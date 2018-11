Historisch gezien hebben Information Technology (IT) en Operations Technology (OT) zich ontwikkeld tot afzonderlijke werelden. Elk met eigen werkwijzen en specialistische teams. Door de opkomst van het Internet of Things, ook in organisaties waar OT voorheen de dienst uitmaakte, zoals energiecentrales, farmaceutische en chemische laboratoria en productiefaciliteiten, olie- en gasproducenten, waterbeheerbedrijven en fabrieken, overlappen deze technieken, processen en teams elkaar steeds vaker. Door de afgescheiden ontwikkeling en aard van de teams levert dit in de praktijk regelmatig conflicten op, wat resulteert in gemiste kansen voor de operatie en veiligheid van dergelijke omgevingen. Als IT- en OT-professionals openstaan voor de kennis en sterke eigenschappen van de ander kunnen ze het nodige van elkaar leren.

Wat OT-professionals van IT-professionals kunnen leren

OT-systemen worden gebruikt om fysieke processen te monitoren en beheren, zoals machinale processen of systemen van een energiecentrale. Traditioneel gezien waren deze systemen niet verbonden met of door IT-netwerken. Dat is tegenwoordig wel anders. Steeds meer apparaten, machines en systemen in het OT-domein zijn verbonden met de buitenwereld om relevante productiedata te versturen dan wel om sturingsdata te ontvangen. Er komen ook steeds meer IT-componenten binnen het OT-domein, zoals servers en netwerkcomponenten als routers en switches.

Waarbij OT vroeger met speciaal ontwikkelde (proprietary) systemen en protocollen werkte wordt tegenwoordig vaak gebruik gemaakt van commercial-off-the-shelf (COTS) producten. Zo zien we steeds meer OT-systemen draaien op Windows-servers. Daarnaast zien we een toenemende trend dat er vanuit de operationele processen data wordt verzameld, die vervolgens naar de cloud wordt gestuurd om met Big Data toepassingen te worden geanalyseerd. Dit om uiteindelijk de operationele processen te optimaliseren. Hiervoor is wel weer een dataverbinding nodig. Binnen dit nieuwe speelveld kunnen OT-professionals de volgende zaken leren van hun IT-collega's:

1. Kennis en kunde van onderhoud, netwerken en IT-tools

De IT-componenten zijn relatief nieuw voor OT'ers, maar voor IT'ers natuurlijk niet. Zij hebben hier al jarenlang ervaring mee op kunnen doen en weten ook heel goed waar de risico's liggen. Als OT-netwerken bijvoorbeeld niet goed worden gesegmenteerd kan eenvoudig van de ene naar de andere geografische locatie worden gehopt. Ook vanaf soms onbemande locaties/stations. IT'ers hebben doorgaans meer ervaring hoe je die netwerksegmentatie op een veilige wijze inricht. Hetzelfde geldt voor andere securityfeatures, zoals het inrichten van firewalls, het uitvoeren van patches, de hardening van servers, het goed inrichten van remote access tools en het monitoren van netwerken. IT'ers kennen de technieken, maar moeten met OT'ers samenwerken om het ook in het OT-speelveld goed toe te kunnen passen.

2. Openstaan voor nieuwe mogelijkheden en functionaliteit

Of het nu nieuwe hardware is of nieuwe software, IT'ers weten er doorgaans wel raad mee. Is het niet voor de organisatie, dan wel om hun eigen (werk)leven makkelijker of leuker te maken. Denk aan de mogelijkheden om data te ordenen of toegankelijk te maken of oplossingen om processen te automatiseren. Onze ervaring is dat mensen binnen de OT-domein vaak wat conservatiever zijn. Ze zullen minder snel dingen uitproberen, zeker in hun werkomgeving. Zij leggen de nadruk vooral op het waarborgen van de continuïteit van het operationele proces. Hier valt natuurlijk wat voor te zeggen. Maar het heeft ook een keerzijde. Het OT-domein dichttimmeren is tegenwoordig zo goed als onmogelijk. En bovendien kan innovatie ook een positief effect hebben op bedrijfscontinuïteit zolang het goed wordt geïmplementeerd. Een voorbeeld van zo'n innovatie is de introductie van virtualisatie binnen het OT-domein. Wederom een onderwerp waarin de IT'ers al de nodige kennis hebben opgedaan.

Wat IT-professionals van OT-professionals kunnen leren

Door de convergentie tussen IT en OT kunnen typische IT-problemen ook een directe impact hebben op operationele processen. Dat vraagt om een andere benadering van onder andere security en wijzigingen. Een netwerk- of softwarestoring is al ontzettend vervelend, maar wanneer als gevolg daarvan bijvoorbeeld vitale processen als de elektriciteitsvoorziening of de levering van olie en gas worden beïnvloed zijn de gevolgen veel groter. Maar dat geldt ook al voor bijvoorbeeld een fabriek waar het productieproces wordt beïnvloed. Het herstelproces is in OT-omgevingen bovendien veel moeilijker. Als bijvoorbeeld een batch productieproces stil komt te staan, kun je het niet eenvoudigweg opstarten en weer doorgaan. Je zult eerst alle apparaten schoon moeten maken, een paar proefbatches moeten draaien voordat je weer volop kunt produceren.

1. Managen van veranderingen en de bijbehorende risico's

Vanuit hun streven naar continuïteit nemen OT'ers veranderingen bijzonder serieus en zijn ze meesters in het inschatten van risico's. Vanuit deze risicobeheersing plannen ze veranderingen tot in de puntjes. Dit zorgt er in de praktijk voor dat wijzigingen in OT-processen vaak naadloos, zonder verstoring van de primaire processen, kunnen worden gerealiseerd. IT'ers kunnen hier nog wat van leren en zullen deze denkwijze zeker moeten adopteren als ze hun kennis en kunde toepassen in het IT-domein.

2. Zicht houden op de operatie

OT'ers zijn veelal bijzonder begaan met het operationele proces waarvoor ze verantwoordelijk zijn. In onze ervaring beschikken ze ook over een sterk(er) ontwikkeld verantwoordelijkheidsgevoel dan de gemiddelde IT'er, zeker daar waar IT op een afstand is georganiseerd. Op het moment dat er zich een storing voordoet, wordt de OT'er op locatie er meteen op aangesproken en zal aan de bak moeten. Deze korte afstand naar de operatie van het bedrijf werkt in dat opzicht positief. IT'ers zitten vaak verder af van de operatie, soms ook te ver. Hierdoor weten ze niet meer goed wat hun doen en laten voor gevolgen kan hebben voor de kernactiviteiten van de organisatie waarvoor ze werken. Voor IT'ers is het goed om hier continu aandacht voor te hebben.

Verzilver de kansen van IT- & OT-convergentie

De IT- en OT-convergentie brengt nieuwe vraagstukken met zich mee, bijvoorbeeld over de verdeling van verantwoordelijkheden en taken, maar er zijn ook veel kansen. Dit start uiteraard met het uitwisselen van expertise en kennis op het gebied van IT- en OT-beveiliging. Maar een belangrijke stap is ook het ontwikkelen van één overkoepelende security-strategie. Dit zorgt er voor dat witte vlekken kunnen worden geïdentificeerd, maar ook dat er geen onduidelijkheid bestaat wie wat doet. De uitwisseling helpt om verantwoordelijkheden te verduidelijken en om zoveel mogelijk risico's en kwetsbaarheden uit te sluiten.

Door open te staan voor nieuwe mogelijkheden en tegelijkertijd heel bewust te zijn van de mogelijke impact kunnen organisaties weloverwogen innoveren en daarbij de bedrijfscontinuïteit en interne- en externe klantbeleving optimaal waarborgen. Het stelt organisaties daarmee in staat om nieuwe technologieën zoals IoT of virtualisatie veilig en succesvol te implementeren.

Ik besef me terdege dat het versmelten van processen, oplossingen en daarmee ook afdelingen niet zonder slag of stoot zal gaan. Maar ook voor de knappe koppen van IT en OT geldt: samen staan ze het sterkst.