Life cycle management (lcm) klinkt als een weinig sexy onderwerp. Het is interessanter om je te richten op de aanschaf en implementatie van hard- en software dan op het onderhoud en beheer ervan op de langere termijn. Dit geldt in de it-wereld, maar nog sterker in de wereld van it voor ot, ofwel de it-aansturing van de operationele technologie. En dat terwijl lcm juist in dat laatste domein belangrijker is.
Operationele technologie wordt vaak aangeschaft voor jaren. Assets die dertig jaar of langer in gebruik zijn, vormen geen uitzondering. Je bouwt immers geen windmolenpark, trein of fabriek voor vijf jaar, je zet in op een levensduur van minimaal twintig of dertig jaar. Dat betekent dat de software die de windmolens, treinen of machines aanstuurt ook zolang mee moet gaan.
Daar wordt door leveranciers van deze assets lang niet altijd rekening mee gehouden. Vandaag de dag is het onderwerp lcm meer top-of-mind dan tien jaar geleden. Dat is ook nodig, want tegenwoordig hebben veel assets een internetverbinding en moeten ze samenwerken met andere systemen. Dat zorgt voor problemen en (cyber)dreigingen die voorheen niet bestonden. Een keten is immers zo sterk als zijn zwakste schakel. Die zwakste schakel zijn vaak assets zoals labelprinters die nog worden aangestuurd door dos, machines die nog draaien op Windows XP of Windows 7 of netwerkapparatuur die al een paar jaar niet meer wordt ondersteund door de leverancier. Soms is deze apparatuur bewust, met medeweten van het it-management, neergezet. Maar vaak ook gaat het om schaduw-it.
Maak een technology roadmap
Het erge is: iedereen weet dat dit soort assets er zijn. De organisatie is daardoor bewust onbekwaam bezig. Hoewel iedereen op de hoogte is van het probleem, neemt niemand de verantwoordelijkheid om eens een goede inventarisatie te maken van de aard en omvang ervan. Ze onderschatten de kans dat zo’n oude switch of OS wordt gehackt.
Ook zien ze op tegen het tijdrovende handwerk dat een inventarisatie met zich meebrengt. Het is natuurlijk een grote klus om je hele stack, van het netwerk tot aan de computers waar de ot op draait, inzichtelijk te maken. Welke hardware wordt precies gebruikt? Welke versie van de software draait daar op? In welke versie van welke programmeertaal is die software geschreven? Wanneer verloopt de ondersteuning op de hard- en software?
Een it voor ot-omgeving bestaat al snel uit tientallen tot honderden componenten. En je bent er niet met een eenmalige inventarisatie. Een lcm-overzicht is dan ook een levend document. Vandaar dat ik liever spreek over een technology roadmap.
Budgetteer investeringen in updates en upgrades
De belangrijkste functie van een technology roadmap is inzicht bieden in welke hard- en software wanneer uiterlijk vervangen moet worden omdat de leverancier die dan niet meer ondersteunt. Op die manier kun je ruim van tevoren investeringen in updates en upgrades budgetteren. Zo voorkom je dat investeringen eenzijdig worden bekeken vanuit het kostenperspectief. Want je moet natuurlijk ook rekening houden met de risico’s en de mogelijke schade die dan optreedt. Kijk daarom naar investeringen in nieuwe hard- en software als naar een verzekeringspolis: je hoopt dat je die verzekering nooit nodig hebt, maar toch sluit je ‘m af.
Voorkom ongeplande uitval of een hack
Want achterstallig onderhoud aan de it voor ot-omgeving kan leiden tot hoge schadeposten. De twee belangrijkste zijn ongeplande uitval en de kans op een hack. Neem bij de berekening van de kosten van deze risico’s niet alleen de directe, maar ook de indirecte kosten mee. Wat zijn bijvoorbeeld de maatschappelijke kosten als plotseling de bediening van een brug of tunnelinstallatie uitvalt, waardoor er lange files ontstaan en mensen misschien wel dagenlang moeten omrijden? Wat doet het met het imago van een spoordienstverlener als treinen door softwareproblemen uitvallen?
Upgraden vaak lastig
Heb je eenmaal een up-to-date technology roadmap, dan weet je welke hard- en software wanneer aan vervanging of een update toe is. Daarbij loop je in de it voor ot-wereld tegen andere problemen aan dan in de it-wereld. Je kunt bij je leverancier aankloppen met de vraag of er een hogere versie van het OS voor een bepaalde machine beschikbaar is. Maar vaak is het antwoord nee. Je hebt dan verschillende opties. Je kiest een nieuwe leverancier. Je schrijft de software volledig opnieuw voor een modern OS. En als deze opties niet mogelijk zijn of teveel kosten, isoleer de desbetreffende systemen zodat ze beschermd zijn voor aanvallen van buitenaf.
Kortom, lcm voor de it-aansturing van ot is veel werk dat hoge kosten met zich meebrengt. Maar nu vrijwel alle assets verbonden zijn met het internet en samenwerken in een keten van systemen, kun je niet langer het risico nemen dat ze uitvallen of worden gehackt. Bovendien, de risico’s en mogelijke schade zijn vandaag de dag bekend. Blijf dus niet onbewust onbekwaam.
(Auteur Neal Peters is it-architect bij Conclusion Mission Critical.)