Delen 1 en 2 bouwden de IT-kant cyberstack. Deel 3 behandelt de disciplines die IT-grade tooling niet aanpakt: industriële controlesystemen en operationele technologie-verdediging, digitale forensica-gereedheid voor post-compromis-analyse en de cross-domein-oplossingen die passende data verplaatsen tussen geclassificeerde enclaves. Elk is gespecialiseerd, elk is procurement-relevant en elk is het gebied waar IT-opgeleide engineers het meest regelmatig de fout in gaan. Deel 3 behandelt ze.

Het pilaarframing staat in De complete gids voor defensiebeveiliging. De classificatiemachinery aan de fusieskant staat in Een defensie-fusiepijplijn bouwen, deel 3; de NATO-coalitie-verspreidingsdiscipline staat in NATO-interop-implementatie, deel 3.

Stap 1: waarom ICS/OT-verdediging verschilt van IT

De eerste fout die IT-opgeleide engineers maken bij ICS/OT is het direct toepassen van IT-verdedigingspatronen. De patronen worden overgedragen; de waarden niet. ICS/OT-verdediging wordt gevormd door structurele verschillen die IT-discipline onvoldoende en soms actief schadelijk maken.

De structurele verschillen:

  • Andere protocollen. Modbus, DNP3, IEC 61850, OPC UA, BACnet — geen van de IT-protocollen. De tooling die IT-protocollen decodeert (HTTP, TLS, SMB, DNS) decodeert deze niet. ICS-specifieke tooling is vereist.
  • Andere patchcadansen. Een ICS-controller kan jarenlang geen updates ontvangen — soms nooit. Onderhoudvensters zijn gepland rond operationele ritmes, niet beveiligingskalenders.
  • Andere gevolgen. Een IT-storing kost beschikbaarheid. Een ICS-storing kan kinetische gevolgen hebben — stroom uitgevallen, waterstroom verstoord, wapensysteem uitgeschakeld, logistiek onderbroken.
  • Ander leverancierslandschap. Honeywell, Siemens, Schneider Electric, Rockwell, Yokogawa — elk met hun eigen engineeringconventies, propriëtaire protocollen en leveranciersondersteuningscontracten.
  • Andere operatorcultuur. ICS-operators hebben technische achtergronden, geen IT-beveiligingsachtergronden.
  • Ander scanbeleid. Een kwetsbaarheidsscan die een IT-SOC routinematig acht, kan een oudere PLC offline halen. Actieve scanning is de standaard in IT; de verkeerde standaard in ICS.

De gedetailleerde engineeringbehandeling staat in ICS/OT-inbraakdetectie in militaire netwerken.

Stap 2: passieve bewaking als standaard

Het ICS/OT-verdedigingspatroon dat werkt: passieve bewaking als standaard, actieve respons alleen met uitgebreide operatorcoördinatie.

Netwerkaftap of SPAN-poort-verzameling. De detectiesensor ziet al het ICS-netwerkverkeer maar injecteert nooit pakketten. De sensor kan het gecontroleerde proces niet beïnvloeden.

Protocolbewuste deep packet inspection. De sensor decodeert Modbus, DNP3, IEC 61850, OPC UA, identificeert de uitgevoerde bewerkingen en detecteert anomalieën.

Activaontdekking vanuit passieve observatie. De sensor identificeert ICS-activa vanuit hun netwerkgedrag — leverancier, model, firmwareversie, rol — zonder actieve sondering.

Gedragsbasislijning. Over weken van observatie bouwt de sensor een basislijn van normaal ICS-gedrag. Afwijkingen worden waarschuwingen.

Operator-gedreven respons. Wanneer de sensor een anomalie detecteert, is de respons het operationele team te waarschuwen, niet automatisch actie te ondernemen.

Leveranciersproducten die dit patroon implementeren: Dragos Platform, Claroty xDome, Nozomi Vantage, Tenable OT Security.

Stap 3: ICS/OT-specifieke dreigingsinformatie

ICS/OT-dreigingsinformatie is zijn eigen discipline. Generieke IT CTI-feeds missen ICS-specifieke TTP's: Stuxnet-familietechnieken, Industroyer-varianten, TRITON, PIPEDREAM. De dedicated ICS CTI-bronnen:

Dragos WorldView. Toonaangevende ICS-dreigingsinformatie. Dekt nationaalstatelijke ICS-actoren (ELECTRUM, XENOTIME, ALLANITE, anderen) met TTP's en detectie-inhoud.

CISA ICS-CERT-adviezen. Publieke-sector ICS-adviezen van het Amerikaanse CISA. Gratis toegankelijk, goed gecureerd.

NATO en nationale CSIRT's. ICS-relevante adviezen van NCIRC, BSI, ANSSI en equivalenten.

Leveranciersbeveiligingsadviezen. Elke ICS-leverancier publiceert zijn eigen. Abonneer; integreer in de CTI-pijplijn; volg patchverplichtingen.

Stap 4: digitale forensica-gereedheid

Detectie zonder post-compromis-analyse is een halve capaciteit. Defensiecyberbeveiligingsprogramma's hebben digitale forensica-gereedheid nodig — de engineeringinvesteringen die in staat stellen wat er is gebeurd na een compromis te reconstrueren.

Langetermijn-logaggregatie. Nationaalstatelijke campagnes verblijven maanden. Een SOC dat 30 dagen logs bewaart, kan een 18-maanden campagne niet reconstrueren.

Diepe pakketopname waar dreigingsniveau dit rechtvaardigt. Selectieve volledige pakketopname voor hoog-risicocosegmenten.

Eindpunttelemetrie met voldoende diepte. Sysmon, EDR-leveranciersagent, commandoregel-audit, procestree-opname.

Bewakingsketen vanuit verzameling. Forensisch bewijsmateriaal moet juridische en accreditatiebeoordeling ondersteunen. Verzamelingsprocedures, hash-verificatie bij elke overdracht, bewakingsketendocumentatie.

Forensische analyseomgeving. Geïsoleerd analysenetwerk, gevettte tooling (Volatility, Autopsy, de SANS DFIR-suite), getrainde analisten.

Reproduceerbare analysepijplijnen. Herhaalbare analyses (geheugenforensica, malware-sandboxing, indicatorextractie) zijn gescript en versiegecontroleerd.

De gedetailleerde behandeling van militaire-cyber-forensica staat in Digitale forensica voor militaire cyber.

Stap 5: cross-domein-oplossingen

Defensienetwerken zijn geen enkele enclaves. Data beweegt legitiem tussen classificatieniveaus — een niet-geclassificeerde dreigingsinformatiefeed naar een SECRET-SOC, een verspreidbaar-gereinigde incidentsamenvatting naar een coalitiepartner, OSINT verzameld op een laag-kant netwerk stromend naar hoog-kant analisten. Deze bewegingen gaan via cross-domein-oplossingen (CDS).

Eenrichting-datadiodes. Hardware-afgedwongen eenrichtingsverbindingen. Data stroomt alleen in de goedgekeurde richting.

Cross-domein-overdrachtsbewaakters. Software-en-hardware-oplossingen die data inspecteren, sanitiseren en doorgeven tussen classificatieniveaus.

Handmatige beoordelingsworkflows. Waar automatisering niet veilig kan beslissen, keuren menselijke beoordelaars specifieke dataverplaatsingen goed.

De engineeringintegratie:

  • De cyberstack integreert met CDS-infrastructuur, vervangt deze nooit. CDS wordt geleverd door geaccrediteerde leveranciers met nationale beveiligingsautoriteitgoedkeuring.
  • Per-overdracht-auditlogging. Elke cross-domein-overdracht is gelogd met attributie, rechtvaardiging en inhoudsreferentie.
  • Classificatieverificatie op de grens. Data die de CDS binnenkomt, wordt geverifieerd op de juiste labels.
  • Bandbreedte- en latentieverwachtingen. CDS voegt latentie toe. Operationele workflows houden hiermee rekening.

Kernpunt: ICS/OT-verdediging en cross-domein-oplossingen zijn de twee gebieden waar IT-cyberengineers het meest voorspelbaar falen in defensiecontexten. De reden is dezelfde in beide: de patronen uit commerciële IT worden niet schoon overgedragen, en engineers die ze toch toepassen, produceren platforms die accreditatie, operaties of beide mislukken.

Stap 6: netwerksegmentatie tussen IT en OT

Het Purdue-model is de canonieke referentie voor IT-OT-netwerksegmentatie. Defensieomgevingen breiden dit vaak uit met classificatiebewuste segmentatie.

Niveau 0-1 (Proces en detectie). De eigenlijke fysieke besturing — PLC's, RTU's, sensoren, actuatoren. Geïsoleerd van IT. Geen directe IT-zijde connectiviteit.

Niveau 2 (Supervisory Control). Lokale HMI's en engineering-werkstations.

Niveau 3 (Siteoperaties). Operatiedatabases, batchbeheer, controlservers.

Niveau 3.5 (DMZ). Het kruispunt tussen OT en IT. Alle IT-OT-communicatie gaat hier doorheen.

Niveau 4-5 (Enterprise IT). Standaard IT-omgeving. Waar de SIEM/SOAR uit deel 2 voornamelijk werkt.

Stap 7: ICS/OT-incidentresponscoördinatie

Wanneer een ICS-incident optreedt, is de respons meerdere partijen. IT-zijde-incidentrespons verwerkt de IT-componenten; OT-operators verwerken de operationele componenten; veiligheidsengineers verwerken fysiek-procesrisico; juridisch verwerkt regulatoire rapportage.

Vooraf vastgestelde playbooks. ICS-specifieke incidentplaybooks, periodiek geoefend, die rollen en communicatiepaden benoemen.

Tabletop-oefeningen. Jaarlijkse of halfjaarlijkse oefeningen die ICS-incidentscenario's doorlopen.

Cross-team-training. IT-SOC-analisten die nooit OT-omgevingen zien, kunnen niet effectief reageren op OT-incidenten.

Leveranciersescalatiepaden. Vooraf vastgestelde ondersteuningsrelaties met de ICS-leveranciers.

Wat is hierna

Deel 3 heeft de gespecialiseerde lagen behandeld. ICS/OT-verdediging met passieve bewaking als standaard, dedicated OT-dreigingsinformatie, digitale forensica-gereedheid met lange retentie en bewakingsketen, cross-domein-oplossingen voor inter-enclave-datastromen, Purdue-model-netwerksegmentatie, ICS-incidentresponscoördinatie.

Deel 4 sluit de reeks af met de engineeringpijplijn- en architectuurdisciplines: DevSecOps die accreditatiebewijsmateriaal genereert als neveneffect, zero-trust-militaire netwerken, SBOM en toeleveringsketensintegriteit, ISO 27001- en AQAP-2110-afstemming en de continue-compliance-houding die de cyberstack geaccrediteerd houdt gedurende 15-20 jaar operationele levensduur.