Het beheer van cyberrisico's binnen operationele technologie (OT) vraagt om een andere aanpak dan traditionele IT-beveiliging. OT-systemen kenmerken zich door lange levenscycli, beperkte patchmogelijkheden en complexe afhankelijkheden van leveranciers. Hierdoor is het niet voldoende om alleen te focussen op technische controles; leiderschap en governance spelen een cruciale rol bij het maken van consistente beslissingen over OT-cyberrisico's binnen de gehele organisatie.

In tegenstelling tot IT richt OT-cybersecurity zich niet alleen op data en compliance, maar ook op operationele processen en fysieke assets die direct invloed hebben op kritieke diensten. De architectuur van OT-systemen begint in de fysieke wereld en verbindt zich via besturingssystemen en operationele netwerken steeds vaker met enterprise- en cloudsystemen. Dit leidt tot unieke risico’s waarbij cyberincidenten directe operationele gevolgen kunnen hebben, zoals het stilleggen van fabrieken of het verstoren van infrastructuur. De governance rond OT is vaak beperkt; uit onderzoek van het World Economic Forum blijkt dat slechts 16 procent van organisaties met industriële omgevingen OT-beveiligingsproblemen aan de raad van bestuur rapporteert en slechts 20 procent een dedicated OT-securityteam heeft. Ook is in slechts 36 procent van de gevallen de CISO direct verantwoordelijk voor OT-beveiliging.

Deze cijfers tonen een duidelijke kloof in volwassenheid en vooral in verantwoordelijkheid aan. Bij grootschalige OT-omgevingen wordt een lokaal beveiligingsprobleem al snel een kwestie van coördinatie op ondernemingsniveau. Verschillen in volwassenheid, eigenaarschap en prioriteiten zorgen voor ongelijke blootstelling aan risico’s. De vraag voor het bestuur is dan ook niet of er OT-controles zijn, maar of de organisatie in staat is om consistente en verdedigbare beslissingen te nemen over OT-cyberrisico’s, zowel voorafgaand aan als tijdens een incident.

Effectief toezicht op OT verschuift de focus van individuele controles naar scenario- en impactanalyses. Veelvoorkomende kwetsbaarheden zijn onder meer misbruik van externe toegang, gedeelde accounts, zwakke segmentatie, geïnfecteerde onderhoudsmedia en onvoldoende beheerde leveranciersconnectiviteit. In OT kunnen deze kwetsbaarheden direct leiden tot operationele verstoringen, zoals verminderde zichtbaarheid in energievoorziening, vertragingen in transport of noodstoppen van fabrieken. Dit benadrukt dat het managen van OT-cyberrisico’s op schaal vooral een uitdaging is van leiderschap en governance, niet alleen van techniek.