‘Cybersecurity is een ander soort veiligheid’

“De industrie is gewend om veiligheid te borgen in fysieke processen. Maar cybersecurity is een ander soort veiligheid; minder zichtbaar, maar net zo essentieel. We zien dat organisaties pas in beweging komen wanneer de gevolgen van uitval of sabotage tastbaar worden.”

Dat zegt Ruud Welschen, Industrial Cybersecurity Consultant bij Siemens Nederland, naar aanleiding van uit nieuw onderzoek in opdracht van Siemens Nederland. Het kwalitatief onderzoek naar de cyberweerbaarheid binnen industriële omgevingen, laat zien dat de kloof tussen digitale risico’s en interne kennis, verantwoordelijkheden en bewustzijn leidt tot een schijngevoel van veiligheid. “Door nu te investeren in kennis, rollen en samenwerking, voorkom je dat schijnveiligheid verandert in een daadwerkelijke crisis”, aldus Welschen.

Aantrekkelijker voor cybercriminelen

De digitalisering van productieomgevingen heeft de afhankelijkheid van automatisering vergroot. Tegelijkertijd worden OT-netwerken door koppeling met IT steeds aantrekkelijker voor cybercriminelen. Hoewel de externe dreiging stijgt, onderschat zo’n 60 procent van de bedrijven de impact die een OT-gerichte cyberaanval kan hebben. Een hack kan niet alleen leiden tot stilstand of financiële schade, maar ook risico’s veroorzaken voor milieu, arbeidsveiligheid of zelfs volksgezondheid.

Wie is verantwoordelijk?

Uit de interviews met middenmanagers blijkt dat onduidelijk is wie binnen de organisatie verantwoordelijk is voor de veiligheid van OT-systemen. Deze versnippering leidt tot een zogenoemd ‘verantwoordelijkheidsvacuüm’, waarbij niemand eigenaarschap neemt. Bovendien wordt OT-security vaak nog gezien als een IT-aangelegenheid, waardoor specifiek noodzakelijke proces- en machinekennis ontbreekt.

Hierdoor ontstaat, aldus het onderzoek, een blinde vlek die medewerkers het gevoel kan geven dat de situatie veilig is, terwijl dat feitelijk niet zo hoeft te zijn. Siemens pleit voor een integrale benadering waarbij technologie, mensen, procedures en partnerschappen samenkomen. Dit vraagt onder andere om duidelijkheid in rollen, regelmatige training en samenwerking tussen productiebedrijven en OT-leveranciers.

Wat te doen?

Maar wat staat je dan te doen? Uit het onderzoek komen oplossingsrichtingen naar voren:

• Formuleer duidelijke verantwoordelijkheden en eigenaarschap binnen OT-beveiliging.

• Investeer in gerichte opleidingen en awareness-programma’s voor operators en management.

• Borg cybersecurity in bestaande veiligheids- en onderhoudsprocessen.

Download hier de Siemens-whitepaper Cyberweerbaarheid van de industrie: Schijnveiligheid?