In meer dan tien jaar OT-beveiligingswerk bij industriële organisaties in Nederland en Europa zien onze experts steeds dezelfde fouten terugkomen. Fouten die vermijdbaar zijn — maar die in de praktijk industriële installaties kwetsbaar maken voor cyberaanvallen met soms catastrofale gevolgen. Dit zijn de vijf meest voorkomende.
Geen segmentatie tussen IT- en OT-netwerken
De meeste industriële organisaties hebben hun kantoornetwerk (IT) en hun productieomgeving (OT) ooit bewust gescheiden gehouden. Maar door de digitalisering — remote access, cloud-koppelingen, ERP-integraties — zijn die grenzen vervaagd. Het gevolg: een ransomware-aanval op het kantoornetwerk kan rechtstreeks doorslaan naar de PLC's op de werkvloer.
Dit is precies wat er in 2021 gebeurde bij Colonial Pipeline in de VS: een aanval op het IT-netwerk leidde tot het stilleggen van een complete oliepijpleiding van 8.850 km.
✅ Oplossing: Implementeer een gelaagde netwerksegmentatie met een DMZ tussen IT en OT. Gebruik firewalls, data diodes of unidirectionele gateways voor kritieke koppelingen. Volg het zone- en conduit-model van IEC 62443.
Standaard- en fabrieksinstelling wachtwoorden
U zou versteld staan hoe vaak wij bij OT-assessments aantreffen dat SCADA-interfaces, HMI's of routers nog altijd de standaard fabriekswachtwoorden hebben. Strings als admin/admin, 1234 of de naam van de fabrikant zijn voor aanvallers de eerste stop bij een gerichte aanval.
Het probleem is vaak praktisch van aard: in een 24/7 productieomgeving is het wijzigen van wachtwoorden complex en risicovol. Maar het niet doen is een groter risico.
✅ Oplossing: Stel een wachtwoordbeleid in voor alle OT-componenten. Gebruik een privileged access management (PAM) systeem en documenteer alle inloggegevens in een beveiligde kluis. Plan wachtwoordwijzigingen in during geplande onderhoudsstops.
Geen patch management voor OT-systemen
In de IT-wereld is regelmatig patchen vanzelfsprekend. In OT is het een ander verhaal: systemen draaien 24/7, leveranciers certificeren patches soms pas maanden na release, en een herstartprocedure voor een PLC kan productieverlies van duizenden euro's per uur betekenen.
Het resultaat: OT-omgevingen draaien regelmatig op Windows XP, verouderde firmware en ongepatcht SCADA-software — soms jarenlang.
✅ Oplossing: Maak een geprioriteerde patch-kalender op basis van risiconiveau. Patch kritieke kwetsbaarheden via compenserende maatregelen (netwerksegmentatie, whitelisting) als directe patching niet mogelijk is. Test patches altijd eerst in een testomgeving.
Ongecontroleerde remote access
Na de COVID-pandemie is remote access in industriële omgevingen explosief gegroeid. Leveranciers, onderhoudspartners en interne medewerkers verbinden zich via VPN of remote desktop rechtstreeks met OT-componenten. Vaak zonder multi-factor authenticatie, zonder logging en zonder tijdbeperking op sessies.
Elke remote access-verbinding is een potentieel aanvalspad dat beveiligd en gemonitord moet worden.
✅ Oplossing: Implementeer een dedicated secure remote access oplossing voor OT (geen standaard IT-VPN). Vereis MFA voor alle externe verbindingen. Log alle sessies en stel tijdslimieten in. Overweeg een jump server of bastion host als extra laag.
Geen OT-asset inventaris
U kunt niet beveiligen wat u niet kent. In de praktijk zien we regelmatig dat organisaties geen volledige inventaris hebben van alle OT-componenten in hun installatie: welke PLC's draaien welke firmware? Welke apparaten hebben een netwerkverbinding? Welke leveranciers hebben remote toegang?
Zonder dit overzicht is een gerichte risicoanalyse — en daarmee een effectief beveiligingsprogramma — onmogelijk.
✅ Oplossing: Start met een passieve OT-asset discovery (tools zoals Claroty, Dragos of Nozomi). Bouw een actuele CMDB op voor alle OT-componenten en onderhoud deze actief. Dit is tevens de eerste stap van elke IEC 62443-implementatie.
Conclusie
De vijf fouten hierboven zijn vermijdbaar — maar ze vereisen bewuste keuzes, prioriteiten en middelen. Een OT-beveiligingsprogramma hoeft niet perfect te zijn op dag één. Wat telt is dat u weet waar u staat, welke risico's acceptabel zijn en welke stappen u als eerste zet.
Wilt u weten waar uw OT-omgeving staat?
Resotech voert een gratis OT Scan uit en geeft u een concreet beeld van uw beveiligingsniveau — zonder verplichtingen.
Gratis OT Scan aanvragen IEC 62443 dienst