Maarten Werff en Eddie Steenbergen van Conscia over OT-security
‘Verbinding van OT met IT moet veilig’
De beveiliging van Operational Technology krijgt momenteel veel aandacht. De reden daarvoor is awareness en die bewustwording wordt verder verstrekt door NIS2, denken Maarten Werff (Solution Consultant Cybersecurity) en Eddie Steenbergen (Solution Architect) van Conscia. InfoSecurity spreekt hen over de verschillen en verbinding tussen OT en IT en hoe OT een hogere plek op de agenda van CISO’s krijgt.
Operational Technology, ofwel OT, zijn volgens Maarten primair de systemen waar je niet direct applicaties op kan installeren. “OT heeft ook betrekking op componenten met een functie in een productieproces, medische omgeving of een gebouwbeheersysteem, maar dan ga ik al de breedte in. Het is dus niet een besturingssysteem dat vrij toegankelijk is.”
OT heeft als kenmerk dat het overal aanwezig, vult Eddie aan. “Je komt omgevingen met veel OT tegen in productieprocessen, fabrieken en manufacturing, healthcare en de transportsector. Hoewel het soort organisaties sterk verschilt, hebben ze een ding gemeen. OT is er voor de primaire processen en is daarmee per definitie mission critical”, aldus Eddie.
Maarten en Eddie werken voor Conscia, een Europese IT-specialist in netwerken, cybersecurity en clouddiensten. Het bedrijf biedt beveiligde infrastructuur en 24/7 managed services aan klanten met complexe IT-behoeften. Conscia ondersteunt bedrijfskritische IT-systemen gedurende de hele levenscyclus, van ontwerp tot optimalisatie.
OT heeft als kenmerk dat het overal aanwezig, vult Eddie aan. “Je komt omgevingen met veel OT tegen in productieprocessen, fabrieken en manufacturing, healthcare en de transportsector. Hoewel het soort organisaties sterk verschilt, hebben ze een ding gemeen. OT is er voor de primaire processen en is daarmee per definitie mission critical”, aldus Eddie.
Maarten en Eddie werken voor Conscia, een Europese IT-specialist in netwerken, cybersecurity en clouddiensten. Het bedrijf biedt beveiligde infrastructuur en 24/7 managed services aan klanten met complexe IT-behoeften. Conscia ondersteunt bedrijfskritische IT-systemen gedurende de hele levenscyclus, van ontwerp tot optimalisatie.
Gescheiden werelden
Volgens Maarten en Eddie was het tot voor kort gebruikelijk dat IT en OT gescheiden domeinen waren. OT faciliteerde primaire processen en die moeten gewoon altijd werken. Security was onderschikt aan continuïteit en dat was ook logisch zolang er een koppeling met IT was. Maarten: “Nu komt die koppeling veel vaker voor en dan blijkt dat het hele OT-domein onzichtbaar is voor IT. Standaard IT-tooling herkent namelijk vaak de OT-assets niet.”
Eddie: “Dat OT voorheen strikt gescheiden was van IT, is inderdaad een gepasseerd station. Steeds meer willen OT-leveranciers ook remote toegang hebben en daar is IT voor nodig. Ook klanten zelf sturen aan op verbinding van OT met IT, maar dat moet dan wel veilig gaan.”
Brug tussen OT en IT
Eddie ziet de dienstverlening van Conscia als een brug tussen OT en IT om OT veiliger te maken. “Het begint ermee dat we zichtbaar en inzichtelijk maken wat er bij de klant aan OT en IT staat”, zegt hij. “Dan kunnen we segmenteren of zoneren. Geen microsegmentatie zoals binnen IT, maar je zoneert een proces of een productielijn. Daarmee zorg je ervoor dat niet het complete productieproces platligt als een keer wat gebeurt op zo’n omgeving, maar een klein gebied. Dat zijn trajecten van meerdere maanden. Vooral het inzichtelijk maken. Als je overzicht hebt, is het een continu proces van monitoring. Fixen gebeurt op een realistische manier volgens een draaiboek dat draagvlak heeft bij de klant. Je kunt bij OT niet, zoals bij IT, zomaar iets uitzetten en vervangen.”
Managed dienstverlening
Maar er is wezenlijk meer dan ter plekke een omgeving in kaart brengen. Naast het fixen van kwetsbaarheden speelt monitoring van OT volgens Maarten een belangrijke rol. “Klanten waarvoor we al SOC managed diensten verrichten voor het IT-deel met endpoints, identities en netwerkcomponenten, willen OT toevoegen aan het detectieframework. Dat is logisch en wenselijk met het oog op de security en continuïteit.”
Verschillende belangen
Beiden benadrukken dat IT en OT weliswaar vaker gekoppeld zijn, maar dat het twee totaal verschillende protocollen zijn die elk een aparte benadering vereisen. Kenmerkend is dan ook wellicht dat men niet meer alleen met de CISO aan tafel zit. Het is gebruikelijk dat ook de CFO, Legal, Risk Management en zelfs facilities aanschuiven. Eddie: “Het gaat over security, dus je moet de hele organisatie informeren, erbij betrekken en tegelijk weten wat er leeft. De aanpak van Conscia is daarop gebaseerd, want binnen de organisatie van opdrachtgevers kunnen verschillende belangen spelen.”
Gemeenschappelijk belang
Mission critical processen bepalen volgens Maarten waar organisaties geld mee verdienen. “Daarom durf ik de stelling aan dat iedereen binnen een organisatie, ongeacht zijn positie en rol, er uiteindelijk beter van wordt als OT-security hoog op de agenda staat en permanent de aandacht krijgt die nodig is”, zegt Maarten. “Er is dus een gemeenschappelijk belang en Conscia helpt dat te realiseren.”
Voor meer informatie over de beveiliging van OT, neem je contact op met Eddie of Maarten bij Conscia uit Gouda. Ze zijn bereikbaar op cybersecurity-nl@conscia.com of via 088 52 288 22.