Operationele technologie (OT) kent een eigen dynamiek als het gaat om beveiliging en kwetsbaarheden. In tegenstelling tot IT-systemen wordt OT vaak gekenmerkt door legacy systemen die niet zijn ontworpen met moderne beveiligingsmaatregelen zoals wachtwoordverificatie of inputvalidatie. Dit komt doordat OT-netwerken traditioneel als vertrouwd werden beschouwd en software vaak draait op beperkte hardware zonder geavanceerde bescherming zoals ASLR en DEP.

Een bekend voorbeeld van OT-beveiliging is te zien op evenementen zoals ICS Village tijdens DEF CON, waar het gebruik van hedendaagse IT-penetratietesttools op OT-apparatuur vaak aanvoelt alsof men teruggaat naar de beveiligingspraktijken van de jaren negentig. Dit benadrukt de verouderde aard van veel OT-systemen en de uitdagingen die dat met zich meebrengt.

In OT draait het bij aanvallen minder om remote code execution of privilege escalation, zoals vaak het geval is in IT, maar juist om denial of service (DoS). Een DoS-aanval kan leiden tot het stilleggen van kostbare apparatuur, het onderbreken van kritieke processen of het activeren van failsafe mechanismen die de veiligheid waarborgen, maar ook productie stilleggen. Dit kan ernstige gevolgen hebben, tot aan risico’s voor menselijk leven toe, omdat OT-omgevingen zelden over redundante back-ups beschikken zoals in IT-omgevingen gebruikelijk is.

Het melden en patchen van kwetsbaarheden in OT is complex. Waar IT-kwetsbaarheden doorgaans via de softwareleverancier worden gemeld en vaak met een CVE worden geregistreerd, is het in OT niet ongebruikelijk dat een kwetsbaarheid leidt tot scenario’s met verstrekkende gevolgen, zoals het stilleggen van stroomvoorziening in ziekenhuizen. Dit maakt het bespreken en openbaar maken van kwetsbaarheden in OT gevoeliger en kan leiden tot paniek bij media en overheden. Bovendien is het vaak moeilijk tot onmogelijk om OT-apparatuur daadwerkelijk te patchen, zelfs wanneer de kwetsbaarheid bekend is.