Industriële ondernemingen zijn vaker het doelwit van hackers, zeker nu fabriekssystemen een digitale component krijgen en gelinkt worden aan internet. Energiecentrales en nucleaire installaties staan eveneens onder dreiging. Boeing heeft zijn klanten recent aangemaand om de vliegtuigen elke twee tot drie weken te ‘rebooten’. Mag het verwonderen dat op het recente industrial systems event van Kaspersky op één belangrijke regel gehamerd werd: laad nooit je smartphone op aan een werkstation dat fabriekssystemen controleert. Dat biedt immers zo een open toegangspoort voor hackers.
It wordt dan gevraagd om bij te springen, maar wat blijkt? De it-jongens spreken niet met de jongens die verantwoordelijk zijn voor de industriële systemen. Ze verstaan elkaar niet, ze spreken niet dezelfde taal, ze kennen elkaar niet en hebben ook niet dezelfde agenda. Vaak leeft de angst dat it uiteindelijk hun job zal inpalmen.
‘Er komt verandering in, stilaan wordt het beter’, vertelde de cio van een groot industrieel concern onlangs. ‘Maar er zit nog veel water tussen beide afdelingen’.
En zelden komt security van industriële systemen op directieniveau. Het wordt afgewimpeld want ‘te technologisch’. Ongetwijfeld zal er eerst een ramp moeten plaatsvinden voordat het bovenaan komt drijven. Er is vooralsnog geen aandacht voor, ‘te ver van mijn bed’, denkt de ceo en zeker de cfo.
Opvallend was de oproep voor de overheid en de sectororganisaties om meer aandacht te bieden aan de beveiliging van industriële installaties. De overheid kan incentives geven, zelfs belastingvoordelen aan de ondernemingen die deze securityproblemen grondig aanpakken. Het is echter de vraag of de overheid daar oren naar heeft. Ook hier staat cybersecurity niet hoog op de agenda. Ook hier gaat het om communicatie en aandacht. Ook hier zal er eerst een ramp moeten gebeuren. En het mag ook verbazen dat terroristische groeperingen zoals IS nog geen cyberaanslagen uitgevoerd hebben en het tot op vandaag nog steeds houden op fysieke terreuracties. Een kwestie van tijd, verwacht ceo Eugene Kaspersky. Hackers doen alles voor geld, vroeg of laat zal IS bij hen aankloppen. Hij droomt van oplossingen die quasi ondoordringbaar zijn voor dergelijke hackers. En daarmee bedoelt hij dat het zo duur zal zijn om industriële systemen te hacken dat de schade die is aan te richten helemaal niet in verhouding is.
Maar dan nog, ook dan zal communicatie bijzonder belangrijk zijn, ook en vooral intern tussen de it-teams en de afdeling industrial systems. Men kan er dus best vandaag al mee beginnen.
Het gegeven is allerminst nieuw. De IT wereld die niet met de NON IT wereld praat of andersom. Het is een probleem dat net zo oud is als de eerste PC en netwerk implementaties, de eerste werkelijke software ontwikkelingen. Dat heeft verschillende diepgewortelde emoties maar het grootste probleem is taal.
In de communicatie gaan er telkens weer tal van zaken verkeerd waardoor uiteindelijk het resultaat weer niet is wat werd verwacht of afgesproken. Daarna begint het zwarte pieten om uiteindelijk weer tot een rechtzaak of de zoveelste commerciele bok te komen. Wat is hier eigenlijk aan de hand?
Twee werelden
IT vs Non IT. IT is een statische aangelegenheid die aan een groot aantal wetmatigheden onderworpen is. Lees, wetmatigheden die door de IT professional vaak helemaal niet eens bekend is omdat die dit nooit in de opleiding mee heeft gekregen. (Verbazingwekkend, ik weet het…) De materie onder IT beweegt zich op een bepaalde manier die ‘Volkomen’ is. Volkomen als in 100% voorspelbaar. Is dat het niet, dan werkt IT niet. Dit gegeven gaat op voor alle stappen en processen, binnen elke discipline van de IT. De wereld van de IT is dan ook niet rond maar vierkant of rechthoekig. Lineair dus.
De andere wereld, de wereld van Non IT, is een sec dynamische wereld. Daar gaan tal van balletjes heen en weer en vliegen over muren en wanden, naar binnen en naar buiten, te pas en onpas. Juist die dynamiek staat zo vaak haaks, in communicatie, wens/eis, opzet en uitvoering, met de wereld van IT.
Voila, het contrast in een notedop. De materie IT brengt met zich mee dat de professionals worden besmet met de materie waarnmee zij omgaan. Lineaire comminicatie. De wereld van de Non IT is en blijft dynamisch, waardoor tal van zaken gewoon verkeerd zullen blijven gaan.
Oplossing: Dat de Non IT wereld eenvoudig wordt uitgelegd wat IT is, waarom deze zo beweegt, iets waar de IT professional helemaal niets aan kan doen overigens. Leg de Non IT professional en beslissingsnemers uit hoe zij, en gebruik(st)ers IT moeten zien en gebruiken, en het probleem zal als sneeuw voor de zon verdwijnen.
Deze noodzakelijke stap wordt door menig IT professional of professional werkende in de IT, volkomen veronachtzaamd, met deze publicaties als voorspelbaar gevolg. En dat is jammer wanneer u wil aannemen dat IT voor de organisatie een strategische positie inneemt en de business naar winst moet brengen, niet naar de verliezen die juist op deze wijze zo vaak op treed.