OT Cybersecurity: is dat een spelfout of een blinde vlek?

Cybersecurity

Dinsdag 15 april 2025 vond de conferentie IACS & Cybersecurity plaats. De conferentie gaf inspiratie voor dit artikel en we willen graag een discussie aanwakkeren over de vraag of de cybersecurity van IACS (ook wel OT genoemd) ook relevant is voor de sector onderwijs en onderzoek.

127

2 Praat mee

Wat is IACS/OT?

Industrial Automation & Control Systems (IACS) zijn systemen die hardware en software combineren om fysieke processen en machines te automatiseren en te controleren. Het wordt bijvoorbeeld veel gebruikt in de maakindustrie, energie en transport om de efficiëntie en veiligheid te verbeteren. Daarom wordt het ook wel operationele technologie (OT) genoemd. IACS zijn vaak een onmerkbaar onderdeel van veel processen, zoals in de technische infrastructuur bij telecom, verkeerslichten en netbeheerders. IACS zijn (bijna) overal. Ook binnen onderwijs en onderzoek. Denk bijvoorbeeld aan de gebouwbeheersystemen (liften, klimaatbeheersing) of aan de eigen energiecentrales die sommige universiteiten hebben. Bovendien is het voorstelbaar dat we binnen onze sector onderzoeksopstellingen voor landbouw-, energie- of infrastructuuronderzoek kunnen vinden. Een zoektocht binnen de HORA/MORA laat zien dat er aandacht is voor het beheren van gebouwen en daaraan verbonden systemen, maar daar stopt de directe link met OT. In het SURFaudit toetsingskader besteden we geen expliciete aandacht aan OT cybersecurity.

 

OT en IT

Een poll onder de deelnemers van de conferentie leverde op dat 70% van die deelnemers vond dat OT een betere term is dan IACS. In zijn keynote ging professor Van Eeten (TU Delft) daar meteen op in. Want OT lijkt ook gewoon IT te zijn. Is het dan toch een spelfout? Assets die vroeger handmatig werden bediend zijn nu steeds meer gedigitaliseerd en op afstand te monitoren en te bedienen. Is OT daarmee IT geworden? 

 

Cyberdreigingen en OT

Wanneer machines een digitale (smart) component krijgen, dan zijn ze kwetsbaar voor cyberdreigingen. Dit zijn veelal dezelfde dreigingen als voor IT systemen. Voorbeelden zijn verstoringen, spoofing en manipulatie. De impact van cyberdreigingen op OT kunnen potentieel fysieke gevaren voor mensen en omgeving opleveren. Daarnaast kunnen systemen onderdeel van een botnet worden gemaakt waardoor andere organisaties last kunnen krijgen van DDoS aanvallen. 

OT systemen zijn anders dan IT systemen omdat de gemiddelde levensduur 15 tot 20 jaar is, terwijl reguliere IT-systemen 3 tot 5 jaar meegaan. Dit geldt niet alleen voor hardware, maar vooral ook voor software zoals besturingssystemen, webtechnologieën en databases. Het simpelweg vervangen van OT systemen is vaak niet alleen onwenselijk, maar financieel ook onhaalbaar. Gebruik van deze producten heeft tot gevolg dat kwetsbaarheden in deze producten een springplank kunnen vormen voor uiteindelijke manipulatie van de procesbesturingen. Daarnaast worden OT-omgevingen daarmee ook vatbaarder voor malware die eigenlijk (alleen) bedoeld is voor standaard IT-voorzieningen.

 

Nadenken over OT/IT

Is OT cybersecurity een thema waar we het (meer) over moeten hebben? Wij denken van wel omdat we momenteel (te) weinig overzicht hebben van hoe groot het OT 'oppervlakte' is binnen onderwijs en onderzoek. Misschien is niet alle OT even belangrijk voor onderwijs, onderzoek en bedrijfsvoering, maar wellicht is het wel belangrijk voor de bedrijfscontinuiteit van faciliteiten op de campus en voor de veiligheid van medewerkers, studenten en bezoekers. Ook vragen wij ons af of de inkopers en beheerders van OT voldoende samenwerken met de cybersecurity experts binnen hun organisaties om risicobeoordelingen uit te voeren. Tenslotte is het belangrijk om het overzicht te hebben hoe OT systemen zijn verbonden, bijvoorbeeld aan het internet of zelfs met het eigen IT netwerk, en hoe de cybersecurity is geborgd.

 

Wat denk jij? Moeten we het over OT hebben? Reageer in de comments!

 

Auteurs: Nicole van Deursen en Mick Deben

 


 

Dit artikel heeft 2 reacties

We moeten het zeker over OT hebben! Al was het maar omdat 'slimme' gebouwen, beveiligingscamera's en andere toepassingen inmiddels overal terug te vinden zijn. Interessant aritkel, Nicole!

Nicole, al tientallen jaren maken we gebruik van OT (operational technology) en recent IOT (internet of things). Deze raken steeds meer geïntegreerd met onze IT. Het lijkt inderdaad een paar spelfouten. Maar er zijn wezenlijke verschillen in de technologie en architectuur. Dit brengt andere kwetsbaarheden met zich mee, tegelijk is de impact van een incident compleet verschillend van de impact met een IT incident. Ik heb met verschillende organisaties (onder andere maakindustrie) gesproken die echt meenden dat hun OT gescheiden was van hun IT, maar kregen wel realtime updates in hun Excel op het hoofdkantoor.

Op de opleiding Digital Forensics hebben wij een vak van 20 weken over( I)OT Forensics. Ik wist (en weet) er weinig van. We doen onderzoek en experimenteren met OT incidenten (want dan is er eindelijk forensics).

Gelukkig zijn er meerdere mensen en organisaties die zich richten op OT security en hebben daar ook een beeld bij. Ik heb rond gebeld en meerdere mensen hebben workshops en gastlessen aangeboden.

De wil, kennis en middelen zijn er om er wat aan te doen, de noodzaak is niet bij iedereen even duidelijk. Ik ben bang dat we een paar grote incidenten moeten hebben voordat dit hoger op de agenda komt te staan.

Gerelateerde artikelen

  1. Ik scheid wel mijn afval maar niet mijn mails!

    Cybersecurity

  2. Hoe werkt privacyvriendelijke DNS-logging op de resolvers van SURFdomeinen?

    Cybersecurity

  3. Universiteit Twente ruimt (data storage) op!

    Cybersecurity