Hoe Easi industriële kmo's helpt hun achterstand op het gebied van cyberbeveiliging in te halen - Interview

Agoria: Waarom is cyberbeveiliging moeilijker te beheren voor kmo's?

Christophe Verhaeghe: Cybersecurity is voor alle bedrijven belangrijk, maar kmo's staan voor een complexe uitdaging: ze moeten zich even goed beschermen als een groot bedrijf, maar met minder budget, minder middelen en minder tijd. Vaak moet de IT-afdeling al het dagelijkse werk doen: productie, ondersteuning, ERP, netwerk, onderhoud. Beveiliging komt op de tweede plaats door een gebrek aan personeel, zichtbaarheid of interne vaardigheden.

De cijfers spreken voor zich: in 2024 heeft Easi 15 grote incidenten behandeld (en dat aantal zal tegen eind 2025 verdubbeld zijn), waarvan 80 % verband hield met kwaadaardige e-mails. En een cyberaanval kan erg duur zijn: het gemiddelde verlies wordt geschat op 2 tot 5% van de jaaromzet, zonder rekening te houden met de indirecte gevolgen (imago, verlies van klanten, stilstand van de productie).

Hoe kan deze kloof worden gedicht?

Christophe Verhaeghe: Om kmo's te helpen hun veerkracht te vergroten zonder hun budget te overschrijden, hebben we BlueHorn ontwikkeld. Dit is een XDR-oplossing (Extended Detection & Response) die is ontworpen om de detectie van anomalieën te automatiseren en bedreigingen snel te neutraliseren. De oplossing analyseert in realtime de logbestanden van verschillende IT-systemen en de netwerkcommunicatie tussen deze systemen.  Ze wordt trouwens dagelijks gebruikt door het SOC (Security Operations Center) van Easi. We investeren ook in AI om de tool autonomer te maken en compatibel met andere bestaande oplossingen.

Wat is het beste advies dat u een bedrijf kunt geven om zich te beschermen? 

Christophe Verhaeghe: Wacht niet tot u wordt aangevallen om te reageren. Als het om beveiliging gaat, is het beter om proactief te zijn. Hier zijn 6 reflexen die u kunt aanleren om uw infrastructuur te beschermen:

1. Controleer regelmatig de beveiliging (penetratietests, audits).
2. Houd systemen en machines up-to-date.
3. Maak back-ups en test de herstelprocedures.
4. Activeer meervoudige authenticatie.
5. Sensibiliseer uw teams (phishing blijft de belangrijkste vector).
6. Segmenteer het IT/OT-netwerk om verspreiding te voorkomen.

Voor meer informatie kunnen experts u helpen bij het opstellen van een incidentresponsplan, een noodherstelplan en aanvalsimulaties om de organisatie op de proef te stellen.

En wat kan een bedrijf doen als het al aangevallen wordt?

Christophe Verhaeghe: Start in dat geval onmiddellijk uw Response Plan en neem contact op met uw cybersecurity-partner.

Vervolgens is het belangrijk om:

• de impact van de aanval te evalueren,
• zowel intern en als naar alle andere belanghebbenden te communiceren,
• de oorsprong van de aanval op te sporen,
• de dreiging in te dammen/uit te roeien,
• de systemen te herstellen met behulp van back-ups,
• het incident te analyseren om herhaling te voorkomen.

In de maakindustrie zijn productiesystemen soms verbonden met het internet of het interne netwerk van het bedrijf. Wat is uw belangrijkste advies aan industriële kmo’s?

Christophe Verhaeghe: Allereerst moet worden opgemerkt dat een directe verbinding met het internet bijna nooit gerechtvaardigd is in de lagere niveaus van het Purdue-model, dus in Level 1 (PLC – programmeerbare logische controller, I/O – input/output) en Level 2 (HMI – mens-machine-interface, SCADA – supervisie). Deze apparatuur is vaak verouderd, wordt zelden geüpdatet en is dus bijzonder kwetsbaar. Deze blootstellen aan het openbare netwerk is vergelijkbaar met de deur van een fabriek midden in de nacht open te laten staan.

Bij onderhoud op afstand moet de toegang verplicht via een beveiligde en speciale oplossing verlopen, waardoor de apparatuur nooit rechtstreeks van buitenaf zichtbaar is.

In dit verband wordt het gebruik van SSL VPN tegenwoordig afgeraden: de onderliggende bibliotheken zijn moeilijk te controleren en talrijke kwetsbaarheden hebben verschillende leveranciers ertoe aangezet dit model te verlaten.
Een soortgelijk risico doet zich voor wanneer OT-apparatuur (Operational Technology) zonder segmentatie wordt aangesloten op een IT-VLAN (virtueel netwerk).

Directe toegang van IT naar OT (bijvoorbeeld via RDP – Remote Desktop Protocol) moet worden verboden, omdat dit de productie blootstelt aan dreigingen die zich vanaf een eenvoudige kantoorcomputer kunnen verspreiden.

Enkele essentiële best practices zijn:

• IT- en OT-netwerken strikt scheiden,
• machines met dubbele netwerkinterface (multi-NIC) verbieden,
• voorkeur geven aan externe toegang via een beveiligde gateway + sterke authenticatie + supervisie.

Kortom: geen directe internettoegang, geen vermenging van IT/OT, verplichte segmentatie. Dat is de basis voor de bescherming van industriële systemen die zelden worden gepatcht, maar wel cruciaal zijn.

Hoe bepaalt een klein industrieel bedrijf met een beperkt budget welke cyberbeveiligingsmaatregelen prioriteit hebben?

Christophe Verhaeghe: Alvorens veiligheidsmaatregelen te nemen, moet u eerst de netwerktopologie en de activa die erop circuleren goed begrijpen. Dat betekent dat een volledige inventaris zal moeten worden gemaakt van alle hardware, software en firmware, van hun onderlinge verbindingen en van alle communicatiestromen.

Wij gebruiken daarvoor CyFun© (www.cyfun.eu) als referentie, een gratis tool waarmee bedrijven hun cyberbeveiligingsbehoeften kunnen evalueren. Er zijn zelfs aanbevelingen voor de kleinste structuren.

Door deze goede praktijken op het gebied van cyberhygiëne toe te passen, voorkomt u al een groot deel van de problemen in geval van een incident:

• sterke wachtwoorden + MFA (multi-factor authenticatie)
• regelmatige updates
• back-ups
• antivirus + firewall
• waakzaamheid ten aanzien van phishing
• beperkte toegang op basis van rollen
• een eenvoudig actieplan in geval van een incident.

Om nog een stap verder te gaan, zijn risicoanalyses volgens de norm IEC 62443 mogelijk, maar deze vergen meer tijd en investeringen.

Top 5 van prioriteiten voor industriële kmo’s:

1. Beveiligde netwerkarchitectuur
2. Inventarisatie en beheer van activa
3. Incidentresponsplan
4. Geteste back-ups en herstel
5. Continu beheer van kwetsbaarheden

Zijn werknemers in het veld een zwakke schakel in de industriële cyberbeveiliging? Welke opleidingsstrategieën raadt u aan?

Christophe Verhaeghe: Ze zijn niet de zwakke schakel, maar juist een essentiële schakel. Een operator die een anomalie kan herkennen, kan een aanval stoppen voordat deze kritiek wordt. Zonder training kan ongebruikelijk gedrag op een HMI echter onopgemerkt blijven... totdat de productie stilvalt.

Het voorbeeld van de aanval op het Oekraïense elektriciteitsnet illustreert dit goed: de operators zagen de afwijking, maar wisten niet hoe ze moesten reageren. Een eenvoudige maatregel, het isoleren van een IT/OT-switch, zou nochtans voldoende zijn geweest.

De boodschap is duidelijk: iedereen moet weten hoe te reageren op een incident, niet alleen de IT-afdeling. 

In de OT hebben operators weinig tijd voor lange opleidingen. Het meest effectief is daarom om sensibilisering in het dagelijks werk te integreren: een kleine reminder tijdens een teamvergadering, een miniquiz, een scenario van 2 minuten... Het doel is om cyberbeveiliging tot een operationele reflex en een essentieel onderdeel van de bedrijfscultuur te maken.

Meer weten over Easi? Neem een kijkje op https://easi.net/nl 

Is uw organisatie een maakbedrijf?
Cyberbeveiliging is een essentiële voorwaarde voor de transformatie naar een ‘digitale fabriek’, een van de pijlers van het ‘Factory of the Future’-traject. Het globale ‘Make the Future’-programma van Agoria-Sirris helpt u bij deze transformatie. Ontdek hier hoe u met Make the Future kunt starten!

Bent u specifiek geïnteresseerd in cybersecurity voor de productieomgeving (OT)? Dan kunt u op woensdag 4 februari om 14.15 uur het panelgesprek 'OT cybersecurity - Where are we now and what's next?' volgen op Indumation in Kortrijk Xpo. Deze paneldiscussie verenigt stemmen van eindgebruikers, dienstverleners en wereldwijde leiders in cyberbeveiliging en industriële automatisering. Met Lars-Peter Hansen (Siemens Digital Industries), Dharminder Debisarun (Palo Alto Networks), Bruno Simoens (Unilin) en Erik De Nert (Spotit en Agoria CMIB Steerco member).