Beginnen met OT-security

Helaas wordt OT-security nog te vaak behandeld als “gewone IT”: dezelfde maatregelen, dezelfde tooling, hetzelfde tempo. Dat gaat in de praktijk regelmatig mis, zo is de ervaring van OT-specialist Legian. OT heeft nu eenmaal een eigen dynamiek. Beschikbaarheid en veiligheid staan voorop, en een kleine wijziging kan onverwacht grote impact hebben op productieprocessen.

Goed bruikbare best practices

Volgens Jasper Rappard (Security Engineer bij Legian) en Nandenie Moenielal (verantwoordelijk voor Business Development Security bij Legian) begint een pragmatische aanpak daarom niet met een megaproject, maar met snelle, werkbare acties. “Zichtbaarheid in je OT-omgeving is belangrijk”, stelt Rappard, “maar de vraag is ook: wat doe je met wat je ziet?” De les die Rappard wil aangeven, is dan ook: monitoring neerzetten is uiteraard prima – maar niet genoeg. Je hebt afspraken nodig over opvolging: wie beoordeelt meldingen, wie mag ingrijpen, wie bel je als een alert een leverancierssysteem raakt, en liggen contactlijsten en escalatieroutes klaar?

Een tweede les: probeer niet in één keer alles te inventariseren. Moenielal: “Juist in middelgrote en grote organisaties kan de vrees ontstaan dat een OT-traject maanden of zelfs jaren duurt en vooral onrust veroorzaakt. Legian kiest daarom vaak voor een representatieve steekproef: selecteer enkele locaties of een beperkt aantal kritische systemen dat samen een realistisch beeld geeft. Dat levert snel inzicht op in patronen, grootste risico’s en “first things first”-prioriteiten, zonder dat je de hele organisatie stil legt.”

Praten met mensen op de werkvloer

De derde les is opvallend simpel, maar vaak doorslaggevend: ga praten met de mensen op de werkvloer. In OT zit veel kennis bij operators en onderhoudsteams. Documentatie is er vaak wél, maar niet in IT-vriendelijke diagrammen. Het zit in ordners in de kast, in elektrische schema’s en installatietekeningen, en in routines die al jaren goed werken. Wie alleen vanuit de IT-bril naar “gebrek aan documentatie” kijkt, mist die werkelijkheid. Site-visits zijn daarom geen formaliteit, maar een uitstekende methode om risico’s echt te begrijpen.

Daarbij helpt ook een vierde best practice waar Legian continu gebruik van maakt: gebruik je eigen nieuwsgierigheid. Kijk rond, stel vragen en toets aannames, vertelt Rappard. “Zie je ergens een antenne op een kastje? Vraag wat die doet. Is het een nuttige verbinding? Of een omweg langs de remote access-regels? Zie je een monteur met een laptop aan een installatie? Vraag hoe die laptop wordt beheerd, welke toegangsafspraken gelden en wie toezicht houdt. In OT gaat security niet alleen over technologie, maar ook over gewoontes, eigenaarschap en afspraken tussen operations, IT, security en leveranciers.”

Volop praktijkervaring

Die combinatie van techniek, proces en mens komt volop terug in de praktijkomgevingen waar Legian actief is (vaak in multidisciplianire teams), zoals Huisman (machinebouwer), Rotterdam World Gateway (containerterminal) en Rotterdam The Hague Airport (luchthaven). Daar ligt de nadruk juist op verbinding tussen IT en OT, structuur, en haalbare stappen die draagvlak creëren.

Wil je OT-security zo inrichten dat het de operatie ondersteunt in plaats van blokkeert, dan is de kern: snel zichtbaar maken wat er is, klein beginnen met een slim gekozen steekproef, en het gesprek op de werkvloer organiseren. Legian positioneert zich daarbij als bruggenbouwer tussen engineers, operations en management, en ondersteunt daarnaast ook bij de implementatie. Met volop aandacht voor continuïteit, compliance én de realiteit van industriële systemen.