De convergentie van IT en OT: wie is verantwoordelijk?
Informatietechnologie (IT) en Operational Technologie (OT) komen onherroepelijk samen. Dit leidt tot allerlei kanen voor organisaties, maar ook tot nieuwe risico’s, zeker wanneer ook technologie AI een rol gaat spelen. Hoe organiseer je dat effectief, en vooral: wie is uiteindelijk verantwoordelijk? We spraken hierover met Gartner-analisten Lloyd Jones en Wam Voster.
“Het systeem van energievoorziening is in hoog tempo aan het evolueren”, zegt Lloyd Jones, Senior Director Research bij Gartner. “Het is niet langer het gecentraliseerde systeem met één eigenaar. Steeds meer energiebronnen bevinden zich aan de rand van het netwerk, en zijn eigendom van hun gebruikers. Dit betekent dat we een manier moeten vinden om die middelen te coördineren en te orkestreren. Dat kunnen we niet alleen met traditionele operationele technologieën.”
“We hebben digitale technologieën nodig om met die apparaten te praten. En dat betekent een nieuw, betrouwbaar open netwerk. Dat is iets anders dan de traditionele cultuur bij nutsbedrijven, omdat die cultuur van oudsher juist gesloten is. Nu moeten zij ineens met onbekende deelnemers samenwerken en communiceren. Daarom is het een heel interessant onderwerp. Het is een combinatie van zowel operationele technologie, digitale technologie als de snel zich ontwikkelende cyber-fysieke beveiligingswereld.”
Silo’s
Zijn collega Wam Voster, Senior Director Research, vult aan: “Traditioneel hadden IT en OT elk hun afzonderlijke silo’s waarin ze functioneerden. Dat is nu een gepasseerd station. Er is nu behoefte aan interactie tussen de IT-wereld en de OT-wereld. Denk bijvoorbeeld aan geautomatiseerde bevoorrading in SAP op basis van de gemeten voorraadniveaus. We staan dus eigenlijk aan het begin van een nieuw tijdperk, waarin de traditionele architecturen niet meer voldoen. Sensoren moeten bijvoorbeeld rechtstreeks communiceren met software-as-a-service-platforms, wat leidt tot een hele reeks nieuwe uitdagingen.”
De volwassenheid hiervan verschilt volgens hem nu per branche, maar zeker per subtype van nutsbedrijven. “Waterbedrijven lopen bijvoorbeeld vaak achter op energiebedrijven. Maar als we mensen vragen of ze samenwerken in coöperatieve forums, is het antwoord normaal gesproken Ja, in meer of mindere mate. Als we hen vragen of ze deel uitmaken van een geconsolideerde organisatie, krijgen we zeer interessante antwoorden die per geografie en per nutsbedrijf verschillen. En als we ze vragen of ze middelen hebben gebundeld in één organisatie en dit technologiedomein als een geïntegreerd geheel runnen, doen maar heel weinig bedrijven dat echt. Erover praten en het ook echt doen zijn twee verschillende dingen.”
Security
Security is een cruciaal aspect van deze trend, en ook daarin vinden ingrijpende veranderingen plaats. Lloyd Jones : “Als we dit gesprek 10 jaar geleden hadden gevoerd, rapporteerde 99% van alle Chief Information Security Officers aan de CIO. Tegenwoordig is dat ongeveer tussen de 50 en 55%. De overige 45% van de informatie-afdelingen en teamorganisaties rapporteert ergens anders. En in dat proces zien we ook dat in een aantal situaties de letter I verdwijnt uit de Chief Information Security Officer.”
“Hij of zij wordt een Chief Security Officer, met niet alleen informatiebeveiliging, maar ook OT-beveiliging, IoT-beveiliging, digitale beveiliging en alles wat je daar maar bij kunt bedenken in één organisatie. We zijn er nog niet, maar ook dat is in volle gang. Het is meestal de C-suite-rol die geïnteresseerd is in het onderwerp. Of het nu de CIO of de CTO is, of de CEO, of CIO, ze hebben allemaal een probleem met dit onderwerp.”
Een andere trend die hij ziet bij nutbedrijven is de opkomst van Software Defined Assets. “Die Software Defined-assets zijn heel anders dan de traditionele fysieke activa die de vermogensbeheerders kennen en waarderen. Naarmate we deze activa zien evolueren, zullen we zien dat veel van de hardwaremogelijkheden in de softwarelaag terechtkomen. En we zullen in staat zijn om on-the-fly dynamisch te optimaliseren. Dat opent het onderwerp AI en machine learning. En dan is de vraag: hoe doe ik dit veilig? En hoe kan ik vertrouwen welke beslissing met welk apparaat kan worden genomen?”
Risico
Voster: “Je zult de komende jaren de opkomst gaan zien van eigen persona's voor deze assets, waarbij deze assets verschillende beslissingen zullen nemen afhankelijk van wie de eigenaar is. En denkend aan dat onderwerp is het een logische gevolg dat ook de securityvraagstukken gaan veranderen. Want nu gaan we onszelf echt interessante vragen stellen over hoe je persona’s beveiligt, die zelf beslissingen nemen.”
En naast het eigendom van de assets is het eigendom van het risico in de meeste situaties volkomen onduidelijk. Jones: “Zolang het goed gaat hebben de executives altijd fantastisch werk geleverd. Maar als het niet goed gaat wordt de CEO aangepakt voor dingen waarvan hij niet eens wist dat ze bestonden. De enige vraag die ik altijd stel aan elke C-level executive is: wie gaat naar de gevangenis als de AI een slechte beslissing neemt, die resulteert in een ongeluk met dodelijke afloop?”
“En het is fascinerend dat maar heel weinig klanten echt goed over deze vraag hebben nagedacht. Nogmaals, als we denken dat alles goed gaat maakt niemand zich zorgen. Maar op het moment dat er een incident is, zullen er heel moeilijke gesprekken moeten plaatsvinden over wie het risico daadwerkelijk moet dragen. En ik denk dat dit een van de grote onbelichte factoren is in de integratie en convergentie van IT en OT: wie draagt het risico van die slechte beslissing door technologie. Het antwoord is dat niemand van het op dit moment echt weet.”