersysteem, maar dan ga ik al de breedte in.”

OT heeft als kenmerk dat het overal aanwezig zegt Eddie “Zoals Maarten zei kom je het in productieprocessen, fabrieken en manufacturing tegen en in healthcare. Transport is ook een omgeving met veel OT. Hoewel het soort organisaties sterk verschilt hebben ze een ding gemeen. OT is er voor de primaire processen en is daarmee per definitie mission critical.”

Awareness

Na deze uitleg volgt de vraag of het klopt dat OT meer in de belangstelling staat dan voorheen. “Er wordt absoluut meer naar OT gekeken,” antwoordt Maarten. “In alle landen waar Conscia actief is, dus ook Nederland zien we het een hoge plek op de agenda innemen. De reden daarvoor is heel simpel awareness. Directies en CISO’s realiseren zich dat ze tot nu toe vooral naar de IT hebben gekeken als het gaat om security. OT viel buiten de scope. Die bewustwording wordt verder verstrekt door NIS2.”

Eddie: “OT was voorheen strikt gescheiden, voor zowel techniek als de mensen, van IT. Dat is een gepasseerd station. Vendoren van OT willen remote toegang hebben en daar heb je IT voor nodig, maar ook de gebruikers zelf sturen aan op koppelingen. Als je OT met IT verbindt dan moet je wel weten hoe dat veilig gaat.”

Maarten en Eddie vertellen dat het tot voor kort gebruikelijk was dat IT en OT gescheiden domeinen waren. OT faciliteerde primaire processen en die moeten het gewoon altijd doen. Security was onderschikt aan continuïteit en dat was ook logisch zolang er koppeling met IT was. Maarten: “Nu komt die koppeling veel vaker voor en dan blijkt dat het gehele OT domein onzichtbaar is voor IT. Standaard IT-tooling herkent namelijk vaak de OT-assets niet.”

Rol van Conscia

Daarmee is het bruggetje naar de volgende vraag geslagen, wat is de rol van Conscia bij het proces om OT veiliger te maken? Eddie: “We zijn de brug tussen OT en IT. Het begint er mee dat we zichtbaar en inzichtelijk maken wat er bij de klant staat aan OT en IT. Als dat bekend is kunnen we overgaan tot segmenteren of zoneren. Dan heb ik het niet over microsegmentatie zoals binnen IT, maar je zoneert een proces of een productielijn. Daarmee voorkom je dat als een keer wat gebeurt op zo’n omgeving niet het complete productieproces plat ligt, maar een klein gebied. Dat zijn trajecten die meerdere maanden duren, vooral het inzichtelijk maken. Als je eenmaal het overzicht hebt wordt het een continue proces van monitoring. Fixen gebeurt op een realistische 1manier volgens een draaiboek dat draagvlak heeft bij de klant. Het is OT, je kunt niet zoals bij IT zomaar iets uitzetten en vervangen.”

Managed dienstverlening

 

Wat Conscia doet is dus wezenlijk meer dan ter plekke een omgeving in kaart brengen. Naast het fixen van kwetsbaarheden speelt monitoring een belangrijke rol. Maarten: “Steeds meer dat klanten, waarvoor we al SOC managed dienstverlening verrichten voor het IT deel met endpoints, identities en netwerkcomponenten, willen OT toevoegen aan het detectieframework. Dat is net zo logisch als wenselijk met het oog op de security en continuïteit.”

Verschillende belangen

Beiden benadrukken dat IT en OT weliswaar vaker gekoppeld zijn, maar dat het twee totaal verschillende protocollen zijn die elk een aparte benadering vereisen. Eddie: “De aanpak van Conscia is daarop gebaseerd. We weten dat bij een opdrachtgever verschillende belangen spelen.”

Kenmerkend voor dat laatste is wellicht ook dat men niet meer met alleen de CISO aan tafel zit. Het is tegenwoordig gebruikelijk dat ook de CFO, Legal, Risk Management en zelfs facilities aanschuiven. Eddie: “Dat is goed, want het gaat over security, dus je moet de hele organisatie informeren, erbij betrekken en tegelijk weten wat er leeft. Soms moeten we op eieren lopen en diplomatiek zijn omdat afdelingen en personen verschillende belangen hebben.”

Gemeenschappelijk belang

“Mission critical processen bepalen waar een organisatie geld mee verdient. Dat is het belangrijkste. Daarom durf ik de stelling aan dat iedereen binnen een organisatie, ongeacht zijn positie en rol, er uiteindelijk beter van wordt als OT security hoog op de agenda staat en permament de aandacht krijgt die nodig is,” zegt Maarten: “Er is dus een gemeenschappelijk belang en Conscia helpt dat te realiseren.”

Maarten Werff
Eddie Steenbergen