U kunt niet beschermen wat u niet kent. Toch ontbreekt in veel industriële omgevingen een actueel overzicht van alle OT-assets. Zonder een complete inventaris weet u niet welke apparaten kwetsbaar zijn, welke firmware verouderd is en waar de grootste risico's liggen.

Kernboodschap: Een OT-asset inventaris is de basis van elke beveiligingsstrategie. Zonder compleet overzicht van PLC's, SCADA-servers, HMI's, switches en sensoren is risicobeheersing onmogelijk.

Waarom is een OT-asset inventaris zo belangrijk?

Zowel de IEC 62443 als de NIS2/Cyberbeveiligingswet vereisen dat organisaties een volledig overzicht hebben van hun assets. Maar ook zonder regelgeving is het simpelweg onmogelijk om een OT-omgeving te beveiligen zonder te weten wat er op het netwerk zit.

In de praktijk zien we regelmatig:

  • PLC's met firmware uit 2010 die nooit zijn gepatcht
  • Engineering workstations met directe internetverbinding
  • Onbekende apparaten die door leveranciers zijn geplaatst
  • Switches en routers waar niemand het wachtwoord van kent

Stap 1: Definieer de scope

Bepaal welke locaties, zones en systemen u wilt inventariseren. Gebruik het zones & conduits-model uit IEC 62443 om logische grenzen te trekken. Begin met de meest kritische productieprocessen.

Stap 2: Passieve discovery

Gebruik passieve netwerk-monitoringtools om verkeer te analyseren zonder het OT-netwerk te verstoren. Tools als Nozomi Networks, Claroty of open-source alternatieven herkennen industriële protocollen (Modbus, Profinet, EtherNet/IP) en brengen apparaten automatisch in kaart.

Let op: Actieve scanning (Nmap, Nessus) kan PLC's en oude SCADA-systemen laten crashen. Gebruik in OT-omgevingen altijd eerst passieve discovery.

Stap 3: Handmatige verificatie

Passieve tools missen apparaten die weinig of geen netwerkverkeer genereren. Loop de installatie fysiek langs en noteer:

  • Fabrikant, model en serienummer
  • Firmwareversie en patchstatus
  • IP-adres, MAC-adres en netwerksegment
  • Functie in het productieproces
  • Eigenaar of verantwoordelijke afdeling

Stap 4: Classificeer en prioriteer

Niet elk apparaat heeft dezelfde impact als het wordt gecompromitteerd. Classificeer assets op basis van:

  • Kriticiteit: Wat is de impact op veiligheid en productie bij uitval?
  • Kwetsbaarheid: Is de firmware actueel? Zijn er bekende CVE's?
  • Bereikbaarheid: Is het apparaat via het netwerk toegankelijk?

Stap 5: Onderhoud de inventaris

Een eenmalige inventaris veroudert snel. Zorg voor een proces waarbij:

  • Nieuwe apparaten automatisch worden gedetecteerd (continuous monitoring)
  • Wijzigingen aan firmware of configuratie worden gelogd
  • De inventaris minimaal elk kwartaal wordt gereviewed
  • Een CMDB of asset management tool wordt gebruikt als centraal register

Veelgemaakte fouten

  1. Alleen IT-assets inventariseren — OT-apparaten worden vergeten omdat ze buiten de IT-afdeling vallen
  2. Excel als bron van waarheid — een spreadsheet is na twee weken verouderd; gebruik tooling
  3. Geen eigenaarschap toewijzen — als niemand verantwoordelijk is, wordt niets bijgehouden

Hulp nodig bij uw OT-asset inventaris?

Resotech helpt u met een complete inventarisatie van uw industriële assets, inclusief risicoanalyse en advies. Vrijblijvend gesprek binnen twee werkdagen.

Plan een gesprek   Gratis OT-scan