IoT & OT Security

Een fabriek in het Midden-Oosten staat stil voor weken. Een waterzuiveringsinstallatie in de Verenigde Staten wordt op afstand bestuurd door onbekenden. Een ziekenhuis in Duitsland moet patiënten doorverwijzen omdat de medische apparatuur onbereikbaar is. Dit zijn geen hypothetische scenario's maar gedocumenteerde incidenten van de afgelopen jaren, en ze hebben één gemeenschappelijke noemer: aanvallen op Operational Technology. De convergentie van IT en OT, versneld door Industry 4.0 en de digitalisering van industriële processen, heeft een aanvalsoppervlak gecreëerd dat de traditionele cybersecurity volledig te boven gaat. Gemiddeld vonden in 2025 dagelijks 820 (Bron: IBM Cost of a Data Breach Report 2024).000 IoT-aanvallen plaats, het aantal internet-blootgestelde OT-systemen steeg met 332 procent, en 64 procent meer ransomwaregroepen richt zich specifiek op industriële organisaties. De urgentie is onomkeerbaar.

Wat is IoT en OT security en waarom is het fundamenteel anders?

Operational Technology omvat de systemen die fysieke processen aansturen: SCADA-systemen (Supervisory Control and Data Acquisition), PLC's (Programmable Logic Controllers), DCS-systemen (Distributed Control Systems), sensoren en actuatoren in fabrieken, energiecentrales, waterzuivering en transportnetwerken. IoT-apparaten — van bewakingscamera's tot slimme sensoren en medische apparatuur — voegen duizenden nieuwe verbindingspunten toe aan het netwerk. Het cruciale onderscheid met IT-omgevingen is dat in OT de beschikbaarheid boven alles gaat. Een fabrieksproces dat stopt kost EUR 5.000 tot EUR 50.000 per uur. In een ziekenhuis kan uitval van medische apparatuur levens kosten. In de energiesector kan een aanval op SCADA-systemen wijken of steden zonder stroom zetten.

OT-systemen zijn ontworpen in een tijdperk waarin connectiviteit geen vereiste was. Ze draaien vaak op verouderde besturingssystemen als Windows XP of oudere UNIX-varianten waarvoor geen patches meer beschikbaar zijn. Ze gebruiken industriële protocollen zoals Modbus, DNP3 of Profibus die geen authenticatie of encryptie bevatten. Ze zijn aangeschaft met een levensduur van 15 tot 30 jaar en kunnen niet worden vervangen puur om security-redenen. En ze zijn in toenemende mate verbonden met IT-netwerken en het publieke internet — 20 miljoen OT-gerelateerde services zijn vandaag zichtbaar op het publieke internet — waardoor de luchtspleet die vroeger bescherming bood, vrijwel volledig is verdwenen. Dit schept een uniek beveiligingsprobleem dat fundamenteel andere oplossingen vereist dan de IT-security.

Het dreigingslandschap voor industriële organisaties

Het dreigingslandschap voor OT en IoT is in korte tijd dramatisch verslechterd. Het aantal ransomwaregroepen dat industriële organisaties als primair doelwit heeft, steeg met 64 procent naar 119 groepen in 2025. Malware in manufacturing-breaches bereikte 66 procent van alle incidenten, tegen 40 tot 50 procent een jaar eerder, zo blijkt uit het Verizon DBIR 2025. De exploitatie van edge devices en VPN's — de apparaten die als brug tussen IT en OT dienen — steeg van 3 procent naar 22 procent van alle vulnerability-breaches. Aanvallers begrijpen dat deze apparaten het zwakste punt zijn: ze zijn slecht gepatch, staan bloot aan het internet en bieden directe toegang tot OT-segmenten wanneer ze zijn gecompromitteerd.

OT-specifieke ransomware vormt een aparte categorie: aanvallers ontwikkelen malware die OT-protocollen begrijpt en gericht processen kan verstoren of sabotage kan plegen. TRITON/TRISIS, gericht op Safety Instrumented Systems in de petrochemische industrie, had de capaciteit om brandgevaarlijke situaties te creëren. Industroyer/Crashoverride viel elektriciteitsnetwerken aan en kon stroomuitval veroorzaken. BlackEnergy en Sandworm zijn gelieerd aan staatsgesponsorde actoren en hebben herhaaldelijk Oekraïense infrastructuur aangevallen. In de zorgsector kost een datalek gemiddeld USD 10 miljoen — het hoogste van alle sectoren — deels omdat medische apparatuur moeilijk te patchen is en 75 procent van de connected medical devices draait op een verouderd besturingssysteem.

Het beveiligingsproces: hoe OT security werkt

OT-beveiliging volgt een andere logica dan IT-security, en dat onderscheid is niet alleen technisch maar ook organisatorisch. In IT is de CIA-triade (Confidentiality, Integrity, Availability) de leidraad waarbij vertrouwelijkheid vaak als eerste prioriteit geldt. In OT geldt de omgekeerde volgorde: beschikbaarheid staat bovenaan, dan integriteit, dan vertrouwelijkheid. Dit heeft directe implicaties voor hoe security wordt geïmplementeerd: actieve vulnerability scans die in IT vanzelfsprekend zijn, kunnen OT-systemen overbelasten en productieproblemen veroorzaken. Alles in OT-security moet passief of met extreme voorzichtigheid worden uitgevoerd.

Het beveiligingsproces begint met asset discovery en inventarisatie. De meeste organisaties weten niet precies welke OT- en IoT-apparaten in hun netwerk zitten — een constatering die beveiligingsspecialisten keer op keer doen. Gebruik passieve discovery-tools die verkeer analyseren zonder actief te scannen: Dragos, Claroty, Nozomi Networks en Forescout bieden dit. Een volledige inventaris legt de basis voor alle vervolgstappen. De tweede fase is netwerksegmentatie: scheid IT- en OT-netwerken door een DMZ (Demilitarized Zone) als tussenlaag te implementeren, waarbinnen data-diodes of firewalls bepalen welke communicatie is toegestaan. Microsegmentatie binnen OT isoleert kritieke systemen verder van minder kritieke apparatuur. De derde fase is risicobeoordeling op basis van IEC 62443 Security Levels, gevolgd door een kwetsbaarheidsscan die passief bekende CVE's in geïdentificeerde assets identificeert. De vierde fase is monitoring: implementeer passieve OT-anomalie-detectie die afwijkingen in OT-verkeer, ongeautoriseerde configuratiewijzigingen en verdacht gedrag detecteert, geïntegreerd met het IT-SIEM voor unified visibility. De vijfde fase is incident response en doorlopend onderhoud: stel een OT-specifiek IR-plan op, train OT-operators en patch waar mogelijk, compenseer met netwerksegmentatie waar patching niet mogelijk is.

Compliance: NIS2, IEC 62443 en de Cyber Resilience Act

De Cyberbeveiligingswet (NIS2) treedt naar verwachting in Q2 2026 in werking en plaatst sectoren met OT-systemen — energie, transport, industrie, water en zorg — expliciet in scope als essentiële of belangrijke entiteiten (Bron: NCSC / Digitale Overheid). IoT-apparaten vallen technisch ook onder de scope maar worden in de praktijk nog te weinig meegenomen in risicobeoordeling. Organisaties in deze sectoren moeten aantoonbaar risicogebaseerde beveiligingsmaatregelen hebben genomen, inclusief monitoring en incident response. Boetes kunnen oplopen tot EUR 10 miljoen of 2 procent van de jaaromzet.

IEC 62443 is de internationale standaard voor het beveiligen van Industrial Automation and Control Systems (IACS). De standaard definieert Security Levels (SL 1 tot 4) die corresponderen met de mate van bescherming die vereist is op basis van het risico, en biedt een praktisch pad naar NIS2-compliance voor OT-omgevingen. Een gap-analyse op basis van IEC 62443 toont direct welke maatregelen ontbreken en in welke volgorde ze moeten worden geïmplementeerd. De EU Cyber Resilience Act (CRA) richt zich op fabrikanten van connected products, inclusief IoT-apparaten, en maakt hen verantwoordelijk voor security gedurende de hele levenscyclus. Verwachte inwerkingtreding is 2027. Dit betekent dat industriële organisaties niet alleen hun eigen beveiliging moeten regelen, maar ook eisen mogen stellen aan de security van de apparaten die leveranciers leveren.

Wat kost IoT/OT security en hoe begin je?

Een basis IoT/OT security scan — asset inventaris, netwerksegmentatie review en quickscan kwetsbaarheden — kost EUR 2.500 tot EUR 8.000 per assessment. De meeste organisaties ontdekken hiermee onbekende apparaten, open poorten en ontbrekende segmentatie, wat direct inzicht geeft in de urgentie van vervolgstappen. Een volledige OT-assessment inclusief IEC 62443 gap-analyse, diepgaande risicobeoordeling, segmentatie-ontwerp en roadmap kost EUR 10.000 tot EUR 35.000. Een managed IoT/OT security dienst — continue monitoring, anomalie-detectie, incident response en compliance — kost EUR 3.000 tot EUR 12.000 per maand, afhankelijk van de omvang en complexiteit van de omgeving.

De business case is overtuigend: een uur productie-uitval kost EUR 5.000 tot EUR 50.000 en een ransom-aanval op een industriële omgeving kan weken stilstand betekenen. De investering in een basisassessment verdient zichzelf terug als het ook maar één incident voorkomt. Drie directe acties die elke industriële organisatie vandaag kan nemen: maak een inventaris van alle IoT- en OT-apparaten in je netwerk, controleer of IT- en OT-netwerken gesegmenteerd zijn, en plan een IoT/OT security scan om specifieke risico's te identificeren.

Een IoT/OT security programma staat niet op zichzelf. Integratie met een SIEM voor gecentraliseerde monitoring, een incident response plan dat specifiek rekening houdt met OT-scenario's, en een vulnerability scanning programma dat passief OT-assets meeneemt, vormen samen een gelaagde verdediging. Organisaties die ook hun netwerktoegang willen controleren, kunnen NAC inzetten om te bepalen welke apparaten toegang krijgen tot welk segment — essentieel in omgevingen waar contractors en leveranciers regelmatig verbinding maken met OT-netwerken. De complexiteit van OT-security rechtvaardigt in bijna alle gevallen de inzet van een specialist met aantoonbare ervaring in industriële omgevingen en IEC 62443-kennis.

Veelgemaakte fouten en hoe ze te vermijden

IT-security maatregelen één-op-één kopiëren naar OT is de meest gevaarlijke fout die organisaties maken. Antivirus installeren op een PLC, automatische updates forceren op SCADA-systemen of actieve port scans uitvoeren op productie-OT kan processen verstoren, apparatuur beschadigen en in het ergste geval veiligheidsrisico's creëren. OT vereist een andere aanpak: segmentatie en monitoring als primaire maatregelen, en technische maatregelen die zijn gevalideerd voor gebruik in OT-omgevingen. Legacy systemen negeren is de tweede grote fout: "we vervangen het toch binnenkort" is geen beveiligingsstrategie voor systemen die nog 10 jaar in productie draaien. Segmenteer en monitor legacy systemen tot vervanging daadwerkelijk plaatsvindt. OT-security als IT-verantwoordelijkheid zien is een organisatorische fout: OT-beveiliging vereist samenwerking tussen IT, operations en management. Het is geen IT-project maar een organisatiebrede verantwoordelijkheid waarbij de operations-manager even hard aangehaakt moet zijn als de CISO. Geen OT-specifiek incident response plan hebben is de laatste kritieke fout: een IT-IR-plan werkt niet voor OT. Isoleren van een gecompromitteerde PLC heeft andere consequenties dan het uitschakelen van een server, en OT-operators moeten zijn getraind in de specifieke stappen die bij een OT-incident horen.

OT-specifieke aanvallen en incidentrespons in industriële omgevingen

OT-incidentrespons verschilt fundamenteel van IT-incidentrespons en dat onderscheid wordt in de praktijk nog te weinig begrepen. Bij een IT-incident is de eerste reflex: isoleer het systeem, zet het neer en herstel vanuit backup. Bij OT kan dit leiden tot gevaarlijke situaties: een geïsoleerde PLC in een chemische installatie kan tot ongecontroleerde procesomstandigheden leiden; een stilgezette SCADA-server in een waterzuiveringsinstallatie kan de distributie van drinkwater onderbreken. OT-incidentrespons vereist altijd overleg met operations-personeel dat de fysieke consequenties van elke actie begrijpt. Een OT-specifiek incident response plan definieert per type systeem welke acties zijn toegestaan, welke de productie mogen onderbreken en welke in geen enkel geval zonder managementtoestemming mogen worden genomen.

De forensische analyse na een OT-incident is eveneens anders: OT-systemen loggen vaak beperkt, forensische tools die in IT worden gebruikt zijn niet geschikt voor industriële hardware, en gegevens kunnen eenvoudig verloren gaan door het opnieuw opstarten of resetten van PLC's. Organisaties die hun OT-incident response willen versterken, doen er verstandig aan samen te werken met specialisten die ervaring hebben met industriële forensics en de specifieke uitdagingen van OT-omgevingen — niet met IT-security generalisten die beweren ook OT te begrijpen. Een goede voorbereiding via incident response voorbereiding die expliciet OT-scenario's meeneemt, is de basis voor effectief herstel als het toch mis gaat.

Sectoren met het hoogste IoT/OT-risico in Nederland

Niet alle sectoren dragen hetzelfde risico bij IoT en OT, maar de sectoren met het hoogste risico zijn ook de sectoren met de hoogste maatschappelijke impact. Energie en nutsbedrijven — elektriciteitsnetwerken, gasinfrastructuur, waterbeheer — zijn expliciet aangewezen als essentiële entiteiten onder NIS2 en zijn primaire doelwitten voor staatsgesponsorde aanvallers die kritieke infrastructuur willen destabiliseren. Manufacturing en productie zijn het meest aangevallen door ransomware-groepen die omzetverlies door stilstand als hefboom gebruiken. Zorg is de sector met de hoogste datalekkosten (USD 10 miljoen gemiddeld) en de meest kwetsbare OT in de vorm van verbonden medische apparatuur waarvan 75 procent draait op verouderde besturingssystemen. Transport en logistiek zijn afhankelijk van operationele systemen voor routering, spoorwegbeheer en haven-automatisering die bij een aanval directe maatschappelijke gevolgen hebben. Watermanagement en zuivering zijn systemen die relatief eenvoudig te bereiken zijn via internet en waarvan een aanval directe volksgezondheidsrisico's met zich meebrengt.

Voor alle deze sectoren geldt dat de Cyberbeveiligingswet hen verplicht tot registratie bij de bevoegde autoriteit, het nemen van passende technische maatregelen en het melden van significante incidenten (Bron: NCSC / Digitale Overheid). Een IEC 62443-gebaseerde aanpak biedt de meest gestructureerde route naar compliance. Organisaties die hun beveiligingsvolwassenheid willen meten en verbeteren, kunnen een cybersecurity risicoanalyse laten uitvoeren die specifiek op OT-omgevingen is toegesneden, gevolgd door een prioritaire roadmap die beschikbaarheid als kernwaarde behoudt terwijl security stap voor stap wordt verbeterd.

Supply chain security voor IoT- en OT-omgevingen

De beveiliging van IoT- en OT-omgevingen stopt niet bij de eigen systemen. Leveranciers, contractors en systeemintegratoren die toegang hebben tot OT-netwerken voor onderhoud, updates of monitoring, zijn een significant aanvalsoppervlak dat veel industriële organisaties onderschatten. De aanval op Colonial Pipeline in 2021 — die de grootste pijplijn aan de Amerikaanse oostkust voor meerdere dagen stillegde — begon via VPN-toegangsgegevens van een leverancier die niet langer actief was maar waarvan de toegang nooit was ingetrokken. Dit illustreert een systemisch probleem: OT-toegang voor externe partijen wordt zelden zo rigoureus beheerd als interne toegang.

Aanbevelingen voor supply chain security in OT-omgevingen omvatten het segmenteren van leverancierstoegang tot alleen de systemen die zij daadwerkelijk moeten beheren, het implementeren van jump servers of Remote Desktop Gateways als enig toegangspunt voor externe verbindingen, het activeren van Multi-Factor Authenticatie voor alle externe toegang, het loggen en opnemen van alle externe sessies voor forensische doeleinden, en het automatisch intrekken van toegangsrechten zodra een contract of onderhoudsperiode afloopt. Network Access Control (NAC) — die apparaten en gebruikers authenticeert voordat ze toegang krijgen tot een netwerksegment — is bijzonder effectief in omgevingen waar contractors regelmatig eigen apparatuur meenemen en verbinden. De EU Cyber Resilience Act, verwacht in 2027, legt ook verplichtingen op aan leveranciers van connected industrial products, wat de security-standaarden in de supply chain geleidelijk zal verhogen.

Roadmap naar volwassen OT-security: van kwetsbaar naar weerbaar

De meeste industriële organisaties bevinden zich op een beveiligingsvolwassenheidsniveau dat ver achterloopt bij IT-omgevingen. Een realistische roadmap naar volwassen OT-security werkt in vier fasen die elk zes tot twaalf maanden duren. In de eerste fase ligt de focus op zichtbaarheid: breng alle assets in kaart, identificeer welke systemen internet-blootgesteld zijn, en maak een eerste prioritering van de meest kritieke systemen op basis van impact bij uitval. Zonder een volledige asset-inventaris is elke beveiligingsinvestering een gok.

De tweede fase richt zich op segmentatie en basisbescherming: scheid IT en OT via een DMZ, implementeer strikte regels voor wat er tussen segmenten mag communiceren, en isoleer de meest kritieke systemen in eigen netwerksegmenten. Configureer firewallregels op basis van whitelisting — alleen expliciet toegestaan verkeer passeert — in plaats van blacklisting waarbij alleen expliciet verboden verkeer wordt geblokkeerd. De derde fase introduceert continue monitoring: implementeer passieve anomalie-detectie die normaal OT-gedrag leert en afwijkingen signaleert. Integreer OT-telemetrie met het IT-SIEM voor gecentraliseerd zicht op het totale bedreigingslandschap. De vierde fase is het institutionaliseren van de verbetercyclus: regelmatige risicobeoordelingen, jaarlijkse penetratietests van het OT-netwerk, doorlopende training van OT-operators in security-bewustzijn, en een gedocumenteerd proces voor patching en lifecycle management van OT-assets. Organisaties die deze roadmap systematisch doorlopen, bereiken na twee tot drie jaar een beveiligingsniveau dat voldoet aan NIS2-eisen en aantoonbaar weerbaar is tegen de meest voorkomende aanvalscategorieën in industriële omgevingen.

De investering in een gestructureerde OT-security roadmap is niet alleen een technische maar ook een strategische keuze. Organisaties die aantoonbaar volwassen OT-beveiliging hebben, onderscheiden zich in aanbestedingen, vereenvoudigen hun NIS2-compliance, en verlagen de kans op catastrofale productieonderbrekingen die de continuïteit van hun bedrijf bedreigen. De drempel om te beginnen is lager dan veel organisaties denken: een eendaagse OT-security scan geeft al direct inzicht in de meest urgente kwetsbaarheden en de prioriteit waarmee ze moeten worden aangepakt. Die eerste stap zetten — en de resultaten serieus nemen — is de beslissing die industriële organisaties onderscheidt van degenen die wachten tot een incident hen dwingt te handelen.

Wie meer wil leren over de bredere compliance-implicaties van IoT- en OT-beveiliging in het kader van de Cyberbeveiligingswet, vindt via een cybersecurity risicoanalyse een gestructureerd startpunt dat de meest urgente kwetsbaarheden identificeert en een prioritaire aanpak bepaalt.