In 5 stappen naar hoog beschikbare Operationele Technologie

Maak een inventarisatie: Welke assets heb ik allemaal? Op welke manier moeten deze met elkaar en met het internet verbonden worden? Hoe ziet de keten eruit? Ofwel: welke applicaties sturen welke assets aan? Welke netwerkverbindingen zijn er? Hoe is de functionele beschikbaarheid van deze assets geborgd? Zoom daarbij ook in op architectuur, connectiviteit, technische beveiliging, technische tooling, beheer, security en IT continuity. En maak een inventarisatie van leveranciers, contracten en SLA’s, de gebruikte technologie, hardware, software en de van toepassing zijnde wet- en regelgeving. Doe eventueel een aanvullend assessment in geval van acute problemen.

Steeds meer bedrijven die hun assets koppelen aan het internet zijn zich ervan bewust dat het niet voldoende is om een kritische oplossing te beveiligen met een viercijferig wachtwoord. De hele keten moet secure zijn, van de verbindingen en koppelingen naar PLC, MES en SCADA-systemen tot de vaak verouderde pc’s waar veel OT nog op draait. Gelukkig zijn er genoeg hulpmiddelen om dit te verbeteren, zoals de security standaard IEC62443 en het Purdue model voor onder andere de zonering van je gehele netwerkstack. Uiteraard is het verstandig om je assets niet te ontsluiten via een verbinding die direct vanaf het internet benaderbaar is, maar via een privéverbinding die is afgeschermd door een firewall. En uiteraard zul je data waar mogelijk moeten versleutelen, zodat in geval van een datalek een ander er niets mee kan.

Veel OT-systemen zijn ontwikkeld in een tijd dat deze op zichzelf functioneerden. De OT-wereld is mede daardoor volledig gescheiden van de IT-wereld. Beide domeinen hebben hun eigen aanpak en eigen leveranciers. Als je echter OT op afstand wilt uitlezen en aansturen, komen OT en IT heel dicht tegen elkaar aan te liggen. Leveranciers uit verschillende domeinen, die elkaar niet kennen, krijgen ineens wel met elkaar te maken. Daarom is het inrichten van ketenregie en het aanwijzen van een ketenregisseur heel belangrijk. Dan hoef je niet meer zes partijen langs te bellen als je ergens een probleem constateert, maar heb je een single point of contact dat de hele keten overziet. Het spreekt voor zich dat ketenregie hand in hand gaat met proactieve ketenmonitoring.

In veel organisaties is er in de loop der jaren een wildgroei ontstaan aan toepassingen op het gebied van Industry 4.0. Iedere toepassing heeft vaak zijn eigen leverancier (zie hierboven) en zijn eigen proces. Processen die vaak niet op elkaar zijn afgestemd, waardoor dingen dubbel of op een omslachtige wijze worden gedaan. Vanuit het inzicht dat je hebt gecreëerd en de ketenregie die je hebt ingericht, zie je ineens glashelder waar die inefficiënties zitten. Op basis van dit inzicht kun je een standaardproces ontwikkelen, bijvoorbeeld door het toepassen van ITIL-processen op een OT-omgeving. Je kunt daarnaast de efficiency van het ontwikkelen van nieuwe software verhogen door ook binnen de OT-omgeving te werken volgens de DevOps-methodiek. Tot slot verlaag je kosten door incidenten te voorkomen, zeker als ze ook nog eens boeteclausules hebben. Daaraan dragen de al genoemde proactieve ketenmonitoring en DevOps-manier van werken bij.

Steeds meer organisaties hebben in de loop van de jaren een bedrijfsvoeringcentrum ingericht van waaruit de OT centraal wordt gemonitord en eventueel aangestuurd. Dit heeft gezorgd voor grote efficiencyverbeteringen. Het introduceert ook een nieuw risico: als er iets gebeurt waardoor de IT in het bedrijfsvoeringcentrum niet werkt, zijn de gevolgen heel groot. Richt deze kritische werkplekken daarom altijd redundant in, tot en met een tweede locatie waarnaar kan worden uitgeweken als bijvoorbeeld een hele regio wordt getroffen door stroomuitval.

Wie op deze manier stap voor stap de volwassenheid van zijn OT-omgeving verhoogt, zal uiteindelijk veel grotere vruchten plukken van alle inspanningen die zijn gedaan om de systemen robuust, weerbaar en wendbaar te maken en zo downtime te voorkomen. Immers, remote monitoring en predictive maintenance zijn de meest voorkomende redenen waarom bedrijven hun OT aan het internet zijn gaan verbinden. Het vervelende was echter dat de maatregelen die ze namen om storingen eerder te zien aankomen ook weer nieuwe risico’s introduceerden. Die nieuwe risico’s dam je met bovenstaande vijf stappen in. En passant creëer je hiermee een omgeving die flexibel is en sneller aanpasbaar op bijvoorbeeld nieuwe wet- en regelgeving.

Mocht je een vraag hebben over jouw OT-omgeving en twijfel je over de juiste aanpak, bel me dan of stuur een mail. Ik ga graag met je in gesprek.