IT en OT zijn twee aparte werelden. Een brug slaan tussen beide afdelingen levert desondanks enorme voordelen op, aldus Simon Dompeling van YaWorks. “De eerste en moeilijkste stap is om met een open instelling samen om de tafel te gaan zitten.”
Dompeling is Senior Consultant bij IT-dienstverlener YaWorks. Hij heeft inmiddels vaker de IT- en OT-afdeling bij een bedrijf op één lijn gebracht. Wat volgens hem een absolute voorwaarde is voor het welslagen van dergelijke projecten is dat ook de directie aangehaakt is, want: “zonder mandaat ga je helemaal niks veranderen en je krijgt geen mandaat als je het probleem niet duidelijk kan uitleggen, dus daar ligt de eerste belangrijke taak”
Organisatie
Volgens Dompeling begint het In de praktijk vaak bij een auditor. Die signaleert een aantal OT & IT risico’s in de systemen en gaat vragen stellen. “De OT-systemen zijn tegenwoordig minstens zo kritiek zijn als IT-systemen, dus een auditor verwacht dat het beheer minimaal op hetzelfde niveau is. Maar waar in de loop der jaren bedrijven de regie over IT centraliseerde, standaardiseerde en ITIL introduceerde, ligt de regie voor OT veelal bij de fabriek. Elke fabriek werkt vaak nog steeds met een eigen OT-systeem, een eigen profit and loss, eigen OT-partners en eigen OT-beheer. Helaas heeft een enkele fabriek heeft vrijwel nooit de massa of de middelen om het OT-beheer op het gewenste niveau te brengen.”
De vernieuwing van OT is dan ook vaak IT gedreven. “IT en OT zijn fundamenteel anders, met een compleet andere manier van werken; en die scheiding gaat van onder tot boven door de hele organisatie. Daar waar IT onder de CIO valt en rapporteert aan de CFO, hangt de supply chain vaak onder de COO en rapporteert aan de CEO. Dus ze moeten echt samen om de tafel om eruit te komen.”
Veiligheid vs beveiliging
Het belangrijkste verschil wat overbrugd moet worden is volgens Dompeling de nadruk op veiligheid bij de ene groep en beveiliging bij de andere. “Bij OT gaat het om de beschikbaarheid van het systeem zodat de fabriek in de eerste plaats altijd kan blijven draaien en er geen slachtoffers vallen door een mankement in het systeem; voor IT is het belangrijk dat informatie niet ongewenst verandert of in verkeerde handen valt.”
Vaak zie je dat IT haar beveiligingsbeleid probeert te op te leggen op de fabrieksomgeving. Maar een IT-beveiligingsbeleid is gericht op risico’s die meestal niet of nauwelijks in de fabrieksomgeving voorkomen. IT laat zich vaak leiden door eigen ervaringen en belevingen om te bepalen wat belangrijk is.
Productieproces bepaalt de organisatie
Een andere uitdaging is dat het in de maakindustrie draait om het productieproces. Dit maakt elke fabrieksomgeving en dus ook elke OT-omgeving uniek. Terwijl de ondersteunende organisatie, waaronder personeelszaken, marketing, boekhoudingsafdeling, etc, over het algemeen vergelijkbaar zijn ingericht met vergelijkbare security vereisten en risico’s. Binnen de OT-omgeving hangt dit sterk af van het productieproces zelf en heeft elk productieproces andere veiligheidsrisico’s vanwege het werken met machines, en heeft elk productieproces andere karakteristieken, risico’s en marges. De OT-cultuur in bijvoorbeeld de petrochemie is volkomen anders dan die in de food & beverage.
Het is dan ook niet gek dat er dan cultuurverschillen ontstaan tussen de maak- en ondersteunende organisatie.
Inleven
IT en OT hebben duidelijk verschillende behoeften en de diensten van een IT-afdeling hoeven niet toepasbaar te zijn in een fabrieksomgeving.
Daarbij heeft IT heeft de luxe dat zij zichzelf elke vier à vijf jaar opnieuw kan uitvinden omdat de levensduur van de apparatuur veel korter is. OT kan dit vaak niet, zij hebben te maken met fabrieksmachines die vaak meer dan twintig jaar meegaan. “IT en OT zijn gewoon fundamenteel anders, met een compleet andere manier van werken.”
Toch is het is mogelijk om beiden nader tot elkaar te brengen, zo heeft Dompeling ervaren. “De eerste en moeilijkste stap is om met een open instelling samen om de tafel te gaan zitten.”
Het is zaak om de overeenkomsten en verschillen zo concreet mogelijk te maken en de noodzaak voor de verschillen voor zowel de maak- als ondersteunde organisaties te onderbouwen.
Bij het concretiseren worden verschillen in bijvoorbeeld service venster, servicelevels, onderhoudsvensters, updatebeleid, wijzigingsbeheer, duidelijk. Zo ontdek je dat een gedeelde IT/OT dienstverlening respectievelijk overdelivered of underdelivered voor of de maak- of ondersteunde organisatie.
Ook moet besloten worden welke systemen in welke zone horen. Bij deze bepaling kijk je naar de organisatie die het systeem uiteindelijk bedient. “Een SCADA server is geen IT-systeem omdat het een server is, maar OT-systeem omdat SCADA de maak-organisatie bedient. Sommige (infrastructuur-) systemen bedienen beide organisaties en in deze gevallen moet een keuze worden gemaakt voor het ontvlechten of een niet suboptimale ondersteuning voor één van de twee afdelingen”.
Daarna is het belangrijk om een scheiding met beperkte communicatie tussen de zones aan te brengen. Een goede scheiding beschermt de kritieke OT-systemen, voorziet tegelijkertijd in de behoefte aan ondersteuning op afstand en de ontsluiting van data OT naar buiten en heeft duidelijke spelregels over toegestane communicatie van en naar de OT-zone.
Uiteindelijk, aldus Dompeling, kom je dan tot efficiëntere en beheersbare processen binnen de onderneming die kunnen rekenen op instemming van IT én OT.
“Als je echt een brug weet te slaan tussen OT en IT zijn de potentiële voordelen enorm. Denk aan het verbeteren van systeembeheer, downtime te verminderen door ondersteuning op afstand en preventief onderhoud te verbeteren door de toepassing van kunstmatige intelligentie. En de eerste stap kan je in feite vandaag al zetten door de vloer op te stappen en in gesprek te gaan.”
Meer over Yaworks
Eerder verschenen artikel van Yaworks. Meer weten over Yaworks of wat voor uw organisatie kunnen betekenen? Kijk dan eens op onze website!
WTF is OT nu weer?! Op de homepage van Yaworks is het niet te vinden en in het vorige artikel ook al niet.
ja Hens, het “blijft moeilijk” zegt het artikel al.
Op https://en.wikipedia.org/wiki/Operational_technology kun je wat over lezen.
of https://www.google.com/search?q=ot+vs+it+images plaatjes kijken
Wie op blauwe balkje klikt van sponsored topics begrijpt dat het om een marketingverhaal gaat waar redactie gewoon verantwoordelijk voor is omdat centjes niet zonder verantwoordelijkheid zijn. En marketingafdeling van Yaworks moet zich af gaan vragen of ze de lezer wel weten te bereiken met een warrig verhaal. We zullen geen reclame maken voor andere kanalen maar redacteur van dienst verdient stokslagen voor deze content.
Goh, Oudlid die iets warrig vindt … je verwacht het niet 🙂
Maar ben het wel met hem eens, in die zin dat het verhaal beetje van de hak op de tak springt
Mijn ervaring is dat het vooral lastig is om sommige managers duidelijk te maken waarom good practices uit de IT ontwikkeling niet/lastig toegepast kunnen in een OT omgeving.
Bijvoorbeeld een enkele versie van een app die gebruikers zelf kunnen downloaden uit een appstore vereist een heel andere vorm van lifecycle management en distributie dan bijv. firmware voor röntgenscanners, waarbij de scanners wereldwijd verspreid staan, waarvan er meerdere versies in het veld actief zijn en waarbij de installatie alleen maar kan/mag gebeuren door een service engineer.
Maar ook de mooie verhalen dat men in een CI/CD pipeline binnen een paar minuten kan testen en deployen in productie zonder dat gebruikers daar last van hebben klinken heel mooi, maar het compileren van 15 miljoen regels code of meer red je niet in een paar minuten, laat staan een PLC in productie upgraden zonder dat de klant er last van heeft
Als je voor een artikel geld hebt betaald dan gaat het om marketing en dan lijkt het me prettig als verhaallijn enige structuur heeft zodat de lezer weet wat problemen zijn. Service vensters, servicelevels, onderhoudsvensters, updatebeleid en wijzigingsbeheer klinkt mij meer als ROBUST IT in de oren want 20 jaar of nog oudere code laat zien dat niet alles FAST IT is wat de klok slaat. En Dino weet daar alles van als het om de gescheiden werelden gaat. Want misschien dat de versie van ITIL niet passend is maar de eerste brug naar de directie gaat om het configuratie management waar bij naar mijn weten LCM een onderdeel van is.
Een brug slaan tussen OT en IT om (systeem)beheer te verbeteren, downtime te verminderen door ondersteuning op afstand en preventief onderhoud door toepassing van kunstmatige intelligentie klinkt als Industrie 4.0 waarin I(i)OT een rol speelt. En het statement dat IT risico’s meestal niet of nauwelijks in de fabrieksomgeving voorkomen is achterhaald doordat er gebruik gemaakt wordt van de generieke IT-middelen waardoor ook de IT-problemen in de procesautomatisering worden geïntroduceerd.