Samenvatting: Een OT-pentest is een gecontroleerde beveiligingstest van uw industriële systemen (PLC’s, SCADA, HMI’s) die kwetsbaarheden blootlegt zonder de productie stil te leggen. Anders dan bij een klassieke IT-pentest staat beschikbaarheid centraal, niet vertrouwelijkheid. Passieve analyse gaat altijd vooraf aan actieve tests, en agressieve scantools zoals Nmap worden vermeden of strikt geconfigureerd om crashes van gevoelige controllers te voorkomen.
Veel Vlaamse productiebedrijven laten hun kantoornetwerk jaarlijks testen door een ethisch hacker. Firewalls worden gecontroleerd, servers gescand, applicaties onder de loep genomen. Maar zodra het over de fabrieksvloer gaat, over de PLC’s die machines aansturen, de SCADA-systemen die productieprocessen bewaken, de HMI-schermen waarop operators werken, wordt het stil. “Daar kunnen we niet aankomen, want de productie mag niet stilvallen.” Het is een begrijpelijke reflex, maar een gevaarlijke. Dit artikel legt uit wat een OT-pentest precies inhoudt, waarom het fundamenteel anders werkt dan een IT-pentest, en hoe u uw operationele technologie veilig kunt laten testen.
Wat is een OT-pentest en hoe verschilt het van een IT-pentest?
Een OT-pentest is een gecontroleerde beveiligingstest die zich specifiek richt op industriële systemen: de controllers, netwerken en protocollen die uw machines en productieprocessen aansturen. Het doel is kwetsbaarheden identificeren en valideren zonder de fysieke integriteit of beschikbaarheid van het productieproces in gevaar te brengen.
Het fundamentele verschil met een IT-pentest zit in de prioriteiten. In een kantooromgeving draait alles om de vertrouwelijkheid van gegevens. Een server die even herstart tijdens een scan? Vervelend, maar acceptabel. In een OT-omgeving kan datzelfde moment een PLC (Programmable Logic Controller) laten crashen, een noodstop forceren en een volledige productielijn stilleggen. Beschikbaarheid en fysieke veiligheid staan hier bovenaan.
| Criterium | IT-pentest | OT-pentest |
|---|---|---|
| Prioriteit | Vertrouwelijkheid van data | Beschikbaarheid en fysieke veiligheid |
| Levenscyclus assets | 3 tot 5 jaar | 15 tot 25 jaar |
| Besturingssystemen | Gestandaardiseerd (Windows, Linux) | Vaak proprietary, embedded of legacy |
| Protocollen | Universeel (TCP/IP, SSH, HTTPS) | Industriespecifiek (Modbus, PROFINET, DNP3) |
| Patchfrequentie | Wekelijks tot maandelijks | Alleen tijdens geplande onderhoudsstops |
| Fysieke impact bij fout | Beperkt tot dataverlies | Mogelijk destructief: productiestilstand, schade aan machines |
| Testomgeving | Redundant of virtueel beschikbaar | Vaak uniek, beperkte testfaciliteiten |
| Startpunt | Actieve scans | Altijd passieve analyse eerst |
Die langere levenscyclus van OT-assets is een cruciale factor. Veel Vlaamse productiebedrijven werken nog met systemen die ontworpen zijn in een tijdperk waarin cybersecurity geen overweging was. Controllers communiceren via protocollen als Modbus TCP die van nature geen encryptie of authenticatie ondersteunen. Een pentester moet daar rekening mee houden: standaard IT-scantools zijn vaak te agressief voor deze fragiele apparatuur.
Waarom uw OT-omgeving niet ongetest mag blijven
De redenering “onze fabriek hangt niet aan het internet, dus we zijn veilig” klopt niet meer. De convergentie van IT en OT, gedreven door Industry 4.0, IIoT-sensoren en cloudgebaseerde analytics, heeft de scheiding tussen kantoor en fabrieksvloer in veel bedrijven nagenoeg opgeheven.
De cijfers bevestigen het risico. Het Dragos 2026 OT Cybersecurity Year in Review rapport laat zien dat in 2025 maar liefst 119 ransomwaregroepen 3.300 industriële organisaties troffen, een stijging van 49% ten opzichte van het jaar ervoor. De maakindustrie was daarbij veruit het zwaarst getroffen: twee derde van alle slachtoffers waren productiebedrijven. Ransomware-aanvallen op de maakindustrie stegen met 56%, van 937 naar 1.466 incidenten.
En het begint bijna nooit in de fabriek zelf. Bij meer dan de helft van de ransomware-incidenten waarbij de productie werd verstoord, startte de infectie in het IT-netwerk en verspreidde zich vervolgens naar de OT-omgeving. Denk aan de ransomware-aanval op Picanol in Ieper: de malware kwam binnen via de IT-systemen, maar de impact op de productie in Ieper, China en Roemenië was totaal. Orderbeheer, machine-aansturing en logistiek waren zo sterk verweven dat alles dagenlang stillag.
Een OT-pentest valideert precies die overgangspunten. Niet de fabriek in isolatie testen, maar controleren of een aanvaller die het kantoornetwerk binnendringt ook de productievloer kan bereiken.
De vijf fasen van een veilige OT-pentest
Een professionele OT-pentest volgt een vijffasig proces dat specifiek is ontworpen om risico’s voor de productie tot een minimum te beperken. Elke fase bouwt voort op de vorige, en de stap naar actief testen wordt pas gezet wanneer de omgeving volledig begrepen is.
Fase 0: voorbereiding en risicoafbakening. Voordat er ook maar één pakketje over het netwerk gaat, wordt de scope vastgelegd in nauwe samenspraak met procesengineers en veiligheidsverantwoordelijken. Welke systemen zijn kritiek? Welke mogen absoluut niet actief getest worden? Dit resulteert in gedetailleerde “Rules of Engagement” die bepalen wanneer er getest wordt (bij voorkeur tijdens een geplande onderhoudsstop) en welke systemen binnen scope vallen.
Fase 1: passieve verkenning. Hier ligt het grootste verschil met IT-pentesting. Waar een IT-pentester direct begint met actieve netwerkscans, start een OT-pentester altijd passief. Via netwerk-TAPs of SPAN-poorten op switches wordt het verkeer meegelezen zonder de communicatie tussen PLC’s en HMI’s te verstoren. Zo worden assets geïdentificeerd, de netwerktopologie in kaart gebracht en protocollen geanalyseerd, zonder dat er ook maar één extra pakket het netwerk op gaat.
Fase 2: validatie van netwerksegmentatie. Is de scheiding tussen het bedrijfsnetwerk en het industriële netwerk werkelijk effectief? Onderzoekers zoeken naar ongeautoriseerde verbindingen: systemen die in beide netwerken hangen (“dual-homed”), ongedocumenteerde toegangspaden, of industriële apparaten die rechtstreeks bereikbaar zijn vanaf het internet. Uit Dragos-onderzoek blijkt dat organisaties vaak denken dat hun segmentatie op orde is, maar dat pentests regelmatig verborgen verbindingen blootleggen.
Fase 3: gecontroleerde kwetsbaarheidsanalyse. Pas wanneer de omgeving volledig in kaart is gebracht, worden er voorzichtig actieve handelingen verricht. Bij voorkeur gebeurt dit op een “digital twin” of in een laboratoriumomgeving die de productie-installatie nabootst. Moet er op live-systemen getest worden, dan beperkt dit zich tot configuratiereviews, handmatige controle van firmwareversies tegen bekende kwetsbaarheidsdatabases, en zeer voorzichtige, protocol-bewuste interacties.
Fase 4: rapportage en hersteladvies. Het rapport van een OT-pentest vertaalt technische bevindingen naar operationele risico’s. Aanbevelingen houden rekening met de beperkingen van OT: patchen is vaak niet direct mogelijk, dus worden compenserende maatregelen voorgesteld zoals “virtual patching” via industriële firewalls of aangescherpte netwerksegmentatie. Meer over hoe u zo’n rapport leest, vindt u in ons artikel over het interpreteren van een pentest rapport.
Typische kwetsbaarheden die een OT-pentester vindt bij Vlaamse productiebedrijven
De kwetsbaarheden in OT-omgevingen zijn fundamenteel anders dan wat u in een kantoornetwerk aantreft. Hieronder de vijf meest voorkomende bevindingen, gebaseerd op industriedata van Dragos, CISA en Nozomi Networks.
Platte netwerkarchitectuur. Het ontbreken van segmentatie tussen IT en OT is de meest voorkomende kritieke bevinding. Malware die binnenkomt via een phishingmail kan zich ongehinderd verspreiden naar de productievloer. In 45% van de onderzochte industriële omgevingen ontbreekt voldoende zichtbaarheid in het OT-netwerk om verdachte activiteit zelfs maar te detecteren.
Standaardwachtwoorden en ontbrekende authenticatie. PLC’s en HMI’s die nog gebruikmaken van fabrieksinstellingen zijn geen uitzondering. Protocollen als Modbus TCP hebben van nature geen authenticatielaag: wie een commando kan versturen, kan een machine aansturen.
Onveilige externe toegang. VPN-verbindingen voor leveranciers zonder multifactorauthenticatie (MFA) of onbeheerde remote desktop-poorten vormen een directe ingang. In 2025 was 22% van alle industriële beveiligingsadviezen gericht op kwetsbaarheden in netwerk-randapparatuur, een stijging ten opzichte van 16% in 2023.
Verouderde software op HMI-werkstations. Windows XP of Windows 7 op operatorstations is in veel fabrieken nog de dagelijkse realiteit. Deze systemen ontvangen geen beveiligingsupdates meer, maar vervangen is complex omdat de bijbehorende industriële software niet altijd op nieuwere besturingssystemen draait.
Onbeschermde engineering workstations. Computers met volledige toegang tot PLC-configuraties die tegelijk voor e-mail en internetgebruik worden ingezet. Eén gecompromitteerd werkstation geeft een aanvaller directe toegang tot de productielogica.
Het goede nieuws: volgens Dragos vereist slechts 3% van de gevonden kwetsbaarheden onmiddellijke actie. 71% kan worden aangepakt met compenserende maatregelen of tijdens de eerstvolgende geplande onderhoudsstop. De kunst is om te weten welke kwetsbaarheden er zijn, en dat is precies wat een OT-pentest oplevert.
OT-pentesting en NIS2: is het verplicht voor de maakindustrie?
De Belgische NIS2-wet (Wet van 26 april 2024) classificeert de maakindustrie als een “belangrijke sector”. Bedrijven die aan de groottecriteria voldoen, zijn wettelijk verplicht hun cyberweerbaarheid aan te tonen. Artikel 21 verplicht entiteiten tot het nemen van “passende en proportionele maatregelen” voor het beheer van cyberbeveiligingsrisico’s, inclusief regelmatige evaluatie van de effectiviteit van die maatregelen.
Hoewel de wet niet letterlijk voorschrijft hoe vaak u een pentest moet uitvoeren, is een OT-pentest een van de meest effectieve methoden om aan toezichthouders te bewijzen dat technische controles als netwerksegmentatie ook daadwerkelijk functioneren. Het CyberFundamentals (CyFun) framework van het CCB biedt een gestructureerde set controles waartegen u beoordeeld wordt. Een OT-pentest dient daarbij als praktische gap-analyse: welke CyFun-controles zijn voldoende geïmplementeerd, en waar zitten de gaten?
Meer over de NIS2-verplichtingen voor Vlaamse productiebedrijven leest u in ons artikel NIS2 en de Vlaamse maakindustrie. Een overzicht van de volledige NIS2-wetgeving vindt u in onze NIS2-gids.
De financiële drempel hoeft overigens geen belemmering te zijn. Via het VLAIO cybersecurity verbetertraject kunt u tot 50% van de kosten van een OT-security assessment laten subsidiëren, met een maximum van €35.000 voor grotere trajecten. Een OT-pentest past binnen het PLUS-traject (23 dagen diepgaande ondersteuning inclusief pentesting).
Veelgestelde vragen over OT-pentesting
Kan een OT-pentest mijn productie stilleggen?
Nee, mits uitgevoerd door gespecialiseerde OT-pentesters die het vijffasige proces volgen. De test begint altijd passief, kritieke systemen worden vooraf geïdentificeerd en uitgesloten van actieve tests, en waar mogelijk wordt getest op een digital twin of tijdens een geplande onderhoudsstop. Het doel is juist om kwetsbaarheden te vinden die uw productie wél zouden kunnen stilleggen.
Hoe vaak moet ik een OT-pentest laten uitvoeren?
Voor bedrijven die onder NIS2 vallen, is een jaarlijkse OT-pentest aan te raden als onderdeel van de verplichte regelmatige evaluatie. Daarnaast is een test nodig na significante wijzigingen aan het OT-netwerk, zoals de introductie van nieuwe machines, een firmware-upgrade of een wijziging in de netwerkarchitectuur.
Wat is het verschil tussen een OT-pentest en een vulnerability scan?
Een vulnerability scan controleert geautomatiseerd op bekende kwetsbaarheden, maar valideert niet of deze ook daadwerkelijk uitbuitbaar zijn. Een OT-pentest gaat verder: een ethisch hacker simuleert realistische aanvalsscenario’s, test of een aanvaller van IT naar OT kan bewegen, en valideert of beveiligingsmaatregelen in de praktijk werken. Meer over dit onderscheid leest u in ons artikel over pentest vs vulnerability scan.
Hebben mijn pentesters specifieke OT-certificeringen nodig?
Ja. Gezien de fysieke risico’s is het cruciaal dat pentesters naast IT-beveiligingscertificaten (zoals OSCP) ook beschikken over OT-specifieke certificeringen. De GICSP (Global Industrial Cyber Security Professional) combineert IT-beveiliging met industriële proceskennis en geldt als de standaard voor OT-pentesting. Controleer altijd of uw pentestpartner de juiste certificeringen bezit.
Wat kost een OT-pentest?
De kosten variëren sterk afhankelijk van de omvang van uw OT-omgeving, het aantal locaties, en de complexiteit van de industriële protocollen. Via het VLAIO cybersecurity verbetertraject kunt u tot 50% van de kosten laten subsidiëren.
Mijn fabriek is “air-gapped”. Heb ik dan wel een OT-pentest nodig?
Een volledige air-gap (fysieke scheiding zonder enige verbinding) is in de praktijk zeldzaam. USB-sticks voor firmware-updates, laptops die zowel op kantoor als in de fabriek worden gebruikt, of remote access voor leveranciers creëren ongemerkt verbindingen. Een OT-pentest brengt precies deze onzichtbare aanvalspaden in kaart. Meer over het verschil tussen IT- en OT-beveiliging leest u in ons artikel IT vs OT security.
De volgende stap
Cyberplan combineert IT- en OT-pentesting in één geïntegreerd traject. Onze ethische hackers begrijpen dat een productiemachine niet dezelfde behandeling verdient als een kantoorserver, en dat uw productie niet mag stilvallen. Benieuwd hoe uw OT-omgeving ervoor staat? Plan een vrijblijvend kennismakingsgesprek en ontdek waar de kwetsbaarheden zitten, voordat iemand anders dat doet.
