Balanceren van digitale transformatie: de symbiose van IoT en OT

IT is traditioneel gericht op informatie- en communicatiemanagement, terwijl OT zich richt op de monitoring en aansturing van fysieke apparaten en kritische processen. Maar de grenzen vervagen, en IoT fungeert vaak als brug tussen de twee. 

OT is vaak een onderbelicht risico

Laten we beginnen met de fundamentele verschillen tussen IT en OT. IT is gebaseerd op de CIA-triade: Confidentiality, Integrity, en Availability (vertrouwelijkheid, integriteit, beschikbaarheid), terwijl OT draait om de SRP-driehoek: Safety, Reliability en Productivity (veiligheid, betrouwbaarheid, productiviteit). In IT is vertrouwelijkheid van data essentieel, terwijl OT zich focust op het garanderen van veiligheid en het continu operationeel houden van apparatuur.

De complexiteit van OT beveiliging

OT-systemen gebruiken vaak verouderde hardware en software die niet ontworpen zijn voor regelmatige beveiligingsupdates. In veel gevallen is het zelfs niet mogelijk om ze te updaten. Zo draaien veel OT-systemen nog op Embedded XP of andere oude versies van Windows, waarvoor de ondersteuning allang is gestopt. Cybercriminelen zijn zich hiervan bewust en maken hier gebruik van. Als een OT-systeem wel kan worden gepatcht, is dit vaak een uitdaging voor IT-professionals. Het updaten van OT-systemen kan namelijk aanzienlijke productie-onderbrekingen veroorzaken. Organisaties besluiten dan om geen updates door te voeren, omdat de kosten van onderbrekingen zwaarder wegen. Daardoor blijven ze echter kwetsbaar voor cyberaanvallen.

In grote botnets, zoals Mirai en RSOCKS, worden OT-apparaten vaak ingezet vanwege hun kwetsbaarheid. Naast botnetinfecties zien we ook propagation attacks (waarbij malware zich automatisch verspreidt naar andere apparaten), cryptomining-incidenten (waarbij rekenkracht wordt misbruikt om illegaal cryptovaluta te minen), credential- en datadiefstal, ransomware-aanvallen en remote code execution (RCE). Met de opkomst van AI worden aanvallen op OT-apparaten bovendien steeds geavanceerder en schadelijker.

Een sleutelbegrip in zowel IoT als OT is 100% uptime. Zoals ik zelf vaak zeg: “OT vraagt net als IoT om Zero Impact en Zero Downtime.” De veiligheid en betrouwbaarheid van deze systemen moeten gewaarborgd blijven. Een niet-functionerend brandalarm kan bijvoorbeeld desastreuze gevolgen hebben, om maar een voorbeeld te noemen. Bovendien maken ICS (Industrial Control Systems) en SCADA (Supervisory Control and Data Acquisition) gebruik van eigen (en vaak verouderde) protocollen zoals Modbus, Profinet, BACnet en S7. IT-experts zijn vaak minder bekend met deze protocollen. Het is aan te raden om alleen een OT-beheerder schrijfprivileges te geven voor deze specifieke systemen. Hierbij geldt het principe van ‘least privilege’: geef alleen toegang waar dat strikt noodzakelijk is.

Shadow OT: Een verborgen risico

Net als bij Shadow IT, waar niet-goedgekeurde IT-apparaten buiten de controle van de IT-afdeling vallen, kan Shadow OT ontstaan als OT-apparaten buiten het zicht van de IT-beveiliging blijven. Deze niet-beheerde apparaten vormen een aanzienlijk risico, vooral als ze rechtstreeks met het internet zijn verbonden. In veel gevallen gebruikt OT verouderde hardware en software die niet gemakkelijk kan worden bijgewerkt of gepatcht, wat unieke uitdagingen meebrengt voor IT-professionals die verantwoordelijk zijn voor de integratie en het beheer van deze systemen. Denk bijvoorbeeld aan HVAC-systemen (verwarming, ventilatie en airconditioning) die buiten het beveiligingsbeleid van de IT-afdeling vallen, maar toch kwetsbaar zijn voor cyberaanvallen. Ik ben zelf eens een internet-verbonden HVAC-systeem tegengekomen dat door de beheerder vanuit huis werd benaderd. Het is essentieel dat OT wordt geïntegreerd in het bredere beveiligingsplan. Ik vraag me af of alle OT-assets wel echt in reguliere audits en planningen worden meegenomen; vaak wel, maar zeker niet altijd.

Waar IoT en OT samenkomen

Ondanks hun verschillen hebben IoT en OT belangrijke raakvlakken. Beide maken gebruik van netwerken voor data-uitwisseling en hebben een groeiende behoefte aan sterke beveiligingsmaatregelen. In moderne omgevingen, Smart Buildings en Smart Cities zien we steeds vaker dat  IoT en OT elkaar aanvullen. Voorbeelden hiervan zijn slimme verlichting, energiebeheer, BMS (Building Management Systems), HVAC-systemen, brandalarm- en toegangssystemen die worden ingezet in bedrijfsgebouwen.

Een vuistregel die ik graag hanteer, is dat alles wat verbonden is met het reguliere IT-netwerk via een apart netwerksegment of VLAN moet lopen. Deze apparaten, zoals printers en tv’s, vallen onder de categorie "smart office assets". Apparaten die cruciaal zijn voor fysieke veiligheid of productiviteit, zoals liften en energiebeheersystemen, behoren tot "smart building assets" en moeten in streng beveiligde, aparte omgevingen draaien, geheel volgens de best practices van de industrie.

OT en air-gapped netwerken

OT-omgevingen zijn traditioneel geïsoleerd binnen zogenaamde "air-gapped" netwerken, wat betekent dat ze fysiek gescheiden zijn van andere netwerken en het internet. Deze isolatie biedt een hoog niveau van veiligheid. Echter, door de opkomst van IoT en de behoefte aan real-time monitoring, wordt deze isolatie steeds vaker doorbroken. Door de digitale transformatie worden OT-systemen steeds vaker verbonden met IoT-apparaten en de cloud. Dit brengt nieuwe uitdagingen met zich mee, vooral wat betreft de integratie van cloudoplossingen voor OT, die extra risico's kunnen opleveren.

Standaardwachtwoorden: een verborgen gevaar

Wat vaak over het hoofd wordt gezien, is dat veel SCADA-apparaten nog steeds standaard wachtwoorden gebruiken. Dit maakt ze tot een aantrekkelijk doelwit voor aanvallers. Het gebruik van sterke wachtwoorden en netwerksegmentatie zijn essentiële stappen om de beveiliging te verbeteren. Veel van deze standaard wachtwoorden zijn eenvoudig online te vinden, wat het risico verder vergroot. Het is kinderlijk eenvoudig om op platforms zoals Shodan, Dorks of GreyNoise deze informatie te vinden. Er circuleren zelfs lijsten met gebruikersnamen, wachtwoorden en IP-adressen waarmee direct kan worden ingelogd.

Cloud en OT: de hybride toekomst

Een opkomende trend is de integratie van OT-systemen met hybride cloudomgevingen. De digitale transformatie maakt het mogelijk om niet-kritieke workloads naar de cloud te verplaatsen, terwijl gevoelige gegevens in een gesloten netwerk blijven. Deze aanpak biedt schaalbaarheid, kostenoptimalisatie en veerkracht zonder de veiligheid in gevaar te brengen. Dit is vooral nuttig voor telemetrie en metrics die door slimme apparaten (zoals sensoren of andere veldapparaten) naar de cloud worden gestuurd voor analyse en monitoring. Deze integratie brengt echter ook uitdagingen met zich mee, zoals connectiviteitsproblemen, beveiligingsrisico's en compatibiliteitskwesties met legacy-apparatuur.

Aanbevelingen voor beveiligingsvraagstukken en strategieën

Om de veiligheid van zowel IoT- als OT-omgevingen te waarborgen, moeten organisaties enkele cruciale maatregelen nemen:

- Risicoanalyse en assetinventarisatie: Zorg voor volledig inzicht en zichtbaarheid van alle assets.
- Reguliere audits en assessments: Beoordeel risico’s regelmatig en bepaal welke (mitigerende) acties nodig zijn.
- Netwerksegmentatie: Zorg voor een duidelijke scheiding tussen IT- en OT-apparaten om laterale bewegingen van aanvallers te beperken.
- Multifactor Authenticatie (MFA): Implementeer sterke toegangscontrole tot systemen.
- Regelmatige updates: Zorg voor een effectief patchmanagementbeleid om kwetsbaarheden te verhelpen.
- Disaster Recovery Plan (DRP): Ontwikkel een noodherstelplan voor kritieke OT-systemen.
- Continue monitoring: Voer real-time monitoring uit voor het detecteren van verdachte activiteiten of afwijkingen.
- Compliance: Voldoen aan regelgeving zoals NIS2 of ISO 27001.

Het advies is om de best practices uit de industrie te volgen. Voor IT-beveiliging zijn dit bijvoorbeeld maatregelen als threat preventie en sandboxing (om onbekende aanvallen te blokkeren). Voor OT-beveiliging gaat het onder meer om het toepassen van IPS-handtekeningen (om bekende aanvallen te blokkeren). Uiteraard zijn er nog veel meer aanbevelingen beschikbaar.

Het advies is om de best practices uit de industrie te volgen. Voor IT-beveiliging zijn dit bijvoorbeeld maatregelen als threat preventie en sandboxing (om onbekende aanvallen te blokkeren). Voor OT-beveiliging gaat het onder meer om het toepassen van IPS-handtekeningen (om bekende aanvallen te blokkeren). Uiteraard zijn er nog veel meer aanbevelingen beschikbaar.

Het verschil tussen IoT en OT zit vooral in hun doelstellingen en architectuur, maar door de opkomst van slimme technologieën komen de twee werelden steeds meer samen. Het begrijpen van zowel de verschillen als de gemeenschappelijke kenmerken is cruciaal. De beveiligingsbehoefte vraagt om een effectieve en proactieve aanpak. Zowel OT als IoT vereist een Zero Tolerance-beleid, met Zero Impact en Zero Downtime. Door te investeren in zowel technologische als operationele beveiligingsmaatregelen kunnen organisaties de risico’s minimaliseren en profiteren van de voordelen van digitalisering, schaalbaarheid, kostenoptimalisatie en verbeterde efficiëntie.

- Antoinette Hodes,  Global Solution Architect en IoT expert