Er is een patroon dat steeds weer naar voren komt in productieomgevingen waar aan OT-cyberbeveiligingsprogramma’s wordt gewerkt. De audit verloopt vlekkeloos. De controles zijn gedocumenteerd. Alle vakjes in het raamwerk zijn aangevinkt. En toch klopt er iets niet op de werkvloer: operators zoeken naar tijdelijke oplossingen, de reactietijden zijn vertraagd of een onderhoudsvenster is complexer geworden dan het zou moeten zijn.
Het systeem is goedgekeurd. Maar de werking is niet verbeterd.
Dit is geen kwestie van gebrekkige uitvoering. Het gaat om een structurele discrepantie die de kern vormt van de naleving van OT-cyberbeveiliging, en waarvoor de meeste beveiligingskaders nooit zijn ontworpen.
Normen zoals IEC 62443 en wettelijke vereisten zoals NIS2 zijn ontwikkeld om consistentie te brengen waar die ontbrak. Ze leggen vast welke beheersmaatregelen er moeten zijn, welke documentatie moet worden bijgehouden en welke bestuursstructuren er moeten zijn. Voor organisaties die verantwoording willen afleggen – aan auditors, toezichthouders en raden van bestuur – vervullen ze een duidelijk doel.
Maar frameworks geven antwoord op een specifieke vraag: zijn de juiste zaken gedefinieerd?
Ze geven geen antwoord op de vraag: wat gebeurt er als dit wordt geïmplementeerd op een productielijn die al elf jaar met dezelfde PLC-firmware draait?
OT-omgevingen zijn geen homogene systemen die erop wachten om beveiligd te worden. Het zijn gelaagde, heterogene en vaak onvoldoende gedocumenteerde verzamelingen van apparatuur met onderlinge afhankelijkheden die bij de installatie niet in kaart zijn gebracht en sindsdien niet meer zijn geëvalueerd. Verouderde systemen spelen een dominante rol. Downtime wordt gemeten in reële productiekosten. En de relaties tussen systemen – wat communiceert met wat, onder welke omstandigheden, met welke tolerantie voor verandering – worden vaak alleen begrepen door de mensen die ze al jaren bedienen.
In nalevingskaders wordt uitgegaan van een mate van standaardisatie die in de meeste bestaande productieomgevingen simpelweg niet aanwezig is. Juist die aanname vormt de bron van de kloof.
Een productiegericht raamwerk voor fabrikanten die hun bedrijfsvoering moeten beveiligen zonder deze te verstoren.
In de praktijk heeft het een naam, ook al komt die zelden voor in beveiligingsrapporten: conform, maar onstabiel.
Alle vereiste beheersmaatregelen zijn getroffen. Aan de auditcriteria is voldaan. Op papier ziet de beveiligingssituatie er solide uit. En toch is de fabriek moeilijker te runnen dan voorheen. Niet drastisch – geen enkele beheersmaatregel heeft tot een ineenstorting geleid – maar operationeel gezien is er iets veranderd.
Drie situaties illustreren dit patroon op consistente wijze.
Het segmenteren van OT-netwerken is een fundamentele beheersmaatregel in elk serieus OT-beveiligingsraamwerk, en terecht. Het doel is inperking: het beperken van de omvang van de schade als zich een incident voordoet. Maar in een productieomgeving waar specifieke systemen communiceren over wat het raamwerk nu als afzonderlijke zones definieert, verstoort een rigide implementatie de bestaande werkprocessen. Handmatige omzeilingen worden de norm. Operators passen zich aan, maar elke tijdelijke oplossing zorgt voor extra wrijving en ondermijnt de beheerslogica die de segmentatie juist had moeten afdwingen.
Het toepassen van patches op OT-systemen wordt steeds vaker verplicht gesteld in het kader van normen zoals IEC 62443-2-1 en uit NIS2 voortvloeiende eisen. Er wordt een planning opgesteld, gedocumenteerd en nageleefd. Maar productiesystemen in de productiesector hebben geen onderhoudsvensters die aansluiten bij de releasecycli van leveranciers. Het op het verkeerde moment doorvoeren van patches in live-omgevingen leidt tot instabiliteit — en die instabiliteit heeft vaak langere operationele gevolgen dan de kwetsbaarheid die ermee moest worden verholpen.
Het beperken van rechten is een beproefde beveiligingspraktijk. Op rollen gebaseerde toegang, sessies met een tijdslimiet, een architectuur op basis van het principe van minimale rechten – allemaal verdedigbare maatregelen, allemaal controleerbaar. Maar wanneer toegangsbeleidsregels worden toegepast zonder rekening te houden met de manier waarop operators en leveranciers in de praktijk met systemen omgaan onder reële productieomstandigheden, is het resultaat voorspelbaar: er ontstaan gedeelde accounts, toegangscontroles worden omzeild en het bestuursmodel dat er op papier solide uitzag, wijkt al af van wat er in de praktijk gebeurt.
In beide gevallen zijn de controles in theorie correct. Het probleem zit hem in de uitvoering — met name in het ontbreken van een operationele validatie vóór de implementatie.
Wat dit bijzonder lastig maakt, is dat OT-omgevingen zich bij veranderingen anders gedragen dan IT-omgevingen. In de IT is een verbetering van de beveiliging doorgaans cumulatief: er wordt een beveiligingsmaatregel toegepast, het systeem past zich aan en de beveiligingsstatus verbetert. Er zijn weliswaar onbedoelde gevolgen, maar die blijven meestal beperkt en zijn herstelbaar.
In OT hebben kleine veranderingen grote gevolgen. Een communicatiestroom die jarenlang betrouwbaar heeft gewerkt, is gebaseerd op aannames over de timing die nergens op papier staan. Een segmentatieregel die er op een netwerkdiagram overzichtelijk uitziet, raakt aan een verouderde SCADA-handshake die alleen een technicus van de leverancier begreep. Een firmware-update die in een laboratoriumomgeving is getest, gedraagt zich anders in een fabriek waar al zes dagen lang dezelfde productiebatch draait zonder dat het systeem opnieuw is opgestart.
De onderlinge afhankelijkheden zijn reëel. Ze worden vaak niet gedocumenteerd. En compliance-kaders geven hier geen beeld van — omdat ze dat niet kunnen. Geen enkele norm kan anticiperen op de specifieke operationele logica van de systemen van een bepaalde fabriek.
Daarom is operationele stabiliteit de belangrijkste maatstaf voor het succes van beveiligingsmaatregelen in OT-omgevingen, en niet de resultaten van audits. Een beveiligingsprogramma dat weliswaar aan de voorschriften voldoet, maar ten koste gaat van de stabiliteit, heeft de risicopositie van de organisatie niet verbeterd — het heeft het risico alleen maar verplaatst.
Het langetermijneffect van OT-beveiligingsprogramma’s die uitsluitend gericht zijn op naleving en geen rekening houden met de operationele gevolgen, is een specifiek soort organisatorische afglijding.
Beveiligingsteams zorgen ervoor dat de compliance-structuur in stand blijft. Operationele teams passen zich aan aan de weerstand die hierdoor ontstaat – lokaal, informeel en zonder documentatie. Controles worden op fabrieksniveau aangepast. Tijdelijke oplossingen raken verankerd in de dagelijkse bedrijfsvoering. Het beleid en de operationele praktijk lopen langzaam uit elkaar.
Na verloop van tijd lopen wat er in het compliancekader staat vastgelegd en wat er daadwerkelijk op de werkvloer gebeurt, sterk uiteen. De audit wordt nog steeds goedgekeurd – omdat de vastgelegde controles nog steeds bestaan. Maar de feitelijke beveiligingsstatus van de organisatie, die ertoe doet als er iets misgaat, wordt informeel beheerd door mensen wier voornaamste zorg is dat de productie draaiende blijft.
Dit is geen gebrek aan discipline. Het is een structureel gevolg van het toepassen van frameworklogica op omgevingen waarvoor die frameworks niet zijn ontworpen.
De vereiste verschuiving is niet die van naleving naar niet-naleving. Het in overeenstemming brengen met de regelgeving van NIS2 en IEC 62443 is een legitieme verplichting voor productiebedrijven die actief zijn in kritieke sectoren, en de verantwoordingsplicht die dit op managementniveau met zich meebrengt, is terecht. De vraag is niet of er aan de regels moet worden voldaan, maar wat naleving op zichzelf niet kan beantwoorden.
Naast de vraag "voldoen we aan de voorschriften?", moeten leidinggevenden in de productiesector die verantwoordelijk zijn voor OT-beveiliging zich ook afvragen:
Deze vragen staan niet haaks op compliance. Ze zorgen er juist voor dat compliance duurzaam is — ze voorkomen dat de kloof tussen het beveiligingsmodel en de werkvloer in de loop van de tijd steeds groter wordt.
Cybersecurityprogramma's voor OT die rekening houden met operationele volgordes, productiebeperkingen en het gedrag van het daadwerkelijke systeem zorgen niet alleen voor naleving. Ze zorgen er ook voor dat die naleving wordt gehandhaafd, omdat de maatregelen die ze implementeren, daadwerkelijk door de fabriek kunnen worden volgehouden.
