Grip op cybersecurity: inzichten van deelnemers aan de OT Fundamentals-training

De OT Fundamentals-training van IenW, gegeven door Secura, geeft professionals uit diverse sectoren een stevige basis in operationele technologie (OT) en cybersecurity. Lisa Strijd (Information Security Officer bij HTM) en Daniëlle Ramsanjhal-Lala (Coördinator / Programmamanager Cyberweerbaarheid DGMI) namen onlangs deel aan de training. In dit interview delen zij hun ervaringen: wat leerden ze, welke inzichten namen ze mee, en waarom zouden ook anderen deze training moeten volgen? Lees meer over hun inzichten en ervaringen.

Close-up van een serverkast met netwerkbekabeling en indicatorlampjes in een datacenteromgeving

Wat motiveerde jullie om mee te doen aan de OT Fundamentals-training?

“Binnen HTM houd ik me vooral bezig met informatiebeveiliging en heb ik onder andere de ISO 27001-certificering begeleid”, vertelt Lisa. “We zien dat er binnen onze organisatie meer aandacht komt voor OT – zeker met de komst van wetgeving zoals de NIS2. Omdat OT-systemen steeds vaker verbonden zijn met IT, vond ik het belangrijk om goed te begrijpen wat OT precies inhoudt. Deze training gaf me de kans om die basiskennis op te doen.” Daniëlle vult aan dat zij vooral meer inhoudelijke kennis wilde op doen om haar beleidswerk te versterken. “Als je met organisaties spreekt over risico’s, moet je snappen waar hun zorgen liggen. Voor mij was deze training nodig om de juiste vragen te kunnen stellen en beter in te kunnen schatten welke maatregelen bijdragen aan cyberweerbaarheid. En dat is in deze tijd natuurlijk heel urgent."

Lisa Strijd, HTM

Hoe zag de training eruit en wat waren de lessons learned?

Lisa: “De training duurde twee dagen en combineerde theorie over OT en dreigingen met praktijkvoorbeelden en demo’s. Het was informatief en interactief, waardoor het goed te volgen was. Wat ik vooral meeneem, is het belang van netwerksegmentatie: een effectieve manier om systemen op verschillende niveaus beter te beveiligen.” Daniëlle deelt deze indrukken: “Ik kreeg beter inzicht in wat OT is en waar de kwetsbaarheden zitten, bijvoorbeeld bij de koppelingen met IT. De uitleg over securitymaatregelen per laag, zoals firewalls en toegangsbeheer, sloot daar goed op aan en vond ik erg waardevol. Die kennis helpt me om beleid beter aan te laten sluiten op de praktijk. Ik gebruik het in gesprekken met sectoren én om collega’s te stimuleren om zich ook te verdiepen in OT.”

Wat verraste jullie het meest?

"Voor Lisa was dat vooral het tastbaar maken van abstracte systemen: “We behandelden het Purdue-model en kregen bij elke laag voorbeelden te zien van systemen en hun kwetsbaarheden. De demo’s lieten ook zien hoe makkelijk het soms is om via IT toegang te krijgen tot OT. Dat maakte indruk.” Ook de combinatie van theorie en praktijk vond ze sterk: “Je krijgt niet alleen feiten, maar ziet ook hoe het mis kan gaan.” Daniëlle waardeerde de diversiteit in de groep: “Er was iemand met veertig jaar IT-ervaring, maar ook ikzelf met relatief weinig. Allerlei diverse organisaties waren aanwezig. De uitwisseling van perspectieven werkte daardoor heel versterkend. Alleen door iedereen op een bepaald basisniveau te brengen, kunnen we écht werk maken van cyberweerbaarheid.”

Danielle Ramsanjhal-Lala

Waarom zouden meer collega’s of organisaties de training moeten volgen?

 “Veel mensen weten niet goed wat OT precies is. Toch gebruiken we OT-systemen dagelijks – denk aan een verkeerslicht of een toegangspoort. Door deze training krijg je een beter begrip van hoe deze systemen in elkaar zitten en op welke vlakken ze kwetsbaar zijn”, aldus Lisa. Daniëlle: “De training is voor iedereen waardevol die zich wil verdiepen in onze kritieke systemen. Dat is urgenter dan ooit, gezien de toenemende impact van cyberaanvallen. Voor mij gaf het precies dát inzicht in OT dat ik nodig had om beleid effectiever te maken. En het mooie is: je doet het niet alleen voor jezelf, maar je versterkt er ook je hele netwerk mee. En vervolgens de gehele cyberweerbaarheid van ons land!”

Meld je nu aan!

Heb je interesse in het volgen van deze training? Stuur dan een mail naar:

Watersector:
cyberweerbaarheidwater@minienw.nl

De luchtvaart- of maritieme sector: 
cyberweerbaarheidluchtvaartmaritiem@minienw.nl

De weg- of spoorvervoersector
cyberweerbaarheidweg-spoorvervoer@minienw.nl

Milieu en internationaal  (chemie, afvalstoffenbeheer, nucleair en plaats- en tijdbepalingsectoren): 
cyberweerbaarheidmilieuinternationaal@minienw.nl