Cybersecurity - Digitaal én veilig produceren

Waarom productieomgevingen anders zijn dan kantoor-IT

Traditionele IT-security gaat over beschermen van data: vertrouwelijkheid, integriteit en beschikbaarheid. In productieomgevingen (Operational Technology, OT) ligt de nadruk anders.

• Beschikbaarheid is cruciaal. Een productielijn moet draaien. Updates die systemen herstarten zijn niet zomaar te plannen. Downtime kost direct geld en levert productieproblemen op.
• Realtime-eisen. Productiesystemen reageren in milliseconden. Beveiligingsmaatregelen die vertraging veroorzaken zijn onacceptabel. Een firewall die pakketjes met 100ms vertraagt kan een besturingssysteem verstoren.
• Lange levensduur van systemen. Machines en besturingen draaien vaak 10-20 jaar. Software updaten is niet altijd mogelijk zonder fabrieksgarantie te verliezen. Je kunt niet zomaar Windows XP machines vervangen die essentiële machines aansturen.
• Andere protocollen. Productie gebruikt industriële protocollen zoals Profinet, Modbus, OPC-UA in plaats van standaard IT-protocollen. Beveiligingstools moeten deze begrijpen.
• Fysieke toegang. Op de werkvloer lopen meer mensen rond dan op het kantoor. USB-sticks worden gebruikt voor dataoverdracht, laptops van technici worden aangesloten. Dit vergroot het risico op infectie.

Deze verschillen vragen om een specifieke aanpak die afwijkt van standaard IT-security.

De grootste bedreigingen voor productiebedrijven

Ransomware

Ransomeware is de meest voorkomende en schadelijke bedreiging. Criminelen infecteren systemen en versleutelen alle data. Productie ligt stil totdat losgeld betaald wordt. Zelfs na betaling is er geen garantie dat systemen hersteld worden. Schade: dagen tot weken stilstand plus mogelijk honderdduizenden euro's aan herstelkosten en losgeld.

Sabotage

Sabotage kan door ontevreden werknemers of kwaadwillende derden. Parameters worden aangepast, recepten gewijzigd, of machines verkeerd aangestuurd. Dit leidt tot kwaliteitsproblemen, uitval of gevaarlijke situaties. Detectie is moeilijk omdat het eruit ziet als normale bediening.

Spionage

Spionage door concurrenten of buitenlandse actoren die geïnteresseerd zijn in productieprocessen, recepten of klantgegevens. Dit blijft vaak lang onopgemerkt.

Uitval door per ongeluk geïntroduceerde malware.

Een operator steekt een geïnfecteerde USB-stick in een machine-PC, een technicus sluit zijn laptop aan die thuis een virus opliep. Zonder kwaad opzet wordt het netwerk besmet.

Supply chain aanvallen

Supply chain aanvallen waarbij leveranciers van software of hardware gecompromitteerd zijn en kwaadaardige code in updates stoppen. Dit is moeilijk te detecteren omdat het van vertrouwde bronnen komt.

Basisprincipes van OT-security

Een aantal fundamentele principes vormen de basis van goede beveiliging.

• Segmentatie van netwerken is de belangrijkste maatregel. Deel je netwerk op in zones: kantoornetwerk, productie-netwerk, en kritieke besturingssystemen. Tussen deze zones plaats je firewalls die verkeer filteren. Een infectie op kantoor kan dan niet overslaan naar productie.
• Binnen productie maak je ook segmenten: per productielijn, per afdeling of per kritieke functie. Dit beperkt de schade als toch iets binnenkomt.
• Defense in depth betekent meerdere lagen beveiliging. Als één laag faalt, zijn er nog andere. Dit omvat technische maatregelen (firewalls, antivirussoftware), procedurele maatregelen (toegangscontrole, wachtwoordbeleid) en menselijke maatregelen (training, bewustwording).
• Least privilege houdt in dat systemen en gebruikers alleen toegang hebben tot wat strikt noodzakelijk is. Een operator hoeft geen beheerdersrechten, een rapportagesysteem hoeft niet te kunnen schrijven naar productiebesturing.
• Patch management voor zover mogelijk. Update systemen regelmatig maar test eerst of dit productie niet verstoort. Voor kritieke systemen die niet geüpdatet kunnen worden: compenserende maatregelen zoals extra netwerkbescherming.

Praktische beveiligingsmaatregelen voor MKB

Deze acties kan elk productiebedrijf nemen zonder grote investeringen.

• Scheiding productie- en kantooornetwerk is relatief eenvoudig. Plaats een firewall tussen beide netwerken en sta alleen noodzakelijk verkeer toe. Computers in productie kunnen niet zomaar naar internet of kantoorservers.
• Geen standaard wachtwoorden op machines en systemen. Fabrieken leveren vaak machines met wachtwoorden als "admin/admin" of "1234". Verander deze direct bij installatie naar sterke, unieke wachtwoorden.
• USB-blokkering op kritieke systemen. Schakel USB-poorten uit of gebruik USB-locks. Alternatief: whitelist alleen goedgekeurde USB-devices. Dit voorkomt dat willekeurige USB-sticks aangesloten worden.
• Remote access via VPN in plaats van direct open internet-toegang. Als leveranciers of technici op afstand moeten kunnen inloggen, doe dit via een beveiligde VPN-verbinding. Geef toegang alleen wanneer nodig en monitor wat er gebeurt.
• Regelmatige backups van kritieke systemen. Test of deze backups ook daadwerkelijk te herstellen zijn. Bij ransomware is een recente backup je redding. Bewaar backups offline of op een apart netwerk zodat ze niet mee versleuteld worden.
• Fysieke beveiliging van kritieke systemen. Sluit serverkamers af, beperk toegang tot besturingskasten, en registreer wie wanneer waar geweest is.
• Anti-malware op alle productie-PC's die regelmatig met buitenwereld communiceren. Let op: kies software die geschikt is voor industriële omgevingen en geen realtime-processen verstoort.
• Monitoring en logging van netwerkverkeer en systeemactiviteit. Zie je abnormale patronen, onverwachte verbindingen, of verdachte logins. Dit helpt bij vroege detectie van problemen.

De menselijke factor

Hoewel technische maatregelen belangrijk zijn, maken mensen het verschil in cybersecurity. Bewustzijnstraining voor alle medewerkers, niet alleen IT-personeel, maar ook operators en technici, is daarom essentieel. Leg uit wat cyberrisico's zijn, wat de impact kan zijn en wat zij kunnen doen om deze te beperken.

Besteed speciale aandacht aan phishing-alertheid voor productiepersoneel, aangezien veel aanvallen beginnen met een misleidende e-mail. Creëer daarnaast een rapportagecultuur waarin medewerkers verdachte zaken durven te melden zonder angst voor verwijten. Als een operator per ongeluk een verkeerde USB-stick gebruikt, moet hij dit kunnen melden zodat direct actie kan worden ondernomen.

Tot slot is een duidelijk leveranciersbeleid noodzakelijk met afspraken over toegang, updates en beveiliging. Een technicus van een leverancier mag niet zomaar overal bij kunnen met zijn eigen laptop.

Incident response: wat doe je als het fout gaat?

Ondanks alle maatregelen kan het toch misgaan. Heb een plan voor wat dan te doen.

• Detectie: hoe merk je dat er iets niet klopt? Monitoring, meldingen van medewerkers, afwijkend systeemgedrag.
• Isolatie: hoe beperk je de schade? Welke systemen koppel je af, welke productie stop je, hoe voorkom je verdere verspreiding.
• Analyse: wat is er precies gebeurd, wat is de omvang, welke systemen zijn aangetast.
• Herstel: hoe krijg je systemen weer operationeel? Back-ups terugzetten, systemen opnieuw installeren, schone data inladen.
• Nazorg: wat leren we hiervan, welke maatregelen moeten worden getroffen, hoe verbeteren we detectie.

Maak een incident response plan en oefen deze scenario's. Wie doet wat, wie beslist over productiestop, wie communiceert met klanten. In de chaos van een daadwerkelijk incident is geen tijd om dit uit te zoeken.

Samenwerken met IT-leveranciers en OT-specialisten

Weinig MKB-bedrijven hebben eigen cybersecurity-expertise. Werk samen met specialisten die OT-security begrijpen. Dit zijn vaak andere partijen dan je standaard IT-leverancier.

Zoek partners die ervaring hebben in productieomgevingen, die snappen dat beschikbaarheid prioriteit heeft, en die pragmatische oplossingen bieden in plaats van theoretische perfectie.

Laat periodiek een security assessment uitvoeren. Een externe specialist kijkt naar je netwerk, configuraties en procedures en wijst zwakke plekken aan.

Wet- en regelgeving: wat moet je weten?

• De NIS2-richtlijn (Network and Information Security) is vanaf 2024 van kracht voor meer productiebedrijven. Dit legt eisen op aan cybersecurity-maatregelen en meldplicht bij incidenten.
• De AVG (privacy-regelgeving) is relevant als je productiedata bevat die naar personen herleidbaar is.

Daarnaast kunnen klanten eisen stellen aan cybersecurity, bijvoorbeeld in de automotive of voedingsmiddelenindustrie waar supply chain security belangrijk is.

Wacht niet tot regelgeving je dwingt maar zie goede beveiliging als zakelijke noodzaak. Een cyberincident kost meer dan de investeringen in preventie.

Starten met cybersecurity

Begin niet met alles tegelijk maar pak de laaghangende vruchten.

Stap 1: Inventariseer wat je hebt. Welke systemen, welke verbindingen, wie heeft toegang, waar zitten kwetsbaarheden.

Stap 2: Segmenteer netwerken. Splits productie van kantoor met een firewall ertussen.

Stap 3: Sterk wachtwoordbeleid en verwijder standaard wachtwoorden.

Stap 4: Backup-strategie voor kritieke systemen en test of herstel werkt.

Stap 5: Train medewerkers in basis cyberhygiëne.

Dit zijn stappen die binnen enkele maanden te implementeren zijn met beperkte investering maar grote impact op je veiligheidsniveau.

Cybersecurity is geen eenmalige actie maar een continu proces. Bedreigingen evolueren, systemen veranderen, nieuwe kwetsbaarheden worden ontdekt. Blijf alert en investeer in beveiliging als onderdeel van je bedrijfsvoering.