Operationele technologie (OT) vormt het zenuwstelsel van Nederlandse kritieke infrastructuur: hoogspanningsnetten, drinkwaterketens, sluizen, havens, railknooppunten en farmaceutische productielijnen vertrouwen allemaal op industriële besturingssystemen die fysieke processen in real time sturen. In tegenstelling tot klassieke IT-omgevingen zijn deze systemen ontworpen rond betrouwbaarheid, deterministische communicatie en veiligheid van mens en milieu. Ze draaien vaak op hardware en software met een levensduur van decennia, gebruiken protocollen zonder authenticatie en zijn gekoppeld aan apparaten die niet zomaar kunnen worden uitgeschakeld voor een patchronde. Toch worden dezelfde installaties versneld verbonden met analytics-platformen, remote support en cloudgestuurde voorspellende onderhoudsdiensten om energiebesparing, productie-efficiëntie en ketentransparantie mogelijk te maken.
Deze convergentie verbreekt het historische luchtgatenmodel en maakt OT kwetsbaar voor dezelfde dreigingen die de afgelopen jaren de kantoor-IT hebben ontwricht. Ransomware kan tegenwoordig engineeringstations versleutelen en Operator Interfaces blokkeren, supply-chain-aanvallen kunnen firmware van PLC's besmetten en statelijke actoren zijn bereid om industrieel spionage- of verstoringsvermogen op te bouwen als geopolitiek drukmiddel. Het gevolg is dat beschikbaarheid, veiligheid en governance niet langer uitsluitend in de operatie geborgd kunnen worden, maar onderdeel moeten worden van een integraal cybersecurityprogramma.
Met de NIS2-richtlijn, de BIO en de Nederlandse Baseline voor Veilige Cloud is OT-beveiliging bovendien geen optioneel verbeterproject meer maar een expliciete bestuursverantwoordelijkheid. Bestuurders en CISO's moeten aantoonbaar kunnen uitleggen hoe zij asset-inventarisatie, segmentatie, detectie, respons en evidence registreren, ook wanneer systemen van Rijkswaterstaat, TenneT of regionale drinkwaterbedrijven verspreid staan over duizenden locaties. Dit artikel biedt een praktijkgericht kader om OT- en IT-disciplines op elkaar aan te sluiten, prioriteiten te stellen en een roadmap te bouwen die rekening houdt met zowel veiligheidscultuur als cyberweerbaarheid.
CISO's, asset managers en hoofd operations krijgen in dit kader concrete handvatten om beschikbaarheidskritieke processen te beschermen zonder het productie- of veiligheidsritme te onderbreken. We bespreken hoe je verouderde controllers in kaart brengt, hoe je segmentatie en jump servers inricht met minimale stilstand, hoe je een OT SOC opbouwt dat Modbus- en DNP3-anomalieën herkent, hoe je incidentrespons oefent zonder veiligheidsrisico's te introduceren en hoe je governance organiseeert zodat BIO-, NIS2- en Archiefwet-eisen aantoonbaar worden nageleefd.
Een Nederlandse voedingsmiddelenproducent liep in 2024 vier dagen productiestilstand op nadat ransomware via een gecompromitteerde leverancier-laptop door een vlak netwerk richting verpakkingslijnen kroop. Pas tijdens het forensisch onderzoek bleek dat een oude remote-maintenance tunnel nog actief was en rechtstreeks toegang bood tot Level-1 controllers. Door het netwerk opnieuw te tekenen volgens het Purdue-model, jump servers met MFA te verplichten en een data diode te plaatsen voor rapportagedata, werd de blast radius drastisch verkleind. Segmentatie is dus geen papieren ontwerp maar een inventarisatie-oefening: teken het huidige verkeer uit, bevestig welke verbindingen echt nodig zijn en sluit alles af wat niet aantoonbaar bijdraagt aan veiligheid of beschikbaarheid.
IT-OT-beveiligingsfundamenten: cruciale verschillen doorgronden
Beschikbaarheid boven alles
Waar de klassieke CIA-driehoek in kantoor-IT de vertrouwelijkheid bovenaan zet, wordt in OT elke beslissing getoetst op impact op beschikbaarheid en veiligheid. Een gepland onderhoudsvenster van vijf minuten kan voldoende zijn om een vergistingsproces onherstelbaar te verstoren of een bovenleiding uit balans te brengen. Daardoor zijn patchreeksen, herstarts en netwerkwijzigingen alleen acceptabel wanneer het productieplan, de veiligheidsprocedures en de wettelijke rapportages er expliciet op zijn voorbereid. De Nederlandse Baseline voor Veilige Cloud en de BIO erkennen dit en vragen om aantoonbaar risicomanagement in plaats van blinde naleving van IT-standaarden. Een CISO die een kwetsbaarheid in Windows Server oplost, moet dus tegelijk aantonen dat de redundante besturing overneemt, dat mechanische failsafes actief zijn en dat operators exact weten wat de digitale stap betekent voor het proces in de hal.
Verouderde assets en beperkte onderhoudsvensters
OT-landschappen bestaan uit PLC's, Remote Terminal Units en HMI's die vaak twintig jaar oud zijn, draaien op Windows XP Embedded of VxWorks en waarin leverancierspatches alleen beschikbaar komen na een langdurig kwalificatietraject. Het vervangen van zo'n asset is kostbaar en meestal gekoppeld aan fysieke engineeringprojecten. Daarom is een nauwkeurige assetinventarisatie met bouwjaar, firmwareversie en veiligheidsclassificatie het fundament. Door deze inventaris te koppelen aan een risicoregister kunnen organisaties objectief bepalen waar compensatiemaatregelen, zoals unidirectionele gateways, jump servers met meervoudige authenticatie of strengere fysieke toegangscontrole, de grootste risicoreductie opleveren. Dit sluit aan bij IEC 62443, waarin het principe van layered security expliciet wordt toegepast op legacy assets zonder native beveiligingsfuncties.
Veiligheidscultuur verbinden met cybersecurity
Incidenten in OT zijn zelden puur digitaal. Een verkeerd aangestuurde doseerpomp kan een waterzuivering vervuilen, terwijl een gemanipuleerde onderstationcontroller tot regio-brede stroomuitval kan leiden. Daarom moeten hazard and operability studies (HAZOP) en cybersecurityrisicoanalyses met elkaar verweven worden. Operators moeten leren hoe een afwijkende Modbus-telegram eruitziet, maar securityteams moeten net zo goed begrijpen welke interlocks al bestaan en hoe een proces autonoom veilig kan stoppen. Een integrale aanpak betekent ook dat noodstopsystemen, brandwerende zones en fysieke toegangspoorten mee worden genomen in threat modeling-sessies, zodat digitale en fysieke controls elkaar versterken.
Veranderbeheer als gezamenlijke verantwoordelijkheid
Elke OT-wijziging begint bij de werkvoorbereiding en eindigt bij een volledig gelogde en door operations geautoriseerde change. Moderne organisaties bouwen speciale OT-change boards waarbij productieplanning, maintenance, CISO-office en leveranciers samen een wijziging beoordelen. Daarbij worden redundantieplannen, testscenario's en rollback-instructies verplicht gedocumenteerd. Door SCADA-updates eerst in een digitale twin te testen en de resultaten inclusief audittrail in een Purview- of ServiceNow-register op te slaan, ontstaat een aantoonbare keten van controle waar auditors en Inspectie Leefomgeving en Transport (ILT) op kunnen steunen. Zo wordt cybersecurity verankerd in dezelfde governancestructuur als veiligheid en kwaliteit.
Menselijke factoren en kennisoverdracht
Veel OT-teams bestaan uit vakmensen die ooit begonnen als elektrotechnisch monteur en uitgegroeid zijn tot systeembeheerders van waterkeringen of productielijnen. Zij kennen elke sensor, maar niet per definitie elke MITRE ATT&CK-techniek. Succesvolle convergentieprogramma's investeren in begeleide training, meeloopdagen tussen SOC-analisten en operators, en duidelijke runbooks waarin zowel de technische stap als de procesimpact wordt beschreven. Andersom leren IT-securityspecialisten over redundante voedingen, noodprocedures en het belang van stilte op de lijn. Pas wanneer beide werelden elkaars vocabulaire begrijpen, ontstaat er voldoende draagvlak om bijvoorbeeld een identity-baseline of just-in-time-privileges op engineeringstations in te voeren.
OT-dreigingslandschap: aanvallen op industriële processen
Geopolitieke actoren bouwen stille aanwezigheid op
Nederland is een logistieke en energiehub. Havenbedrijven, gasopslag en hoogspanningsstations hebben daarom een verhoogd profiel bij statelijke actoren die geopolitieke druk of voorwaarschuwingen willen realiseren. Uit internationale analyses van het NCSC en ENISA blijkt dat geavanceerde groepen jarenlang ongezien in industriële netwerken kunnen verblijven door remote management-servers of leveranciersverbindingen te misbruiken. Ze verzamelen engineeringbestanden, logboeken en configuraties, zodat ze in crisissituaties exact weten welke breaker ze moeten openen of welke waterinlaat ze moeten manipuleren. Verdediging begint bij zichtbaarheid: zorg voor een compleet assetregister, monitor alle externe verbindingen en leg vast welke cryptografische sleutels toegang geven tot SCADA-platformen. Combineer OT-specifieke threat intelligence (bijvoorbeeld uit de ISAC Energie of Water) met MITRE ATT&CK for ICS om detectieregels en hunts op te stellen die gericht zijn op bijvoorbeeld misbruik van Remote Desktop Protocol in Level 3 of wijzigingen in ladder logic.
Ransomware en financieel gemotiveerde groepen volgen dezelfde route
Hoewel het confronterend is, zien we steeds vaker dat financieel gemotiveerde groepen bewust OT-targeting toevoegen aan hun draaiboeken. Ze weten dat een kwartier stilstand bij een verpakkingslijn of kraanbaan direct geld kost en dat het bestuur daarom geneigd is snel losgeld te betalen. Deze aanvallers beginnen doorgaans in het kantoor-IT-domein via phishing of kwetsbare VPN's, lateral movement verloopt via fileservers of domain controllers en uiteindelijk bereiken ze engineeringstations die op Windows draaien. Een effectief verdedigingsplan koppelt daarom de Zero Trust-principes aan het Purdue-model: geen enkele identiteitscontext mag zonder validatie door de zonegrenzen heen, data-uitwisseling verloopt via gecontroleerde brokers, en logging zowel in IT als OT wordt naar dezelfde SIEM gevoerd zodat correlaties zichtbaar worden. Runs van tabletop-oefeningen waarin OT en crisismanagement samen beslissen over productiestilstand, publicatie richting toezichthouders en communicatie naar burgers, zorgen ervoor dat een aanval niet wordt verergerd door bestuurlijke onzekerheid.
Supply chain en remote support als Achilleshiel
Veel OT-organisaties werken met gespecialiseerde aannemers die PLC's programmeren, onderhoud doen of 24/7 remote support leveren. Elk modem, elk TeamViewer-account en elke tunneling-oplossing is daarmee een potentieel toegangspunt voor aanvallers. Een recente audit bij een drinkwaterbedrijf bracht 86 actieve remote verbindingen aan het licht waarvan slechts 12 in het change-register stonden. De rest was historisch gegroeide shadow-IT. Structurele mitigatie vraagt om contractuele afspraken: leveranciers krijgen alleen toegang via door de organisatie beheerde jump servers, sessies worden opgenomen voor forensische doeleinden en toegangsrechten verlopen automatisch na een werkbon. Combineer dit met SBOM-verplichtingen, zodat firmware-updates van OEM's niet ongezien nieuwe kwetsbaarheden introduceren.
Menselijke fouten blijven een dominante factor
Naast kwaadwillenden zien we nog altijd dat verkeerde handelingen van goedwillende medewerkers leiden tot digitale kwetsbaarheden. Een operator die een USB-stick gebruikt om rapportages te kopiëren, kan een worm binnenbrengen; een engineer die testlogica in productie achterlaat, kan een bypass creëren die later wordt misbruikt. Door gedragscomponenten op te nemen in het veiligheidsprogramma – denk aan phishing-simulaties die specifiek inspelen op OT-scenario's, of aan checklists waarin operators een cyberveiligheidsstap afvinken naast de bestaande LOTO-procedures – ontstaat een gedeelde verantwoordelijkheid. Logging van operatorhandelingen via digitale logboeken of videoregistratie, gecombineerd met near-real-time analytics, helpt om afwijkend gedrag snel te adresseren zonder direct naar schuldigen te wijzen.
Detectie en respons vragen om maatwerk
In OT volstaat een klassieke SOC-aanpak niet. Industriële IDS-platformen moeten in staat zijn om afwijkende commando's in Modbus, IEC 104 of OPC UA te herkennen en tegelijk rekening houden met normale procesvariaties. Integratie met Microsoft Sentinel of een ander SIEM maakt het mogelijk om zowel IT- als OT-signalen in één kill chain te plaatsen. Incidentresponsplannen beschrijven niet alleen containmentstappen maar ook de veiligheidsimplicaties: wat doet een isolatieactie met druk, temperatuur of verkeersdoorstroom, en wie autoriseert deze stap? Door in draaiboeken expliciet te benoemen welke toezichthouders (ILT, ACM, veiligheidsregio) en ketenpartners (bijvoorbeeld TSO's of waterschappen) moeten worden geïnformeerd, borgen organisaties dat een cyberincident niet omslaat in een maatschappelijke crisis.
De convergentie van OT en IT vraagt om een evenwicht tussen beschikbaarheid, veiligheid en compliance. Door de prioriteiten van operators serieus te nemen en tegelijkertijd moderne securityconcepten te introduceren, ontstaat een duurzaam verdedigingsmodel. Begin met een feitelijke assetinventarisatie en een segmentatieplan op basis van het Purdue-model, leg per zone vast welke identiteiten, protocollen en beheerprocessen zijn toegestaan en borg dat in zowel technische controls als contractvoorwaarden. Richt monitoring in die industriële protocollen begrijpt en voed de signalen naar hetzelfde SOC dat ook IT-incidenten onderzoekt, zodat correlaties tussen kantoor en fabriek zichtbaar worden. Investeer in gezamenlijke oefeningen waarbij operations, security, crisismanagement en leveranciers exact weten welke stappen, escalaties en rapportages nodig zijn om NIS2- en BIO-verplichtingen na te komen zonder de veiligheid van medewerkers of burgers in gevaar te brengen. Het resultaat is een organisatie die niet alleen aan regelgeving voldoet, maar vooral een veerkrachtige infrastructuur levert waarop Nederland kan vertrouwen.