• 01 december 2025
  • Door Rick van de Lustgraaf
  • | Bron: Foodprocess

'Cybersecurity in de maakindustrie: van verplichte wetgeving tot praktische aanpak'

IIoT-engineer Christophe Michiels – keynotespreker tijdens Food Process Seminar

Presentatie downloaden

Cybersecurity in de maakindustrie1
Christophe Michiels is IIoT-engineer bij Sirris, het collectief centrum voor en door de technologische industrie in België

Christophe Michiels, IIoT-engineer bij Siris, wijdt zijn lezing aan de groeiende nood aan cybersecurity binnen productieomgevingen. Machines zijn vandaag de dag steeds vaker verbonden met netwerken en digitale platformen. Die connectiviteit maakt het voor operatoren mogelijk om machinegegevens te verzamelen, te bewaren en inzichtelijk te maken via dashboards. Tegelijk vormt diezelfde connectiviteit een bron van relatief nieuwe risico’s. Recente wet- en regelgeving zoals de geactualiseerde Machinerichtlijn en de invoering van NIS2, tonen aan dat cybersecurity niet langer optioneel is maar een wettelijke en operationele noodzaak.

Praktijkvoorbeelden

Een veiligheidsincident recent op Brussels Airport herinnert volgens Michiels aan de impact die cyberaanvallen kunnen hebben op kritieke infrastructuur. Zo is er ook een iets minder bekend voorbeeld in een Duitse staalfabriek. Daar ontving een medewerker een zeer goed uitgevoerde spear-phishingmail, gebaseerd op publiek beschikbare informatie over collega’s en interne relaties.

Omdat de mail authentiek leek, opende de medewerker het bijgevoegde bestand. Vanaf dat moment kregen de aanvallers controle over de computer, waarna ze zich via een onvoldoende gesegmenteerd netwerk vrij konden verplaatsen naar andere systemen. Uiteindelijk wisten ze de PLC-code van een hoogoven aan te passen, wat leidde tot storingen, onverwachte uitval, wekenlange stilstand en grote kosten.

Cybersecurity in de maakindustrieWie is Christophe Michiels?
Christophe Michiels is IIoT-engineer bij Sirris, het collectief centrum voor en door de technologische industrie in België. Binnen Sirris ondersteunt hij bedrijven bij de digitale transformatie van hun productieomgevingen. Christophe specialiseert zich in het connecteren van zowel nieuwe als bestaande (legacy) machines om machinegegevens veilig te ontsluiten, op te slaan, te visualiseren en klaar te maken voor verdere analyses. Hij helpt bedrijven schaalbare en toekomstbestendige architecturen op te zetten, onder andere via het Unified Namespace-concept en bedrijfsbrede databrokersystemen, als alternatief voor klassieke Industrie 3.0 punt-tot-puntverbindingen. Daarnaast richt hij zich op operator support, met aandacht voor het verbeteren van het werk van operatoren via digitale werkinstructies, VR-trainingen en remote supportoplossingen. Cybersecurity en gebruiksvriendelijkheid staan daarbij steeds centraal.

Wie in de zaal nog niet overtuigd was van het risico van cyberaanvallen zal dat na Michiels' introductie ongetwijfeld al meer zijn. De IIoT-engineer van Sirris legt uit dat phishing vandaag de dag nog steeds de meest voorkomende oorzaak is van cyberincidenten. Ook servers of toestellen die rechtstreeks toegankelijk zijn vanaf het internet vormen een groot risico, zeker wanneer standaardwachtwoorden niet zijn aangepast.

Hoe hackers precies kunnen achterhalen welke machines geconnecteerd zijn, is volgens Michiels wel duidelijk. "Met Shodan zijn wereldwijd publiek toegankelijke apparaten eenvoudig terug te vinden, inclusief systemen die onbedoeld met standaardinstellingen online staan. Dat kunnen bijvoorbeeld machines, camera’s, servers, PLC’s, routers of sensoren zijn. De zoekmachine toont aan welke apparaten rechtstreeks bereikbaar zijn vanaf het internet, ook wanneer dat eigenlijk niet de bedoeling is."

'Cybersecurity in de maakindustrie4
Samen MTech+ ontwikkelde Sirris een kaartenset met cybersecurityvragen. Bedrijven kunnen deze gebruiken, bijvoorbeeld tijdens dagstart­meetings om het kennisniveau te verhogen

Verplichtingen

Een jaar of tien geleden volstond het vaak nog om een cybersecurityverzekering af te sluiten. "Bedrijven zeiden: 'Ik ben verzekerd, dus het is in orde. Maar dat is eigenlijk geen strategie. Bovendien kun je tegenwoordig niet meer eenvoudig een cybersecurityverzekering afsluiten", zegt Michiels. "Waarom niet? Omdat bedrijven aan hele reeks voorwaarden moeten voldoen. Die voorwaarden zijn niet random gekozen, die zijn verplicht geworden door wet- en regelgeving."

"Bedrijven zeiden: 'Ik ben verzekerd, dus het is in orde.' Maar dat is eigenlijk geen strategie. Bovendien kun je tegenwoordig niet meer eenvoudig een cybersecurityverzekering afsluiten"

En zo komen we uit bij de belangrijkste nieuwe wetten op dit gebied: de geactualiseerde Machinerichtlijn (nu Machineverordening), NIS2 en de Europese Cyber Resilience Act. Hierdoor zijn bedrijven verplicht om cybersecuritymaatregelen te implementeren. Om compliant te zijn, kunnen ondernemingen verschillende bestaande cybersecurity-frameworks gebruiken. Welk framework gekozen wordt, is minder belangrijk dan het feit dat er consequent volgens één methode gewerkt wordt.

De wetten

De Machineverordening

Door alle digitale ontwikkelingen was de Machinerichtlijn aan een herziening toe. Die kwam er in de vorm van de. Machineverordening. Bedrijven hebben nog ruim een jaar de tijd om zich op de nieuwe verplichtingen voor te bereiden. Waar de Richtlijn vooral focust op fysieke en elektrische veiligheid van machines, bevat de nieuwe Verordening nu ook vereisten rond software en connectiviteit. Dat betekent dat machines niet alleen veilig moeten zijn om te bedienen, maar ook beschermd moeten zijn tegen misbruik via accounts, wachtwoorden of externe verbindingen.

Zo moet een machine bijvoorbeeld verschillende gebruikersrollen ondersteunen, moet het mogelijk zijn om two-factor-authenticatie in te schakelen en moeten standaardwachtwoorden worden vermeden. Wanneer een toestel online is verbonden, moeten bovendien alle redelijke maatregelen worden genomen om te voorkomen dat iemand vanop afstand acties kan uitvoeren die tot gevaarlijke situaties kunnen leiden.

'Cybersecurity in de maakindustrie2
Door alle digitale ontwikkelingen was de Machinerichtlijn aan een herziening toe

NIS2-Richtlijn

De wet mag niet verward worden met de nieuwe NIS2-Richtlijn, die in het voorjaar van 2024 werd gepubliceerd in het Belgisch Staatsblad. De oorspronkelijke NIS-regelgeving gold vooral voor sectoren zoals energie en telecom. De nieuwe NIS2 breidt de verplichtingen uit naar meer bedrijven, waaronder bedrijven in de voedingsindustrie.

Zij worden nu verplicht om aan een reeks cybersecurityregels te voldoen. Bijvoorbeeld het uitvoeren van een risicoanalyse, het documenteren van welke maatregelen genomen zijn en het opstellen van een stappenplan dat vooraf bepaalt wat het bedrijf moet doen wanneer het wordt gehackt. Michiels benadrukt dat zo’n plan op voorhand moet bestaan én getest moet zijn, omdat tijdens een cyberaanval bijvoorbeeld e-mail niet meer beschikbaar kan zijn. Bedrijven moeten dus alternatieve communicatiemiddelen voorzien.

Hij legt verder uit dat een organisatie ook een degelijke back-upstrategie moet hebben. Wanneer alle systemen versleuteld raken door ransomware, moeten bedrijven hun gegevens kunnen terugzetten zonder losgeld te betalen. Binnen de NIS2-richtlijn worden bovendien CEO’s en bestuurders persoonlijk aansprakelijk gesteld wanneer een bedrijf de regels niet naleeft, met potentieel zeer hoge boetes tot gevolg.

Cyber Resilience Act

De Cyber Resilience Act, die medio 2026 geleidelijk in werking treedt, is van toepassing op leveranciers van software, hardware of digitale diensten. De kern van deze regelgeving is 'cybersecurity by design': beveiliging moet ingebouwd zijn vanaf de ontwikkeling van een product en mag niet pas achteraf worden toegevoegd. Leveranciers moeten garanderen dat hun producten veilig kunnen worden geconfigureerd en dat ze updates en patches blijven aanbieden zolang het product op de markt is. Wanneer automatische updates niet mogelijk zijn, moeten leveranciers de gebruikers actief informeren over noodzakelijke patches.

'Cybersecurity in de maakindustrie5

Praktische maatregelen

Na het schetsen van het juridische kader gaat Michiels over naar praktische maatregelen. Hij benadrukt dat cybersecurity al moet starten bij de aankoop van nieuwe machines. "Vaak focussen bedrijven enkel op functionaliteit, waardoor veiligheidsvereisten pas achteraf opduiken en vertraging veroorzaken. Het is belangrijk om IT of OT-experts vanaf het begin bij het aankoopproces te betrekken en te werken met bestaande checklists."

Een tweede belangrijke maatregel is netwerksegmentatie. In het praktijkvoorbeeld van de staalfabriek bleek dat het volledige netwerk vlak was, waardoor een aanvaller van een kantoortoestel probleemloos kon doordringen tot PLC’s. Het absolute minimum volgens Michiels is een duidelijke scheiding tussen het IT-netwerk en het OT-netwerk. Grotere productieomgevingen kunnen segmentatie verder verfijnen per afdeling of per machinegroep.

"Het is belangrijk om IT of OT-experts vanaf het begin bij het aankoopproces te betrekken en te werken met bestaande checklists"

Daarnaast wijst hij op het belang van updates. Waar kantoor-pc’s automatisch geüpdatet worden, blijven pc’s en systemen op de werkvloer vaak jarenlang onveranderd. Daardoor blijven gekende kwetsbaarheden bestaan. Hij beschrijft hoe hackers via netwerk­scans eenvoudig device-informatie, firmwareversies en zelfs typenummers kunnen achterhalen.

Via gespecialiseerde zoekmachines vinden ze vervolgens kwetsbaarheden. Door alle toestellen in kaart te brengen, kunnen bedrijven bepalen welke updates eerst moeten worden uitgevoerd. Voor toestellen die niet meer geüpdatet kunnen worden, zoals systemen die nog op Windows XP draaien, bestaat zoiets als patching: een tussenliggende beveiligingsoplossing die schadelijke datastromen blokkeert. Ook voor verouderde communicatieprotocollen bestaan oplossingen, zoals Siemens-apparaten die oude SMB-versies kunnen isoleren en omzetten naar veiligere varianten.

'Cybersecurity in de maakindustrie3
Michiels benadrukt het belang van bewustwording bij medewerkers

Om intrusies sneller te detecteren, bestaan er systemen die gedurende een leerperiode normaal netwerkverkeer analyseren en daarna afwijkingen melden. Deze oplossingen zijn vooral geschikt voor grotere bedrijven, maar volgens Michiels zijn er ook goedkopere alternatieven zoals honeypots: nepservers of nep-PLC’s die nergens anders voor dienen dan om pogingen tot toegang te detecteren. Ook netwerkmonitoringtools zoals Zabbix kunnen afwijkende datastromen herkennen, bijvoorbeeld wanneer een aanvaller massaal data probeert te kopiëren voordat een ransomwareaanval wordt uitgevoerd.

Veel bedrijven gebruiken diverse remote-toegangsboxen van verschillende leveranciers, soms met 4G-backdoors, wat serieuze risico’s creëert. Een veiliger aanpak bestaat erin dat bedrijven kiezen voor een eigen centraal beheerde server waarop externe partners eerst via VPN inloggen. Pas daarna krijgen ze gecontroleerd toegang tot machines of PLC’s.

Tot slot benadrukt Michiels het belang van bewustwording bij medewerkers. Waar kantoorpersoneel vaak al training krijgt over phishing, geldt dat nauwelijks voor operatoren op de werkvloer. "Daarom ontwikkelde Siris samen met MTech+ een kaartenset met cybersecurityvragen. Bedrijven kunnen deze gebruiken, bijvoorbeeld tijdens dagstart­meetings of quizmomenten om het kennisniveau te verhogen. Kaarten die niet relevant zijn, kunnen eenvoudig worden weggelaten Aan het einde van de maand kun je daar een quiz mee organiseren. Een heel simpele manier om het bewustzijn van cybersecurity te verhogen bij de operatoren."

De kaartenset is gratis beschikbaar via deze link.

Bestanden

Presentatie Christophe Michiels.pdf
Kleurenschema
Aantal tegels per rij
Beeldverhouding
Weergave
Hoeken afronden
0

Welkom bij Professional Media Group 

Professional Media Group maakt gebruik van cookies om uw gebruikservaring te optimaliseren en te personaliseren. Door gebruik te maken van deze website gaat u akkoord met Het privacy- en cookiebeleid.