Twee dagen volle bak met prominente ot-rol

Event | Cybersec Netherlands 2025 De afgelopen editie van Cybersec Netherlands in Jaarbeurs Utrecht werd beide dagen druk bezocht met in totaal ruim vierduizend bezoekers. Met een scala aan stands, tal van toonaangevende sprekers, discussiepanels, gaming, demonstraties én een speciale dome om ot-security op de radar te krijgen. En als eindconclusie: cybersecurity is een zaak van iedereen. Cybersec Netherlands 2025 greep de afgelopen week plaats op 10 en 11 september en volgens beursmanager Paul Verdult was het een groot succes. ‘Zo hadden we extra aandacht voor het thema operationele technologie ingeruimd in het programma en dat sloeg enorm aan. De sessies waarin dat onderwerp werd behandeld zaten bomvol.’ Marcel Jutte, betrokken bij de community IPCS (Industrieel Platform Cyber Security) die de sessies in de OT-Dome coördineerde, bevestigt dit beeld. ‘Het was beide dagen flink druk. Het werd ook tijd dat ot-security een integraal onderdeel vormt van een evenement over it-beveiliging. Er wordt al jaren gepraat over dat it en ot meer bij elkaar moeten komen, dus dit is een goede stap.’ Veel impact Cybersecurity binnen de industriële sector is complex en anders dan in andere sectoren. De impact van ot-systeemstoringen is groot en het duurt vaak lang om processen weer op gang te krijgen. Eigenlijk bevat ot meer dan het begrip aangeeft. Patrick van der Burg van NCSC (Nationaal Cyber Security Centrum), een van de sprekers in het ot-theater, spreekt liever van IACS: industriële automatiserings- en besturingssystemen. Daaronder vallen dan ics (industriële controlesystemen) en operationele technologie. Hem viel het op dat veel organisaties bij incidenten te snel naar recovery gaan en de backups terugzetten. ‘Maar dan zijn ook alle sporen en bewijzen weg en is niet duidelijk waar in het systeem indringers nog kunnen zitten. Wat je dan ziet is dat ze twee-drie maanden later nog veel harder terugkomen.’ Ot is echt en altijd realtime Een andere spreker, Stefan Rutten van energieleverancier Uniper, benadrukte het grote verschil tussen it en ot: ‘Ot is echt en altijd realtime. It niet. Qua beveiliging houd je bij it de voordeur dicht en concentreer je op het vinden van insluipers. Die wil vaak ge-IDt worden om bijvoorbeeld losgeld te eisen. Bij ot is de hack bijna altijd intern. Dan wil men juist niet ge-IDdlt worden. Het doel is niet eigen gewin, maar het overnemen of vernietigen van het systeem.’ ‘Belangrijk is het gedrag van je ot te monitoren’, stelt Rutten. ‘Je moet dus meekijken in de besturingssystemen. Maar veel daarvan zijn twintig-dertig jaar oud, daar kan je helemaal niet realtime meekijken zonder het proces te beïnvloeden. Dat betekent dat je bijvoorbeeld per locatie een verschillende aanpak nodig hebt. Bij it kun je veel regelen samen met je cybersec-leveranciers, maar bij ot is dat om die reden onmogelijk.’ Beschermde diersoort Edward van de Langemeen, ot-cybersecurity-specialist bij Modelec, leverancier van ot-netwerkoplossingen, ging in zijn presentatie in op de personeelsproblematiek. De ot-security-specialist is in zijn ogen een beschermde diersoort, net zoals de Javaanse neushoorn en de panda. Er zijn er te weinig van en je moet er dus zuinig op zijn. Hij merkt in de praktijk met name bestuurders een houding hebben, nu ze ook aansprakelijk kunnen worden gesteld voor ot-beveiligingsproblemen, dat de it-afdeling ot-security er wel bij kan doen. ‘Je kunt echter niet zomaar it-security-specialisten inzetten. Die zien dan ineens legacy-plc-systemen en Windows XP-machines die niet zijn gepatcht. Patchen, anti-malware-oplossingen en zerotrust invoeren werken vervolgens niet goed op machines, zeker niet die al zo’n twintig jaar oud zijn. Met gevaar op uitval van die machines.’ ‘Geen it-ervaringen in een ot-jasje stoppen, aldus Van de Langemeen in de OT-Dome. Investeer juist in een goede it-toolbox, gesegmenteerd en gericht op de ot-omgeving. Geef ot-ingenieurs vertrouwen en betrek ze bij de it-afdeling.’ Vegetarische kipfilet Naast operationele technologie was een ander groot thema op Cybersec Netherlands 2025 datasoevereiniteit (‘hoe moeten we data binnen de EU houden’). Diverse sprekers op de main stage in Hal 11 in de Jaarbeurs spraken klare taal. Zo stelde Fleur van Leusden, chief information security officer (ciso) bij de Kiesraad en begeleidster van Rijks I-trainees, vast dat Amerikaanse clouddiensten niet soeverein kunnen zijn. Discussies gaan vaak over spionagadiensten die in het kader van de Cloud Act je gegevens kunnen stelen, maar volgens Van Leusden is het gevaar groter: hyperscalers kunnen je toegang tot je data ontzeggen, op last van de Amerikaanse overheid. Op vragen aan Microsoft, AWS en Google hoe zeer er sprake is van echte soevereiniteit, waar de concerns mee dwepen, kwamen geen bevredigende antwoorden. Van Leusden beweerde niet dat hun cloud onveilig is of niet kan worden gebruikt. Maar wat zij aanbieden, is totaal niet soeverein. Dat label is volkomen onzin. Na haar presentatie kwam er een vraag uit de zaal over alternatieven? ‘Ja, die zijn er. Maar nog in ontwikkeling. Er moet nog een en ander gebeuren’, aldus de rijksoverheid-ciso. Een volgende spreker, Frank Breedijk (ciso bij it-dienstverlener Schuberg Philis), vergeleek op zijn beurt het soevereinde cloudaanbod van de hyperscalers met vegetarische kipfilet. ‘Dat bestaat ook niet.’ Politieke vraag Hij toonde een kaart van Nederland om aan te geven dat zo’n beetje alle gemeenten voor hun e-mail bijna volledig afhankelijk van Microsoft zijn. De kaart kleurde oranje, de kleur die hij gebruikte om de positie van Microsoft als provider in te tekenen. Breedijk wees eveneens op de Amerikaanse wetgeving; die zegt dat ook de Europese vestigingen van Amerikaanse bedrijven onder de Amerikaanse wetgeving vallen. De politieke vraag is of de verre arm van de Amerikaanse regering wenselijk of aanvaardbaar is. Ook de continuïteit van bedrijven kan door toepassing van Amerikaanse wetgeving in EU in gevaar komen, vervolgde Breedijk. Het opstellen van dreigingsmodellen zijn in zijn ogen dan ook hard nodig. Alleen, zijn er EU-alternatieven? Daar was de ciso somber over: ‘Er bestaan geen Europese hyperscalers. Onze achterstand is groot.’ “Cybersecurity is een zaak van iedereen”Bert Hubert Vanzelfsprekend passeerden op de beurs ook allerlei technische, organisatorische en strategische aspecten de revue. Een van de drukst bezochte keynotes was die van Bert Hubert, cybersecurity-adviseur en voormalig supervisor van de Nederlandse inlichtingendiensten. Hij schetste een somber beeld over de staat van de Nederlandse infrastructuur. ‘Het is pre-war. We zijn al in conflict met Rusland. Denk aan de drone- aanvallen op Polen. Maar wij zijn onvoldoende voorbereid in cyberspace. Met de infrastructuur is het zeer droevig gesteld. Sommige systemen begeven het al voordat ze worden aangevallen. Microsoft Teams is het communicatiesysteem voor de Nederlandse overheid bij een calamiteit: onvoorstelbaar om zo’n fragiel systeem te gebruiken.’ Ook kraakte Hubert een aantal kritische noten over het gebrek aan it-kennis bij de directies van ondernemingen en instellingen. ‘De top heeft er geen idee van hoe slecht de beveiliging in hun organisatie is – de werkvloer lijdt daar onder.’ Zijn advies: ‘Maak contact met de mensen op de werkvloer die je it-diensten in de lucht houden. Luister naar hen. Cybersecurity is een zaak van iedereen.’ Meer bezoek Een beurs kan natuurlijk niet zonder bezoek en dat lag dit jaar hoger dan voorgaande edities. Kennis opdoen en inspiratie bleven belangrijke meerwaarden van een vakbeurs. Zo ook voor de bezoekers Renée de Vries en Ralph Blokpoel van de ouderenzorgorganisatie Alerimus. Wat is hun grootste zorg? De Vries: ‘Hoe creëren we bewustwording bij de medewerkers? De belangrijkste issues zijn nu dat zij op elkaars account inloggen en vergeten om hun computer te vergrendelen als ze weglopen.’ Blokpoel vult aan: ‘Hoe ga je als kleine organisatie met weinig budget en weinig kennis om met cybersecurity? De waarschijnlijkheid dat er iets gebeurt wordt steeds groter. Verder hebben we bij het Internationaal Strafhof gezien dat de grote Amerikaanse leveranciers door hun regering gedwongen kunnen worden om diensten te stoppen. In hoeverre kunnen we onze systemen veilig houden als de primaire provider stopt met leveren. Wat kan dan wel? Daar ben ik naar op zoek.’ Niet zonder elkaar ‘Je merkt dat de meeste bezoekers al over de nodige kennis beschikken en nu verdere verdieping zoeken’, vertelde chief experience officer Michael van der Vaart van it-beveiliger Eset, op de beursvloer. ‘Bijvoorbeeld over het onderwerp ot. Die speciale dome op de beurs die voor dit onderwerp was gereserveerd trok mensen aan die daarmee bezig zijn, zoals medewerkers van waterschappen. Er werden goede, verdiepende vragen gesteld.’ Netania Engelbrecht, community manager en innovation liaison bij het security-cluster HSD, zag dit jaar veel meer bezoekers dan vorig jaar langs de stand komen. ‘Onze partners geven ook aan dat dit juiste mensen zijn.’ Voor de HSD-leden is het belangrijk om samenwerkingen aan te gaan. Netania: ‘Het gaat om co-creatie, samen innoveren en elkaar versterken. We zien nu weer net als in de periode rond 2015 dat partijen elkaar meer zien als concullega’s dan als pure concurrenten. De markt is zo groot dat ze beseffen dat ze niet zonder elkaar kunnen.’ Met medewerking van Anton van Elburg, Bouko de Groot en Alfred Monterie. Nog meer indrukkenDe redactie van Computable hield op Cybersec Netherlands een tweedaagse liveblog bij. Daarin komen nog veel meer onderwerpen langs, zoals een hacking-game, Europese innovatie, de drone-oorlog in Oekraïne, de cyberaanval bij de TU Eindhoven, geopolitieke spanningen, cloudsecurity, quantumcomputing en cryptografie en de beveiliging ronde de Navo-top in Den Haag. Terug te lezen via Liveblog Cybersec 2025 – Dag 1 en Liveblog Cybersec 2025 – Dag 2. Volgend jaar vindt Cybersec Netherlands plaats op 9 en 10 september 2026 in Jaarbeurs Utrecht.