OT-security: 7 lessen voor betere beveiliging van industriële omgevingen

Een aanval op OT raakt niet alleen systemen, maar ook de operatie zelf. Productie kan stilvallen, installaties kunnen ontregelen en vitale processen komen onder druk te staan. Dat maakt OT-security urgent. In een webinar van Orange Cyberdefense werd duidelijk waar organisaties nog kwetsbaar zijn. Deze 7 lessen laten zien waar het wringt en wat je daarmee moet doen.

In de Security Navigator 2026 schetst Orange Cyberdefense een dreigingsbeeld waarin cyberafpersing (ransomware) verder groeit. Het aantal geregistreerde incidenten nam het afgelopen jaar met 45 procent toe. Daarnaast staat kritieke infrastructuur nadrukkelijker in de belangstelling van statelijke actoren en hacktivistische groepen. Voor organisaties met OT is de vraag dus waar de kwetsbaarheid het grootst is en hoe je de risico’s beperkt.

In het webinar ‘OT-security: your license to operate’ geven we antwoord op deze vraag. Dit zijn de belangrijkste handvatten waar je direct actie mee kunt nemen:

1. OT is geen eiland meer, behandel het dus ook niet zo

OT wordt in veel organisaties nog behandeld als iets bijzonders: een aparte laag met eigen systemen, eigen regels en vooral eigen uitzonderingen. Maar zodra productieomgevingen data uitwisselen met andere systemen, op afstand worden beheerd of gekoppeld zijn aan de centrale infrastructuur, werkt deze denkwijze niet meer. Dan zit het risico niet alleen meer in de machine of controller zelf, maar juist ook in alles eromheen: verbindingen, beheerrechten, leverancierstoegang en koppelingen die ooit praktisch leken.

Daarom werkt een strikte scheiding in de praktijk vaak minder goed dan op papier. IT en OT blijven verschillende omgevingen, met elk hun eigen eisen en impact. Maar je kunt beveiliging niet meer in twee losse werkelijkheden organiseren. Wie dat wel doet, kijkt vooral naar de techniek en mist het grotere aanvalsoppervlak.

2. Airgaps geven vaak een vals gevoel van veiligheid

Voel jij je nog veilig bij het idee van een airgap? In de praktijk is dat helaas vaak schijnveiligheid. In het webinar kwamen voorbeelden voorbij van sensoren met wifi, leveranciersverbindingen en ‘handige’ omwegen die ooit zijn toegevoegd voor beheer of efficiency. Op papier lijkt zo’n omgeving afgescheiden, maar in werkelijkheid openen dit soort toevoegingen alsnog een ingang.

Vraag je dus niet af of iets formeel airgapped is. De echte vraag is: hoe klein is het aanvalsoppervlak? Welke verbindingen zijn er echt nodig? Welke niet? En wat is ooit toegevoegd voor gemak, maar nooit meer kritisch bekeken? Daar begint volwassen OT-security.

3. Gebruiksgemak is vaak hackersgemak

Het zijn herkenbare keuzes: ‘even’ een wifirouter bijprikken zodat iemand niet naar een installatie hoeft te lopen. Of ‘even’ een koppeling maken met een dashboard, omdat dat handig is voor de operatie. Maar in het webinar werd dat treffend samengevat: gebruikersgemak is vaak ook hackersgemak.

Dat is precies waar het in veel organisaties misgaat. Mensen zijn niet per se roekeloos, maar gemak kan wel heel snel vanzelf normaal worden. Wie OT wil beschermen, moet dus niet alleen kijken naar wat technisch kan, maar ook naar wat operationeel verstandig is. Niet elke snelle route is ook een verstandige route.

4. Segmentatie en least privilege blijven de basis

Op de vraag wat een aanvaller echt dwarszit, kwam in het webinar een opvallend simpel antwoord: weten wat je hebt, toegang beperken en alles uitzetten wat je niet nodig hebt. Dat is niet sexy, maar wel effectief. Hoe kleiner het aanvalsoppervlak, hoe minder ruimte een aanvaller krijgt.

Juist in OT-omgevingen is dat belangrijk. Niet alles is even kritisch. Niet ieder systeem hoeft met elk ander systeem te praten. En niet iedere gebruiker of leverancier hoeft overal bij te kunnen. Segmentatie en least privilege klinken misschien als open deuren, maar in de praktijk zijn het nog altijd maatregelen waarmee veel winst te behalen valt.

5. Zonder bestuurlijk mandaat blijft OT-security half werk

Detectie en monitoring zijn belangrijk, maar iemand moet ook mogen ingrijpen als het misgaat. Soms betekent dat een verbinding verbreken of een systeem isoleren. Als je dat mandaat niet vooraf hebt geregeld, verlies je kostbare tijd. En juist die eerste fase van een aanval kan het verschil maken tussen containment en escalatie.

Daarmee wordt OT-security automatisch een bestuursvraag. Welke risico’s accepteer je? Wie mag besluiten nemen als de impact groot is? En wie dekt die beslissing intern? Zonder duidelijke rugdekking blijft security te vaak hangen op operationeel niveau, terwijl de grootste gevolgen juist de hele organisatie raken.

6. Wees kritisch richting leveranciers

OT-security stopt niet bij je eigen omgeving. Leveranciers, onderhoudspartijen en externe toegang horen daar net zo goed bij. In het webinar kwam dat meerdere keren terug, onder meer bij remote access, software met overbodige debug-informatie en leveranciers die hun eigen standaard werkwijze willen opleggen. Ook het voorbeeld van laptops die van klant naar klant meegaan, laat zien hoe snel risico zich verplaatst.

Dat vraagt om een stevigere houding. Niet blind vertrouwen, maar afspraken maken, controleren en waar nodig tegenspreken. Organisaties mogen leveranciers best vaker aanspreken op kwetsbaarheden, contractvoorwaarden en onnodige risico’s. Zeker in OT is een leverancier geen neutrale derde partij, maar een direct onderdeel van je beveiligingsketen.

7. De mens blijft de doorslag geven

Niet elke kwetsbaarheid zit in software. Soms zit die in routines, aannames of keuzes die logisch lijken. Tot het misgaat. Juist in OT-omgevingen ontstaan risico’s vaak op dat snijvlak van techniek en menselijk handelen. Denk aan iemand die genoegen neemt met een standaardwachtwoord. Of aan een leverancier die toegang krijgt ‘omdat het sneller werkt’. Je kunt een fallback-account zo zwaar beveiligen dat je er tijdens een incident zelf niet meer in komt. In theorie lijkt zo’n keuze verstandig, maar in de praktijk zet je er juist processen mee stil.

Dat maakt OT-security ook een kwestie van ervaring, discipline en scenario’s doorleven. Niet alleen tools bepalen of je een incident goed opvangt, maar vooral de mensen die moeten inschatten wat er gebeurt en durven ingrijpen als het erop aankomt. AI kan daarbij helpen, bijvoorbeeld bij analyse of kennisontsluiting. Maar op het beslissende moment draait het nog steeds om mensen die risico’s herkennen, verantwoordelijkheid nemen en op tijd handelen.

OT-security begint bij scherpere keuzes

OT‑security raakt operatie, bestuur, leveranciers en mensen op de werkvloer. Juist daarom werkt een aanpak alleen als je het aanvalsoppervlak verkleint, gemak kritisch beoordeelt, verantwoordelijkheden scherp vastlegt en vooraf regelt wie mag ingrijpen als het spannend wordt. Dat maakt OT‑security niet eenvoudiger, maar wel een stuk realistischer.