Operationele technologie (OT)-omgevingen, zoals productiesystemen, waterzuiveringsinstallaties en energiecentrales, zijn steeds vaker het doelwit van hackers. Aanvallers nemen daarbij in toenemende mate de controle over, wat tot levensgevaarlijke situaties kan leiden. Deze trend vraagt dringend om een herziening van beveiligingsstrategieën en een focus op specifieke risico’s. Dit blijkt uit het recente rapport Security Navigator 2025 van Orange Cyberdefense.
De onderzoekers trekken in het rapport een aantal conclusies:
1. Aanvallen zijn steeds vaker direct gericht op OT
81% van de geregistreerde aanvallen is nog altijd gericht op IT-systemen. Toch signaleren de onderzoekers een alarmerende verschuiving: aanvallers richten hun pijlen steeds vaker direct op OT. Een recente aanval op de Spaanse bio-energiecentrale Matadero de Gijón illustreert dit. Hier wist een aanvaller het SCADA-systeem (Supervisory Control and Data Acquisition) te beïnvloeden. Dat had direct gevolgen voor de fysieke operaties.
2. Bij 46% van de directe OT-aanvallen krijgen aanvallers controle over de omgeving
Zorgwekkend is daarnaast de groei van zogeheten ‘categorie 2-incidenten’. Dat zijn aanvallen die direct OT-systemen als doelwit hebben en gebruikmaken van geavanceerde tactieken. Hoewel deze slechts 16% van de geregistreerde aanvallen uitmaken, zijn ze bijzonder schadelijk. Bij 46% van deze aanvallen wisten de aanvallers controle over fysieke processen te verkrijgen. Dat is een zorgwekkende ontwikkeling met grote risico’s voor kritieke infrastructuren.
3. OT-omgevingen vaak onbedoeld slachtoffer van aanvallen op IT-systemen
Aanvallen die in IT-omgevingen beginnen, raken vaak ook OT-systemen. Deze ‘onbedoelde nevenschade’ komt doordat deze netwerken vaak onderling verbonden zijn. Zo kunnen ook aanvallen op IT zorgen voor ernstige verstoringen en stilstand in essentiële OT-operaties.
Tweesporenaanpak: preventie en schadebeperking
Wat OT-incidenten zo risicovol maakt, is dat ze direct invloed hebben op fysieke processen. Deze aanvallen kunnen leiden tot storingen in fabrieken, energiecentrales en andere kritieke infrastructuur. Dit brengt niet alleen economische schade met zich mee, maar kan ook gevaarlijke situaties veroorzaken, zoals stroomuitval, milieuschade of zelfs risico’s voor mensenlevens.
Orange Cyberdefense benadrukt het belang van een geïntegreerde tweesporenaanpak om OT-omgevingen beter te beschermen tegen de groeiende dreiging van aanvallen. Deze aanpak combineert proactieve maatregelen om aanvallen te voorkomen met reactieve strategieën om de schade bij incidenten te beperken.
1. Voorkom aanvallen: versterk de eerste verdedigingslinie
“OT-systemen vereisen een fundamenteel andere security-aanpak dan traditionele IT-infrastructuren”, stelt Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense. “De unieke kenmerken van deze omgevingen vereisen een aanpak die specifiek rekening houdt met de fysieke impact van cyberaanvallen.”
Aanbevelingen:
• Netwerksegmentatie: implementeer een strikte scheiding tussen het IT-netwerk en het OT-netwerk, met een goed beveiligde DMZ (demilitarized zone) daartussen. Splits netwerken daarnaast op in logische segmenten en beperk de communicatie tussen deze segmenten via firewalls en strikte toegangsrechten. “Segmentatie is essentieel om de bewegingsruimte van een aanvaller te minimaliseren. Eén compromittering mag nooit leiden tot volledige toegang tot het netwerk”, benadrukt Wijnands.
• Grondige inventarisatie: veel organisaties hebben geen volledig overzicht van de assets die zijn aangesloten op hun fabrieksnetwerken, laat staan dat zij weten hoe kwetsbaar deze zijn. Zo zetten zij nog steeds verouderde systemen zoals Windows XP in voor het aansturen van cruciale apparaten.
Orange Cyberdefense benadrukt daarom het belang van een grondige inventarisatie van fabrieksnetwerken en assets. Met bijvoorbeeld een Asset Discovery-service kunnen organisaties deze netwerken en systemen effectief in kaart brengen. Bovendien is het belangrijk om alle ontdekte systemen te koppelen aan de bijbehorende bedrijfsprocessen en het belang ervan zorgvuldig te documenteren. Dit biedt niet alleen inzicht, maar vormt ook een solide basis voor het verbeteren van de security en het waarborgen van bedrijfscontinuïteit.
• Beheer van externe apparaten: verminder risico’s door strikte regels op te stellen voor het gebruik van externe apparaten zoals laptops en USB-sticks. “Net zoals gereedschap op een werkplaats wordt gecontroleerd, zouden laptops van servicemonteurs en andere externe apparaten voordat ze verbinding maken grondig moeten worden gescand op malware”, adviseert Wijnands.
2. Beperk schade bij incidenten: zet in op resilience
Zelfs met de beste preventieve maatregelen is een inbreuk nooit volledig uit te sluiten. Daarom ligt de nadruk in de tweede pijler van de tweesporenaanpak op het minimaliseren van schade en snel herstel. “De kernvraag is niet of je wordt aangevallen, maar hoe snel je kunt reageren en herstellen”, zegt Wijnands. “OT-organisaties moeten voorbereid zijn op ernstige incidenten en duidelijke herstelplannen klaar hebben liggen.”
Aanbevelingen:
• Herstelmogelijkheden via Cyber Recovery Units: Orange Cyberdefense adviseert een technologie zoals de Cyber Recovery Unit, die continu back-ups maakt en systemen binnen seconden kan herstellen na een storing. “Bij mislukte patches of updates voorkomt deze oplossing ernstige verstoringen”, legt Wijnands uit.
• Realtime detectie: gebruik inbraakdetectie- en preventiesystemen (IDS/IPS) om verdachte activiteiten direct op te sporen en te blokkeren. “Een goed detectiesysteem kan het verschil maken tussen een gecontroleerd incident en een complete verstoring van operationele processen.”
• Train medewerkers: bewustwording speelt een cruciale rol. “Operators in OT-omgevingen moeten goed begrijpen wat de implicaties zijn van cyberdreigingen. Trainingen en simulaties helpen hen om snel en effectief te reageren op incidenten.”
