1. Home

  2. Over Festo

  3. Blog

  4. Innovatie

Van Duijnhoven noemt cyberdreiging daarom een epidemie. Vooral in de maakindustrie nemen de risico’s snel toe: het is inmiddels de meest aangevallen OT-sector ter wereld. En de schade loopt in de miljarden. In 2021 lag bij de Bakker Logistiek wekenlang het transport van kaas stil na een cyberaanval, en eerder dit jaar verloor Jaguar Land Rover tientallen miljoenen toen zijn autofabrieken werden platgelegd.

Cybersecurity in IT én OT

Volgens Van Duijnhoven zit de zwakste schakel niet altijd in de IT, maar juist in de OT. De verschillen tussen beide werelden zijn groot. Waar het IT-beveiligers te doen is om vertrouwelijkheid, integriteit en beschikbaarheid, is die volgorde in de fabriekshal precies omgekeerd. ‘In OT is beschikbaarheid heilig’, zegt hij. ‘Een laptop mag best een dag offline voor een update, maar een productielijn niet. Die moet blijven draaien.’

Daar komt bij dat IT-systemen meestal na vijf jaar worden vervangen, terwijl machines in de industrie soms twintig jaar meegaan. Wat vandaag veilig is, kan over tien jaar een risico zijn. Daarom vraagt OT-security om een andere manier van denken: niet alleen beschermen, maar ook blijven controleren. ‘Een firewall instellen is niet genoeg. Je moet continu weten wat er draait, wie toegang heeft, en welke functies echt nodig zijn.’

Van Duijnhoven wijst op een aantal maatregelen die steeds vaker worden toegepast. Zo trekken eindgebruikers het beheer van remote access steeds vaker naar zich toe. Toeleverende machinebouwers kunnen op die manier alleen nog toegang krijgen tot hun systemen als de lokale operator daarvoor tijdelijk toestemming geeft. Zelfs fysieke schakelaars om een VPN-verbinding te activeren winnen terrein. ‘Dat klinkt ouderwets, maar het geeft de fabriek directe regie over wie er binnenkomt.’

Gouden standaard

De internationale standaard IEC 62443 biedt bedrijven een stevige basis voor hun cybersecuritystrategie. Die norm is speciaal ontwikkeld voor machinebouwers en productiebedrijven, met verschillende securitylevels die stap voor stap kunnen worden ingevoerd. ‘SL-2 is voor de meeste bedrijven een realistisch doel’, vindt Van Duijnhoven. ‘Het framework wordt actief onderhouden door de markt en de community, dus de eisen zijn relevant en toekomstbestendig. Het is de gouden standaard voor cyberveilige productie. Wie nu volgens IEC 62443 werkt, voldoet straks voor tachtig procent aan alle komende regelgeving.’

IXON past de principes zelf toe in zijn eigen routerplatform. Zo beschermt een TPM-chip de meest cruciale code via een secure boot, is het OT-netwerk fysiek gescheiden van de cloud, en staan alleen noodzakelijke services aan. Functies zoals SSH, WiFi-hotspots of USB zijn beschikbaar, maar zijn standaard uitgeschakeld om het aanvalsoppervlak zo klein mogelijk te houden. Daarnaast biedt het systeem lokale controle over VPN-verbindingen, continue monitoring via syslogs, en mogelijkheden voor snelle back-ups en resets.

Toch draait het niet alleen om techniek. ‘Security is een continu proces’, benadrukt Van Duijnhoven. ‘Patching van losse features is geen duurzame strategie. Je moet weten welke risico’s het grootst zijn en wat de impact is als er iets misgaat.’ Een risk assessment helpt daarbij: inschatten hoe waarschijnlijk een aanval is, en hoeveel schade die zou veroorzaken.

EU vs VS

In Europa komt de druk vooral vanuit wet- en regelgeving, met de Cyber Resilience Act en de aanstaande NIS2-richtlijn als belangrijkste drijfveren. In de Verenigde Staten werkt het anders: daar zijn cybersecuritymaatregelen gestoeld op best practices en industriestandaarden zoals het NIST Cybersecurity Framework. Bedrijven krijgen er geen boete als er iets misgaat, maar kunnen wel worden aangeklaagd door klanten of partners. ‘Dat maakt aantoonbaarheid belangrijk’, zegt Van Duijnhoven. ‘In dat opzicht is de IEC 62443 ook voor de Amerikaanse markt een waardevol instrument, want als je daaraan voldoet, kun je laten zien dat je alles hebt gedaan wat redelijkerwijs mogelijk is.’

Nu beginnen

Op de vraag uit het publiek wat te doen met oude machines, antwoordt hij: ‘De wet stelt geen verplichtingen aan de cybersecurity van de installed base, maar je kunt ze beter wel beschermen. Zet ze in een afgeschermd netwerk, beperk toegang, en blijf monitoren. Het belangrijkste is dat je vooral nu begint met cybersecuritymaatregelen want in alle gevallen geldt dat niets doen de grootste kwetsbaarheden oplevert.’

www.IXON.cloud