Hacking en cyberaanvallen op vitale infrastructuur

Een aanval op een waterkrachtcentrale in Noorwegen zette in april 2025 in stilte een reeks sluizen open. Binnen enkele minuten stroomde er honderden liters water per seconde weg, zonder menselijke opdracht. Er vielen geen slachtoffers, maar het incident bracht iets aan het licht waar veel organisaties nog steeds niet op voorbereid zijn: de kwetsbaarheid van fysieke infrastructuur door kwetsbare netwerken en systemen.

Terwijl industrieën investeren in automatisering en externe toegang, groeit de kans dat kwaadwillenden diezelfde systemen misbruiken. Niet voor datadiefstal, maar om fysieke processen te saboteren. De dreiging verandert. De vraag is of onze verdediging meebeweegt.

1. Wake-up call uit Noorwegen: digitale aanval, fysieke schade

Cyberaanval Noorse dam. In april 2025 wisten hackers de sluizen van de Bremanger-dam in Noorwegen open te zetten. Ongeveer 500 liter water per seconde werd ongecontroleerd afgevoerd. Deze aanval, toegeschreven aan een pro-Russische groep, bracht geen slachtoffers voort, maar wel grote zorgen. Niet alleen over de kwetsbaarheid van waterbeheer, maar over de hele vitale infrastructuur van Europa. Deze aanval was geen incident, maar een waarschuwing.

De Bremanger-hack staat symbool voor een verschuiving: van datadiefstal naar manipulatie van fysieke processen. Het betrof een aanval op OT-systemen (operationele technologie) die normaal gesproken los staan van het internet, maar in veel gevallen inmiddels via IT-netwerken verbonden zijn met externe systemen. Precies dat maakt ze kwetsbaar.

Wat gebeurde er bij de Bremanger-dam?

Volgens Noorse autoriteiten werd de aanval op afstand uitgevoerd. De aanvallers drongen binnen via het externe onderhoudsnetwerk van de dam. Vervolgens kregen ze toegang tot de SCADA-systemen die de kleppen en watertoevoer regelen. Binnen enkele minuten werd het afvoerkanaal van het reservoir geopend.

De veiligheidssystemen grepen niet direct in, omdat de aanval gebruikmaakte van geldige gebruikersrechten. Dit wijst op een vorm van social engineering of een eerdere phishingcampagne. De exacte toedracht wordt nog onderzocht, maar het incident toont aan hoe aanvallers tegenwoordig zelden via de voordeur binnenkomen. Ze zoeken naar vergeten leveranciersaccounts, oude VPN-tunnels of misbruikbare koppelingen tussen IT en OT.

Van sabotage tot signaal: waarom dit incident wereldwijd alarmerend is

De hack werd direct opgepikt door meerdere Europese veiligheidsdiensten. Niet alleen vanwege het incident zelf, maar vooral vanwege wat het blootlegt:

• Veel infrastructuur is afhankelijk van systemen die tientallen jaren oud zijn, vaak slecht beveiligd of niet ontworpen voor internetconnectiviteit.
• OT-netwerken worden vaak beheerd door andere teams dan IT, wat leidt tot blinde vlekken in monitoring en updates.
• Fysieke veiligheid wordt vaak nog los gezien van cybersecurity. De Bremanger-dam laat zien dat die scheiding niet langer houdbaar is.

Het incident valt binnen een bredere trend waarin hackers, soms gesteund door overheden, zich richten op kritieke infrastructuren. Denk aan waterzuiveringsinstallaties, energienetten of transportsystemen. Dit is geen fantasie of toekomstscenario. Het gebeurt nu.

Tijdlijn van de aanval

Maandag 14 april 2025:

• Ongebruikelijke netwerkactiviteit rond 02:00 uur ‘s nachts op het onderhoudsnetwerk van de dam.
• Verdachte aanmeldingen vanuit een buitenlands IP-adres. Geen alarm, omdat het leek op reguliere toegang.

Dinsdag 15 april 2025:

• Om 04:37 uur opent een van de hoofdsluizen van de dam.
• Sensoren registreren verhoogde uitstroom, maar geen automatische blokkering: systeem beschouwt de opdracht als legitiem.
• Om 04:45 grijpen medewerkers handmatig in en sluiten de sluis.
• Schade: beperkte overstroming in het nabijgelegen natuurgebied, geen slachtoffers.

De Noorse overheid bevestigde dat er geen schade aan de dam zelf was, maar dat het voorval “aanleiding is tot verscherpte OT-monitoring op nationale schaal”.

Deze aanval was geen stunt, maar een demonstratie van vermogen. Het was hacking met een boodschap: ook infrastructuren die ver van de cloud en kantoor-IT lijken te staan, zijn bereikbaar voor wie weet waar hij moet zoeken.

2. Digitale aanvallen met fysieke gevolgen: hoe bits beton kunnen breken

Fysieke impact cyberaanval is geen toekomstbeeld meer, maar realiteit. Hackers zijn niet alleen op zoek naar data of losgeld. Steeds vaker richten aanvallen zich op systemen die machines, installaties of kritieke processen aansturen. Denk aan sluizen, pompen, turbines, verkeerslichten of productielijnen. Wie daar controle over krijgt, kan schade aanrichten die verder gaat dan digitale sporen. Beton scheurt. Water stroomt over. Mensenlevens kunnen in gevaar komen.

Wat zijn cyber-fysieke systemen (CPS) en OT-omgevingen?

Cyber-fysieke systemen zijn technische installaties waarbij computersystemen direct verbonden zijn met fysieke processen. In fabrieken, energiecentrales en waterbedrijven worden deze processen bestuurd via:

• SCADA-systemen (Supervisory Control And Data Acquisition)
• PLC’s (Programmable Logic Controllers)
• ICS-omgevingen (Industrial Control Systems)
• Sensoren en actuatoren die metingen doen of machines aansturen

Deze systemen vallen onder OT (operationele technologie). In tegenstelling tot IT (informatietechnologie), waar het vooral draait om gegevens en communicatie, gaat het bij OT om machines en processen die fysiek effect hebben. Als een PLC geïnfecteerd wordt, draait een motor door, opent een klep of stijgt de druk in een tank. De impact is direct en tastbaar.

Wanneer een muisklik leidt tot fysieke schade

Hacking in OT-omgevingen verschilt van klassieke IT-aanvallen. Het doel is niet om toegang te krijgen tot mailboxen of klantgegevens, maar om invloed uit te oefenen op hoe machines zich gedragen. Aanvallers gebruiken vaak een combinatie van tactieken:

• Aanpassen van parameters in besturingssoftware, zoals temperatuur, snelheid of druklimieten
• Saboteren van failsafes die normaal gesproken schade voorkomen
• Misleiden van sensoren, zodat systemen verkeerde informatie krijgen
• Manipuleren van visualisatiepanelen, waardoor operators denken dat alles normaal is

Een bekend voorbeeld is Stuxnet, waarbij centrifuges in een Iraanse nucleaire installatie beschadigd raakten doordat ze met opzet op een verkeerde snelheid werden aangestuurd, terwijl het dashboard normale waarden bleef tonen.

Andere scenario’s zijn:

• Pompen die blijven draaien waardoor leidingen scheuren
• Reservoirs die overlopen door openstaande kleppen
• Brandbeveiligingssystemen die uitvallen bij sabotage van sensoren
• Koelsystemen die uitgeschakeld worden, wat machines doet vastlopen of ontploffen

IT vs OT: waarom de risico’s bij OT groter zijn

Er zijn fundamentele verschillen tussen IT en OT die verklaren waarom OT-systemen kwetsbaarder zijn:

• Beschikbaarheid en continuïteit staan voorop in OT. Veel systemen mogen niet zomaar herstart worden voor een update.
• Verouderde technologie: veel OT-installaties draaien op oude software, soms zonder updates of beveiliging.
• Beperkte zichtbaarheid: klassieke antivirus of SIEM-systemen werken vaak niet goed in OT-omgevingen.
• Fysiek gevolg: waar een IT-lek reputatieschade veroorzaakt, kan een OT-hack mensenlevens kosten.

Daar komt bij dat OT-netwerken de afgelopen jaren steeds vaker gekoppeld zijn aan IT-netwerken. Voor onderhoud op afstand, voor rapportage of voor cloud-integraties. Dat maakt de aanvalsvector groter. Aanvallers hoeven niet meer fysiek op locatie te zijn. Een phishingmail naar een kantoormedewerker kan de eerste stap zijn naar toegang tot een PLC in een pompstation.

Begrippen uitgelegd: kort en duidelijk

OT (Operationele Technologie): systemen die fysieke processen aansturen, zoals machines of installaties.
ICS (Industrial Control System): overkoepelende term voor alle OT-besturingstechniek.
SCADA: software voor toezicht en controle op afstand van installaties.
PLC (Programmable Logic Controller): hardware die machines direct aanstuurt op basis van sensorinformatie.

Door deze termen te begrijpen wordt duidelijk waarom dit domein zo gevoelig is voor sabotage. En waarom organisaties dringend moeten nadenken over betere bescherming. Niet alleen tegen datalekken, maar ook tegen scenario’s waarbij machines zich anders gaan gedragen dan bedoeld.

3. Vitale infrastructuur als doelwit: welke sectoren lopen risico?

Cyberaanvallen vitale infrastructuur nemen toe in frequentie én impact. Aanvallers mikken niet langer alleen op banken of overheden, maar op systemen die de samenleving draaiende houden: stroomnetten, waterbeheer, transport, gezondheidszorg en voedselvoorziening. Die sectoren worden gezien als “vitale infrastructuur” omdat ze directe invloed hebben op openbare orde, veiligheid en economie.

Wie daar de controle verliest, zet meer dan alleen data op het spel. Sabotage van een dam, raffinaderij of verkeersknooppunt kan leiden tot fysieke schade, maatschappelijke paniek of langdurige ontregeling van ketens.

Energie: stroomnet, olie en gas onder vuur

Energievoorziening is het zenuwstelsel van moderne samenlevingen. Zonder stroom vallen communicatienetwerken, ziekenhuizen, transport en productie stil. Precies daarom is het een aantrekkelijk doelwit.

• Black-outs door manipulatie van schakelstations
• Storing in distributienetten door sabotage van slimme meters of PLC’s
• Gasleidingen of olie-installaties buiten werking door ransomware of destructieve malware

Een bekend voorbeeld is de aanval op Colonial Pipeline in de VS (2021), waarbij benzineleveringen dagenlang stilvielen. Deze aanval richtte zich op de IT-systemen, maar had directe gevolgen voor OT-processen doordat de operator preventief systemen uitschakelde.

In Europa zijn vooral elektriciteitsnetten kwetsbaar. Denk aan netbeheerders met verouderde OT-infrastructuur, weinig segmentatie tussen IT en OT en externe leveranciers met te brede toegangsrechten.

Water en voedsel: sluizen, drinkwaterbedrijven, fabrieken

Waterbeheer is in veel landen sterk geautomatiseerd. Van zuiveringsinstallaties tot dijken en sluizen: PLC’s regelen het hele systeem. Die systemen zijn vaak jarenlang niet geüpdatet, slecht geïsoleerd en draaien op oude Windows-versies.

Risico’s:

• Openzetten van sluizen of pompen met overstroming als gevolg
• Aanpassen van chloorwaarden in drinkwaterinstallaties
• Sabotage van irrigatie- of koelsystemen in voedselproductie

In 2021 werd in Florida een poging gedaan om via TeamViewer de chloorwaarde in een waterinstallatie tot gevaarlijke niveaus op te voeren. Alleen door snelle reactie van een operator werd erger voorkomen. Zulke aanvallen zijn ook in Europa mogelijk, zeker nu sommige hackersgroepen gericht overheidsinfrastructuur scannen.

Transport & logistiek: van treinen tot verkeerslichten

Transportnetwerken zijn steeds vaker digitaal verbonden. Besturing van bruggen, tunnels, verkeerslichten en spoorwegen gebeurt vaak centraal, op afstand. De afhankelijkheid van deze systemen maakt ze kwetsbaar:

• Manipulatie van treinsignalen of verkeersknooppunten
• Stilleggen van havens door ransomware (zoals bij Maersk in 2017)
• Gehackte bruggen of sluizen die voor stremmingen zorgen

Een aanval op het spoorverkeer in Denemarken (2022) legde het hele netwerk stil door een hack bij een externe IT-leverancier. Hoewel het geen OT-aanval was, toonde het wel hoe afhankelijk transport is van externe partijen.

Zorg & financiën: ziekenhuizen, betaalverkeer en banken

Ziekenhuizen worden vaak gezien als IT-doelwitten, maar veel van hun apparatuur is OT-gedreven: infuuspompen, ventilatoren, scanapparatuur. Die zijn vaak niet beveiligd zoals andere systemen, en kunnen via het ziekenhuisnetwerk benaderbaar zijn.

Risico’s:

• Medische apparatuur wordt gesaboteerd
• Verstoring van toegang tot patiëntendossiers
• Paniek door uitval van noodsystemen of back-ups

Ook financiële infrastructuren zijn kwetsbaar. Niet door directe fysieke schade, maar door de maatschappelijke ontwrichting die uitval van pinverkeer of betalingssystemen kan veroorzaken. Aanvallers weten dat een aanval op banken of beurzen snel grote gevolgen heeft voor het vertrouwen van de bevolking.

Waarom deze sectoren aantrekkelijk zijn voor aanvallers

• Ze zijn groot, verspreid en complex, wat detectie en verdediging bemoeilijkt
• Ze werken vaak met externe leveranciers die zwakke schakels kunnen zijn
• Ze hebben lage tolerantie voor uitval, wat de kans op losgeldbetalingen verhoogt
• De impact is maatschappelijk en zichtbaar, wat past bij sabotage- of terreurtactieken

Deze infrastructuren zijn niet alleen kwetsbaar door technologie, maar ook door hoe ze zijn georganiseerd. Verouderde systemen, beperkte training en gebrekkige samenwerking tussen IT en OT maken ze een makkelijk doelwit voor iedereen die schade wil aanrichten.

4. Aanvalstactieken: zo kraken aanvallers de keten

Aanvalsmethoden kritieke infrastructuur zijn de afgelopen jaren verfijnd en afgestemd op OT-omgevingen. De klassieke aanval via een slecht wachtwoord of open poort wordt nog steeds gebruikt, maar vaak als opstapje in een breder offensief. Aanvallers werken doelgericht, gefaseerd en met geduld. Ze nemen de tijd om binnen te komen, zich te verstoppen, toegang uit te breiden en pas toe te slaan als het moment daar is.

Vitale infrastructuur valt niet in één stap. Het wordt laag voor laag ontmanteld. Van e-mail naar sluis, van factuur naar fabriek. Hieronder zie je hoe dat in de praktijk werkt.

Hybride aanvalspaden: van kantoor-IT naar OT

OT-netwerken stonden ooit volledig los van het internet. Tegenwoordig zijn ze steeds vaker verbonden met IT-netwerken voor monitoring, onderhoud of cloudtoegang. Dat maakt het mogelijk om via een standaard IT-aanval toegang te krijgen tot fysieke processen.

Typisch verloop:

• Stap 1: phishing van een kantoormedewerker of leverancier
• Stap 2: laterale beweging binnen het netwerk via zwakke segmentatie
• Stap 3: toegang tot OT-beheersystemen via misbruikte accounts of VPN’s
• Stap 4: manipulatie van SCADA of PLC-configuratie

Veel aanvallers benutten legitieme tools (zoals RDP, TeamViewer of remote beheersoftware) om onopgemerkt binnen OT te opereren. Omdat deze tools ook door technici gebruikt worden, slaan meldingen vaak niet aan.

Menselijke fouten & verouderde systemen als ingang

De zwakste schakel blijft vaak menselijk gedrag. Denk aan:

• Herbruikte of zwakke wachtwoorden
• Vergeten leveranciersaccounts met adminrechten
• Openstaande remote toegang zonder 2FA
• Updates die niet worden uitgevoerd vanwege productiestilstand

Aanvallers scannen gericht op bekende kwetsbaarheden in oude Windows-servers, openstaande poorten van OT-software of standaardwachtwoorden van PLC’s. Ook social engineering speelt een rol. Denk aan een nepmail van een onderhoudsbedrijf met daarin een link naar malware.

Voorbeelden van fouten die tot toegang leiden:

• Een werknemer gebruikt een onbeveiligde laptop op een OT-netwerk
• Een oude Citrix-omgeving staat nog open zonder MFA
• Een leverancier heeft nog steeds VPN-toegang, maanden na afronding van een project

Geavanceerde tactieken van statelijke actoren

Groepen die worden gelinkt aan landen zoals Rusland, China of Noord-Korea werken volgens militaire doctrines. Ze bouwen langdurig aan toegang via zogenoemde pre-positioning. Daarbij worden backdoors of malware al maanden of jaren van tevoren geplaatst, zonder direct schade aan te richten.

Kenmerken:

• Gebruik van zero-day kwetsbaarheden
• Verscholen communicatiekanalen (bijv. via legitieme websites of encrypted DNS)
• Vergaande privileges op accounts via chained exploits
• Gecontroleerde activering van sabotage op een strategisch moment

Deze APT’s (Advanced Persistent Threats) zijn vaak moeilijk te detecteren omdat ze zich gedragen als normale gebruikers en hun toegang stap voor stap vergroten.

[Persona] Hoe hackers via een leverancier binnenkwamen

Neem als voorbeeld een fictieve maar realistische situatie:

Een waterzuiveringsbedrijf schakelt een externe partij in voor software-updates. De leverancier gebruikt remote software om in te loggen op het SCADA-systeem. Maanden later wordt diezelfde software misbruikt door een aanvaller, omdat het wachtwoord nooit is gewijzigd. Via deze toegang installeert de hacker een stukje malware dat zich stil houdt. Pas weken later wordt via een geplande taak een PLC geherprogrammeerd, waardoor een klep permanent open blijft staan. Pas na fysieke schade wordt de sabotage ontdekt.

Dergelijke aanvallen verlopen:

• Onopvallend
• Fasesgewijs
• Met langdurige voorbereiding

Ze laten zien dat bescherming begint bij elke schakel in de keten. Niet alleen je eigen systemen, maar ook die van partners, leveranciers en beheerders moeten veilig zijn.

5. Praktische gevolgen: van black-outs tot maatschappelijke chaos

Gevolgen cyberaanval infrastructuur zijn allang niet meer beperkt tot wat dataverlies of productievertraging. Wanneer aanvallers toegang krijgen tot operationele technologie, kunnen de consequenties rampzalig zijn: complete stroomuitval, verontreiniging van drinkwater, chemische lekkages, verstoorde bevoorrading en verlies van vertrouwen in overheid en bedrijfsleven.

De impact is tastbaar. Fysiek. Onvoorspelbaar. En vaak groter dan vooraf gedacht.

Stroomstoringen en black-outs: Oekraïne als voorbeeld

Een van de bekendste voorbeelden van een grootschalige OT-aanval is die op het Oekraïense elektriciteitsnet in 2015. Door malware op SCADA-systemen kregen aanvallers op afstand controle over de stroomverdeling. Ze schakelden handmatig meerdere verdeelstations uit, waardoor honderdduizenden mensen zonder stroom kwamen te zitten — hartje winter.

Sindsdien zijn er meerdere aanvallen geweest op Europese netbeheerders, die soms net op tijd werden gestopt. De zwakke plekken zijn nog altijd aanwezig:

• Oude industriële systemen zonder updatemogelijkheden
• Beperkte netwerksegmentatie tussen IT en OT
• Externe toegang voor leveranciers zonder monitoring

Stroomuitval treft niet alleen huishoudens, maar ook ziekenhuizen, verkeer, datacenters, bevoorradingsketens en communicatiesystemen. De domino-effecten zijn enorm.

Milieurampen en fysieke schade

Wanneer hackers de controle krijgen over pompen, kleppen of tanks, kunnen ze letterlijk met één klik milieuschade aanrichten. Denk aan:

• Overstromingen door open sluizen
• Chemische lekken in fabrieken
• Vervuiling van drinkwater door fout ingestelde filters of doseringen
• Industriële branden bij sabotage van koelsystemen

Zo werd in Australië in 2000 het rioolwaterstelsel van een stadje gemanipuleerd door een voormalige medewerker. Hij zorgde dat miljoenen liters ongezuiverd afvalwater in rivieren en openbare ruimtes stroomden. Een ouder voorbeeld, maar het onderstreept hoe fysieke schade via software te veroorzaken is.

Moderne aanvallen zijn technischer, slimmer en vaak geautomatiseerd. Maar het doel is hetzelfde: ontwrichting en impact.

Economische schade & kettingreacties

Een goed geplaatste aanval op één schakelpunt in een keten kan internationale gevolgen hebben. Denk aan:

• Een geblokkeerde olieterminal zorgt voor tekorten aan brandstof
• Een gehackte haven vertraagt duizenden containers
• Een stilgelegde fabriek leidt tot uitval bij toeleveranciers én afnemers

In 2021 zorgde de aanval op JBS Foods, ’s werelds grootste vleesverwerker, ervoor dat meerdere fabrieken in Noord-Amerika en Australië tijdelijk sloten. De voedselketen was binnen dagen verstoord, met prijsstijgingen als gevolg.

Kostentechnisch lopen de schades al snel in de miljarden:

• Stilstand = omzetverlies
• Reputatieschade = klantenverlies
• Herstelkosten = weken werk + dure consultancy
• Wetten = boetes bij onvoldoende bescherming

Angst, onrust en wantrouwen

Misschien nog schadelijker dan de directe schade is het verlies van vertrouwen. Burgers die geen toegang hebben tot geld, water of medische zorg verliezen snel hun gevoel van veiligheid. En dat is precies wat sommige aanvallers willen bereiken: maatschappelijke ontwrichting.

• Betalingsverkeer dat uitvalt = paniek
• Spoedzorg niet beschikbaar = wantrouwen
• Overheid zwijgt = geruchten en chaos

Zodra burgers het gevoel krijgen dat systemen niet te vertrouwen zijn, wordt herstel moeilijk. Zeker als er geen duidelijke informatie komt of als de aanval in de schoenen wordt geschoven van externe partijen.

Daarom is transparantie en voorbereiding niet alleen technisch belangrijk, maar ook strategisch. Organisaties moeten plannen hebben. Testscenario’s. Incidentresponse die getraind is op fysieke én psychologische impact.

6. Proactieve verdediging: voorkom fysieke schade door ethisch hacken

Cyberweerbaarheid vitale infrastructuur vraagt om actie vóórdat het misgaat. Aanvallen op OT-systemen zijn steeds moeilijker te detecteren en richten in korte tijd grote schade aan. Vertrouwen op traditionele firewalls of antivirus is niet genoeg. Wie systemen wil beschermen tegen sabotage, moet ze actief laten testen, monitoren en beveiligen. Dat betekent: denken als een aanvaller. Of beter nog — werken met mensen die dat al doen.

Red teaming & ethische hackers: hack jezelf eerst

De beste manier om je zwakke plekken te vinden, is door een gecontroleerde aanval te laten uitvoeren. Red teams simuleren een realistische dreiging van binnenkomst tot sabotage. Het doel: álle gaten in je beveiliging boven water krijgen voordat echte aanvallers dat doen.

Typisch verloop van een red team oefening:

• Toegang verkrijgen via phishing, leveranciers of oude accounts
• Bewegen binnen IT en zoeken naar OT-koppelingen
• Detectie vermijden en SCADA of PLC’s benaderen
• Simuleren van sabotage zonder echte schade

Ethisch hacken is géén eenmalige test, maar een methode om continu de weerbaarheid te toetsen. Bedrijven die dit regelmatig doen, zijn aantoonbaar beter voorbereid bij echte aanvallen.

Continu scannen en patchen: kwetsbaarheden in kaart brengen

Verouderde software, ongepatchte systemen en open poorten blijven favoriet bij aanvallers. Veel OT-netwerken zijn ooit opgezet als gesloten systeem en nooit aangepast aan de risico’s van internetkoppeling.

Wat je direct kunt doen:

• Maak een actueel overzicht van alle OT-apparatuur
• Voer kwetsbaarheidsscans uit op SCADA-, HMI- en PLC-systemen
• Werk met geautoriseerde updateschema’s en rollbackprocedures
• Elimineer standaardwachtwoorden of accounts zonder 2FA

Kwetsbaarheden die maandenlang open blijven staan zijn géén technisch probleem — ze zijn een uitnodiging.

Monitoring & incident response: 24/7 zicht op OT-omgevingen

Veel organisaties hebben wel een SOC (Security Operations Center) voor IT, maar geen realtime monitoring van OT-systemen. Juist daar ontstaan vaak afwijkingen die vroegtijdig wijzen op een aanval.

Zorg voor:

• Detectie van anomalieën in netwerkverkeer (bijv. onbekende commando’s naar PLC’s)
• Sensorbewaking op fysieke output (bijv. temperatuur of druk buiten bereik)
• Integratie van IT- en OT-monitoring in één overzicht
• Een getraind incidentresponse-team dat direct kan handelen

Een aanval wordt meestal pas opgemerkt als de schade al zichtbaar is. Monitoring moet afwijkend gedrag eerder herkennen en stoppen, vóórdat de aanvaller zijn doel bereikt.

Veilige netwerken & failsafes: fysieke vangrails tegen digitale dreiging

Beveiliging stopt niet bij software. OT-systemen hebben fysieke noodprocedures nodig die losstaan van digitale aansturing. Denk aan:

• Handmatige afsluiters
• Analoge drukventielen
• Mechanische noodstops
• Automatische failsafe-configuraties

Ook netwerksegmentatie is belangrijk. Zorg dat een aanval op een kantoornetwerk niet direct toegang geeft tot een waterzuiveringsinstallatie of schakelkast. Een gescheiden structuur met firewalls, VLAN’s en een “zero trust” aanpak voorkomt dat één fout leidt tot ketenuitval.

Beleid en wetgeving: NIS2 & publieke-private samenwerking

Nieuwe wetgeving dwingt organisaties tot actie. De Europese NIS2-richtlijn verplicht vitale sectoren vanaf oktober 2025 om:

• Actief risico’s te beoordelen
• Incidenten binnen 24 uur te melden
• Continuïteitsplannen te hebben
• Regelmatig audits en tests uit te voeren

Samenwerking tussen overheid, industrie en securityprofessionals wordt steeds belangrijker. In Nederland speelt het NCSC een centrale rol in het delen van dreigingsinformatie en advies.

5 dingen die elke OT-beheerder vandaag moet controleren

• Hebben we segmentatie tussen IT en OT?
• Zijn alle externe toegangspunten bekend en gemonitord?
• Is onze SCADA-software up-to-date en gepatcht?
• Worden logbestanden actief gemonitord en geanalyseerd?
• Is er een incidentresponseplan dat getest is met OT in scope?

Proactieve verdediging is geen extraatje, maar noodzaak. Bedrijven die nu investeren in testscenario’s, ethisch hacken en 24/7 monitoring, besparen zichzelf later miljoenen aan herstel en reputatieschade.

7. Nieuwe dreigingen & incidenten (Q3 2025 Update)

Cyberaanvallen op vitale infrastructuur blijven zich in een hoog tempo ontwikkelen. In het derde kwartaal van 2025 zijn meerdere incidenten gemeld waarbij OT-systemen doelwit waren. De aanvallen worden steeds beter gecoördineerd, vaker uitgevoerd via partners of leveranciers en vaker toegeschreven aan statelijke actoren of hacktivistische groeperingen. Voor organisaties in de energie-, water- en transportsector betekent dit: verscherpte paraatheid, betere monitoring en snellere rapportage.

Hieronder een overzicht van recente ontwikkelingen die de urgentie opnieuw onderstrepen.

Actuele dreiging: KillNet richt zich op West-Europese waterbedrijven

De pro-Russische groepering KillNet heeft in juli 2025 meerdere DDoS-aanvallen uitgevoerd op de websites en externe API’s van waterbedrijven in Nederland, België en Duitsland. Tegelijkertijd werden volgens threat intelligence-kanalen pogingen gedaan om toegang te krijgen tot OT-omgevingen via remote managementplatformen.

Hoewel er (nog) geen sabotage van fysieke installaties is vastgesteld, zijn de aanvallen duidelijk gericht op:

• Het verstoren van publieke dienstverlening
• Het ondermijnen van vertrouwen in kritieke voorzieningen
• Het testen van toegangspunten voor latere sabotage

De tactiek lijkt te verschuiven van pure overbelasting naar combinaties van DDoS, credential stuffing en scanning van zwakke OT-segmenten.

Verdachte activiteit in energie-infrastructuur Oost-Duitsland

In augustus 2025 heeft een regionale netbeheerder in Oost-Duitsland melding gemaakt van onverklaarbare anomalieën in hun SCADA-logging. Er werden commando’s uitgevoerd die niet overeenkwamen met het standaard gebruikersgedrag. Deze kwamen via een extern toegangsaccount dat al maanden niet meer in gebruik was, maar nooit was gedeactiveerd.

Gevolg:

• Tijdelijke isolatie van meerdere verdeelstations
• Ingrijpen van Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Opschaling van OT-monitoring naar 24/7 met externe ondersteuning

Het incident wordt onderzocht als mogelijke voorbereidingsactie binnen een breder offensief gericht op energienetwerken in Midden-Europa.

1 op de 3 OT-bedrijven zonder actief incidentresponseplan

Een recent Europees onderzoek onder 480 bedrijven in vitale sectoren toont een verontrustend beeld:

• 34% van de bedrijven heeft géén actueel incidentresponseplan waarin OT-systemen zijn opgenomen
• 46% test hun plan niet jaarlijks, ondanks wettelijke verplichtingen onder NIS2
• 28% weet niet zeker of leveranciers toegang hebben tot hun OT-omgeving

Deze cijfers laten zien dat bewustwording nog te vaak beperkt blijft tot de IT-afdeling, terwijl OT nog altijd wordt gezien als “veilig omdat het niet op internet zit” — een gevaarlijke misvatting.

Dreiging verschuift van IT naar supply chain naar OT

Meerdere securitybedrijven melden dat aanvallers hun focus verleggen naar de supply chain als aanvalspad richting OT. Denk aan:

• Remote toegang via HVAC-onderhoudsbedrijven
• Malware in update-tools van derde partijen
• Gecompromitteerde firmware in industriële controllers

Deze methode is moeilijker te detecteren, omdat de toegang legitiem lijkt en zich maandenlang ongemerkt kan opbouwen.

Wat nu te doen?

• Controleer alle externe toegangspunten, vooral van leveranciers
• Voer een tabletop-oefening uit op basis van de KillNet-case
• Pas je incidentresponseplan aan zodat OT expliciet wordt meegenomen
• Monitor accounts op inactiviteit en afwijkend gedrag

Q3 laat zien dat aanvallers zich niet meer richten op willekeurige doelen, maar steeds specifieker kiezen voor zwakke plekken binnen infrastructuur. Geen sector is veilig zonder continue controle, segmentatie en oefening.

8. Samen bouwen aan digitale weerbaarheid van vitale infrastructuur

Bescherming kritieke infrastructuur is geen taak van één partij. Geen enkele organisatie, hoe groot of technisch onderlegd ook, kan zichzelf volledig beschermen tegen de geavanceerde aanvallen van vandaag. Weerbaarheid ontstaat pas als overheid, bedrijfsleven en leveranciers samenwerken, informatie delen en hun beveiliging continu verbeteren.

De incidenten in Noorwegen, Duitsland en andere Europese landen tonen dat zwakke plekken vaak ontstaan door slechte afstemming, te veel vertrouwen op oude systemen en een gebrek aan gezamenlijk risicobesef. Die houding moet veranderen.

Iedereen heeft een rol in cybersecurity – van technicus tot beleidsmaker

Weerbaarheid begint niet bij een firewall of software, maar bij mensen. Elk niveau binnen een organisatie draagt bij aan veiligheid — of verzwakt die onbedoeld.

• Technici en engineers moeten alert zijn op wijzigingen, logging en afwijkingen in OT-processen
• Beveiligingsspecialisten moeten OT in scope nemen bij risicoanalyses, audits en incidenthandling
• Beleidsmakers en bestuurders moeten cybersecurity als continu strategisch risico behandelen, niet als een IT-onderwerp

Te vaak worden grote investeringen gedaan in IT-beveiliging, terwijl kritieke installaties draaien op onbeschermde hardware uit 2009, gekoppeld aan het internet via een vergeten modem.

Van afwachten naar anticiperen: de kosten van niets doen

Organisaties die wachten tot een incident zich voordoet, betalen de hoofdprijs:

• Financieel: miljoenen euro’s aan schade, herstel en boetes
• Operationeel: dagen of weken stilstand
• Juridisch: aansprakelijkheid bij schade aan derden of milieu
• Reputatie: blijvend verlies van vertrouwen bij klanten en burgers

Daartegenover staat dat proactieve maatregelen relatief eenvoudig en betaalbaar zijn als ze tijdig worden ingevoerd:

• Regelmatige ethische hacktests (red teaming)
• Integratie van OT-monitoring in bestaande SOC’s
• Incidentresponse oefenen met OT-scenario’s
• Netwerksegmentatie en toegangsbeheer up-to-date houden

Een investering in cybersecurity is een verzekering tegen uitval en ontwrichting.

Investeren in weerbaarheid = investeren in veiligheid

Weerbaarheid is niet alleen een technische aangelegenheid, maar een randvoorwaarde voor maatschappelijke stabiliteit. Vitale infrastructuur vormt het fundament van onze samenleving. Wie die systemen beschermt, beschermt ook de samenleving zelf.

Concrete stappen die je vandaag nog kunt zetten:

• Start met een 0-meting van je OT-beveiliging
• Betrek leveranciers bij je beveiligingsbeleid
• Leg risico’s en afhankelijkheden vast in je bestuursrapportage
• Zorg dat je voldoet aan NIS2 vóór het verplicht wordt

Toekomstige aanvallen zijn onvermijdelijk. Maar de impact ervan is te beperken, zolang je niet afwacht maar handelt. We hebben de kennis, de tools en de ervaring — nu moeten we ze toepassen.

Hoe staat jouw organisatie er écht voor?

Het beschermen van OT-omgevingen begint bij inzicht. Niet alleen technisch, maar ook op het vlak van processen, verantwoordelijkheden en risico’s.

Laat een onafhankelijke OT-pentest uitvoeren of simuleer een aanval met een red team om zwakke plekken boven tafel te krijgen. Breng in kaart waar IT en OT elkaar raken en hoe effectief je beveiligingsmaatregelen in de praktijk zijn.

Betrek hierbij niet alleen je IT-team, maar ook je Information Security Officer, je afdeling risicomanagement én de verantwoordelijken voor kwaliteit en bedrijfscontinuïteit.

Deze disciplines samen zorgen voor de balans tussen veiligheid, werkbaarheid en wettelijke compliance. Zonder gezamenlijke aanpak blijven risico’s onzichtbaar — totdat het te laat is.

Test je systemen voordat iemand anders het doet.
Wacht niet op de volgende wake-up call. Stel kritische vragen, leg verantwoordelijkheden vast en toets je beveiliging regelmatig. Zo voorkom je niet alleen schade, maar versterk je de veerkracht van je hele organisatie.