Vergeet je operationele technologie niet in je NIS2-assessment

Een man in een lichtblauw shirt staat lachend voor een groene muur.
Vergeet je operationele technologie niet in je NIS2-assessment

NIS2 heeft een belangrijke vooruitgang geboekt in het aanpakken van een lang genegeerd probleem: de beveiliging van Operationele Technologie (OT). Terwijl kritieke infrastructuur al onder de loep lag, brengt NIS2 nu ook de ‘niet-kritieke’ infrastructuur in beeld die cruciaal is voor onze samenleving. Denk aan voedsel- en drankindustrie, productie en andere sectoren die een vitale rol spelen. NIS2 bouwt voort op NIS1 door strengere audits en boetes in te voeren voor niet-naleving. Maar kunnen we ons veroorloven om achterover te leunen? Een enkele inbreuk kan nog steeds grote gevolgen hebben voor onze samenleving. Hoe zorgen we ervoor dat alle sectoren, kritiek of niet, adequaat beschermd zijn tegen cyberdreigingen?

Het is tijd om onze aannames ter discussie te stellen. NIS2 is niet de eindstreep – het is een wake-up call die ons aanspoort tot verdere actie. Het biedt de kans om je benadering van cyberbeveiliging te heroverwegen en te verfijnen. Hoe kan je proactief de kloof tussen IT en OT effectief overbruggen, voordat cybercriminelen deze kwetsbaarheid kunnen uitbuiten voor hun eigen gewin? Nog fundamenteler is de vraag: wat houdt werkelijk robuuste cyberbeveiliging in in een tijdperk waarin elk geconnecteerd systeem, ongeacht zijn aard of functie, een potentieel doelwit vormt voor cybercriminelen?

Effectieve cyberbeveiliging vereist een paradigmaverschuiving. IT en OT groeien steeds meer naar elkaar toe, wat nieuwe uitdagingen met zich meebrengt. Heel wat OT-systemen draaien nog op verouderde technologie, wat ze bijzonder kwetsbaar maakt voor cyberaanvallen. Daarnaast moeten we moeten alleen reageren op bekende gevaren, maar ook voorbereid zijn op nieuwe bedreigingen. Het is belangrijk dat we verder kijken dan de gebruikelijke beveiligingsmaatregelen en een aanpak ontwikkelen die zich aanpast aan veranderende omstandigheden.

De nadruk op IT maakt OT een zwakke schakel in onze cybersecurity-keten. En in cybersecurity zijn we slechts zo sterk als onze zwakste schakel. Enkele tips om proactief aan de slag te gaan.

Overbrug de IT-OT kloof

Beschouw je IT- en OT-systemen als één geïntegreerd ecosysteem dat gezamenlijk moet worden beveiligd en beheerd, maar erken dat verschillende teams verantwoordelijk kunnen zijn voor verschillende aspecten. Breng zowel je IT- als OT-assets grondig in kaart om een volledig beeld te krijgen van je digitale landschap. Veranderingen of kwetsbaarheden in het ene systeem hebben onvermijdelijk gevolgen voor het andere. Dit maakt een holistische benadering van cyberbeveiliging noodzakelijk, waarbij effectieve communicatie en samenwerking tussen verschillende afdelingen cruciaal is. Het IT-team hoeft niet noodzakelijkerwijs verantwoordelijk te zijn voor het beheer van OT-assets, maar nauwe samenwerking tussen IT, OT en andere relevante afdelingen is essentieel voor een coherente beveiligingsstrategie.

Voer grondige OT-risicobeoordelingen uit

Wees proactief en wacht niet op regelgeving. Breng de kwetsbaarheden van je operationele technologie grondig in kaart. Ga verder dan een oppervlakkige analyse en duik diep in je systemen om potentiële zwakke punten bloot te leggen. Vertaal vervolgens deze technische bevindingen naar concrete bedrijfsrisico’s die begrijpelijk zijn voor alle stakeholders. Door de potentiële impact op bedrijfsprocessen, financiën en reputatie duidelijk te communiceren, creëer je een gevoel van urgentie binnen de organisatie.

Implementeer OT-specifieke beveiligingsmaatregelen

Houd rekening met de unieke eigenschappen en risico’s van zowel IT- als OT-omgevingen om een robuuste verdedigingslinie te creëren tegen cyberdreigingen. Dit vereist een gelaagde aanpak die verder gaat dan standaard IT-beveiligingsmaatregelen. Implementeer OT-specifieke beveiligingsstrategieën zoals netwerksegmentatie, strenge authenticatie- en encryptiemethoden, geavanceerde detectiesystemen, regelmatige veiligheidsaudits en patch management.

Train je personeel

60% van de succesvolle cyberaanvallen kan worden toegeschreven aan menselijke onoplettendheid. Dit onderstreept het cruciale belang van een grondige en alomvattende training van je personeel. Het is essentieel dat je hele team een diepgaand begrip ontwikkelt van de unieke uitdagingen en risico’s die gepaard gaan met OT-beveiliging. Deze bewustmaking moet verder gaan dan alleen het IT-personeel; het is van vitaal belang dat operators, ingenieurs en zelfs administratief personeel actief betrokken worden bij dit proces. Door iedereen te betrekken, creëer je een cultuur van cyberbewustzijn die de eerste verdedigingslinie vormt tegen potentiële bedreigingen.

Stel een robuust governance-raamwerk op

Zonder duidelijke beleidslijnen, heldere verantwoordelijkheden en consistente naleving bouw je een digitaal kaartenhuis. Een goed gedocumenteerd en geoefend proces maakt namelijk het verschil tussen een kleine verstoring en een volledige systeemuitval. Het stelt je team in staat om snel en effectief te handelen, ongeacht wie er op dat moment de leiding heeft. Door regelmatig te oefenen, versterk je niet alleen je reactievermogen, maar til je je hele cyberbeveiligingsaanpak naar een hoger niveau. Zo leg je een solide basis voor continue verbetering van je OT security.

Voldoen aan NIS2 is slechts een startpunt. We moeten verder kijken dan het eenmalig naleven van wetgeving en onze kritieke infrastructuur continu beveiligen. Onze verantwoordelijkheid gaat verder dan het afvinken van vakjes op een regelgevende checklist. Het gaat om het voortdurend onderhouden van de cyberbeveiligingspositie van de systemen die onze lichten laten branden, ons water laten stromen en onze industrieën laten functioneren. De inzet kon niet hoger zijn. De cyberdreigingen zijn reëel, en ze evolueren constant. Daarom is het cruciaal om onze beveiligingsmaatregelen voortdurend te evalueren en aan te passen. Want laten we eerlijk zijn: in de wereld van cyberbeveiliging sta je stil of ga je vooruit – en stilstand is geen optie.

Dit is een ingezonden bijdrage van SoterICS. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.