Gesponsord

"De cybersecurity in de bouw moet veel steviger"

"De cybersecurity in de bouw moet veel steviger"

De bouwsector digitaliseert in snel tempo. Maar is de digitale weerbaarheid van de sector sterk genoeg om de bijbehorende risico's het hoofd te bieden? Tijdens de tiende editie van de T-Talks van Tesorion gingen experts uit de bouwsector hierover in gesprek. Het antwoord is volgens Erik de Jong duidelijk: cybersecurity moet hoger op de bouwagenda.

De bouwsector is volop in beweging. Niet alleen fysiek op de bouwplaats, maar ook digitaal. Ketens worden steeds hechter, data moet tussen partijen veilig gedeeld worden, en technologische oplossingen als sensoren, apps en online platformen zijn niet meer weg te denken. Maar met meer digitalisering komt ook meer risico. "En die risico’s worden steeds duidelijker zichtbaar," vertelt Erik de Jong, Chief Research Office bij cybersecuritybedrijf Tesorion. Tijdens de T-Talks van Tesorion stonden de deelnemers stil bij de uitdagingen en kansen voor de sector.

De Bouw staat op plek twee van Ransomware-doelwitten

"Eén van de meest opvallende feiten uit de uitzending kwam uit het samenwerkingsproject Melissa, waarin onder andere het NCSC, Openbaar Ministerie en politie krachten bundelen in de strijd tegen ransomware in Nederland. De bouwsector bleek in 2024 op de tweede plaats te staan als doelwit van ransomwaregroepen."

Naar de oorzaak van deze tweede plaats blijft het gissen. "Wat in de praktijk wel vaak blijkt: De bouw- en vastgoedsector heeft zijn digitale basis niet overal op orde. En in tegenstelling tot banken of overheden zijn bouwbedrijven niet van oudsher ‘technology-driven’. Bewustwording binnen organisaties is dus cruciaal."

Ketensamenwerking vraagt om regie én verantwoordelijkheid

Digitalisering in de bouw betekent volgens De Jong vooral: samenwerking. Tussen hoofdaannemers, onderaannemers, leveranciers en klanten. "Maar de verschillen in digitale volwassenheid tussen partijen zijn vaak groot. Het speelveld verandert; de rol als hoofdaannemer schuift steeds verder op. Als bouwbedrijf zit je aan de voorkant van het ontwikkelproces en neem je tegelijkertijd aan de achterkant ook de communicatie met klanten en de kwaliteitsborging over. Dat maakt dat bouwbedrijven steeds meer regie moeten nemen over de informatieketen. En daarmee ook over de veiligheid ervan."

Tegelijkertijd moeten bouwbedrijven rekening houden met de realiteit: van grote onderaannemers met eigen IT-teams tot de ‘timmerman om de hoek’ met een oude laptop. "Dat vraagt om flexibele, maar duidelijke kaders," aldus De Jong.

De muren tussen IT en OT verdwijnen

Een ander belangrijk thema is de toenemende verwevenheid van IT (informatie- en communicatietechnologie) en OT (operationele technologie). Machines, voertuigen en sensoren op de bouwplaats worden steeds vaker verbonden met netwerken en systemen. Dit creëert nieuwe aanvalsvectoren.

"OT-apparaten hebben vaak geen endpoint beveiliging en zijn moeilijk te beheren met traditionele IT-tools,"vertelt De Jong. "Maar ze zijn wel verbonden met het netwerk. Network Detection & Response biedt hier uitkomst door gedrag op netwerkniveau te monitoren. Daarnaast zie je de OT/IT-integratie ook binnen de muren van de eigen organisatie terug. Keuringen die digitaal worden vastgelegd, werkplaatsen die zijn gekoppeld aan het ERP-systeem. IT en OT groeien samen, en dat vraagt om gezamenlijke verantwoordelijkheid."

De menselijke factor

Incidenten ontstaan vaak daar waar de interactie is tussen mens en techniek. Dat is geen verrassing, aldus De Jong. Maar het vraagt wel om actie. Niet alleen trainingen, maar ook door systemen zo te ontwerpen dat fouten moeilijker te maken zijn. "Het probleem ligt niet bij ‘de mens’ als schakel. Technologie moet juist zo worden ingericht dat het aansluit bij het werk van mensen. Je kunt van een timmerman niet vragen om zes keer per dag met MFA in te loggen op vijf verschillende systemen. De oplossing zit dus niet alleen in beleid, maar in gebruiksvriendelijkheid en adoptie. Technologie moet aansluiten bij de praktijk."

Wet- en regelgeving: NIS2 als katalysator

De nieuwe Europese NIS2-richtlijn — in Nederland vertaald naar de Cyberbeveiligingswet — is opnieuw uitgesteld, maar blijft een belangrijk ijkpunt, vertelt Erik de Jong. Niet elk bouwbedrijf valt er direct onder, maar ketenleveranciers van vitale organisaties wel. Dat betekent dat bedrijven zich nú al moeten voorbereiden. Het is een misvatting om te denken: we vallen er niet onder, dus hoeven niks te doen. Juist nu is het moment om te investeren in risicomanagement en basismaatregelen."Immers; de wet lost je problemen niet op, maar het helpt wel om de juiste dingen af te dwingen. Zodat bedrijven niet pas gaan handelen na een incident.”

Samen bouwen aan veiligheid

Wat zijn de belangrijkste conclusie van deze T-Talks? Cybersecurity is geen IT-feestje, aldus Erik de Jong. "Het is een integraal onderdeel van goed samenwerken, goed bouwen en goed bestuur. Organisaties die nu investeren in bewustwording, samenwerking en pragmatische technologie, bouwen aan een stevig fundament voor de toekomst."

Of zoals de deelnemers het hebben samengevat: “Je moet elkaar begrijpen. De cultuur van bouwen vraagt om duidelijke kaders én flexibiliteit. En cybersecurity moet daarin meebewegen.”

Dit artikel is gesponsord door Tesorion.

  1. Vacatures

  2. ERA Contour

    Kostendeskundige Bestaande bouw

    ERA Contour logo

  3. Gemeente Schouwen-Duiveland

    Projectleider Civiele Techniek

    Gemeente Schouwen-Duiveland logo

  4. Dienst Justitiële Inrichtingen

    Toezichthouder bouw ideaal voor gepensioneerde

    Dienst Justitiële Inrichtingen logo

  5. Nederlandse Arbeidsinspectie

    Inspecteur arbeidsomstandigheden Asbest

    Nederlandse Arbeidsinspectie logo

  6. Provincie Noord-Holland

    Kostendeskundige infra

    Provincie Noord-Holland logo
Bekijk vacatures
Onderwerpen beheren

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.