Wat in alle life cycle managementsystemen voorkomt zijn de factoren operate en maintain. Want groot belang wordt gehecht aan het laten draaien en het onderhouden van de installaties. De focus in de industrie ligt echter vooral op het onderhouden van mechanische onderdelen als pompen, lopende banden, mengsystemen of andere machines. Minder aandacht wordt bewust of onbewust besteed aan het onderhoud en draaiende houden van software. En als er al aandacht aan wordt gegeven, betreft het vaak slechts het maken van back-ups of het opruimen van oude data.
Of het nu gaat om besturingssoftware als Windows of Linux of om basisapplicaties als SQL Server, .NET of Java Runtime, ze zijn van cruciaal belang bij het draaiende houden van veel processen. Maar ook aan standaardapplicaties voor SCADA en MES en firmware voor SIS, HMI, PLC’s, switches en firewalls, wordt relatief weinig aandacht besteed. Terwijl juist daar veel bekende kwetsbaarheden in voorkomen, die door malware eenvoudig uitgebuit kunnen worden.
Net als bij mechanisch onderhoud, kent ook het onderhoud van software verschillende niveaus van volwassenheid. Zo is er het reactieve onderhoud, het incidentele onderhoud wanneer er een noodzaak is. “If it ain’t broken, don’t fix it”, is de welbekende uitspraak die hierbij hoort. Daarnaast kennen we het beheerste onderhoud, waarbij de onderhoudsactiviteiten periodiek en procesmatig worden uitgevoerd. Tot slot is er het proactieve onderhoud. Bij deze vorm van onderhoud wordt echt goed gekeken of en wanneer onderhoud nodig is en wanneer updates nodig zijn. Er worden bewuste keuzes gemaakt.
Helaas zien we dat in sommige branches van de industrie vooral reactief onderhoud wordt uitgevoerd. Ondanks de gevaren die toch echt reëel zijn. Niet voor niets horen we achteraf van steeds meer van onze klanten dat ze betrokken zijn geweest bij cybersecurity incidenten. Dat ondernemingen hier niet altijd mee naar buiten komen, betekent niet dat cyberaanvallen niet veelvuldig voorkomen.
