Van ontplofde pijpleiding tot stroomuitval en watervergiftiging. Cyberaanvallen raken allang niet meer alleen data. Steeds vaker richten aanvallers zich op de systemen die onze fysieke wereld draaiende houden: de machines en installaties achter de term operational technology (ot). En als die omvallen, voelt de samenleving dat direct. Dit zijn de ot-incidenten die de wereld wakker schudden.
Operationele technologie (ot) stuurt fysieke processen aan in de industrie en infrastructuur, zoals machines, productielijnen en energie‑ of waterinstallaties. Het omvat systemen als scada, plc’s, ics en dcs, en verschilt van it doordat ot direct invloed heeft op de fysieke wereld.
Een ot‑incident ontstaat wanneer een aanval daadwerkelijk ot‑componenten manipuleert—bijvoorbeeld sensoren, actuatoren, veiligheidssystemen of plc’s—waardoor processen veranderen: een pomp draait anders, een klep opent of sluit of stroom valt uit. Aanvallen richten zich vaak op protocollen als Modbus, DNP3, IEC 104, Profibus, OPC UA en SIS.
Worden alleen it‑systemen geraakt, zoals laptops of servers met ransomware, en blijft de fysieke procesbesturing ongemoeid, dan is er geen sprake van een ot‑incident. Pas wanneer een aanval fysieke processen beïnvloedt, valt deze binnen de ot‑categorie.
1. Stuxnet – Sabotage van Iraanse kerncentrifuges (2010)
Stuxnet wordt algemeen gezien als het meest geavanceerde ot‑incident ooit. De aanval richtte zich niet op it‑systemen, maar rechtstreeks op de industriële besturing van de nucleaire installatie in het Iraanse Natanz. De malware infiltreerde via meerdere Windows‑zero‑days (kritieke kwetsbaarheden die niet zijn opgelost) en verspreidde zich verder via usb‑sticks, een geïnfiltreerde waterpomp, gedeelde Windows‑mappen en zelfs via projectbestanden in de plc’s. Eenmaal binnen manipuleerde Stuxnet de Siemens Step7‑plc’s en de WinCC‑scada‑omgeving door malafide ladder‑logica (grafische weergave van de functies in een plc) te injecteren. Daardoor gingen de centrifuges onzichtbaar sneller en langzamer draaien, terwijl gespoofde sensorwaarden de medewerkers een normaal procesbeeld voorschotelden. Het resultaat was de fysieke vernietiging van honderden centrifuges en een jarenlange vertraging van het Iraanse nucleaire programma.
2. Triton/Trisis – Aanval op veiligheidssystemen in petrochemische fabriek (2017)
Triton, ook bekend als Trisis, was de eerste aanval die zich richtte op safety instrumented systems (sis). Dat zijn de systemen die bedoeld zijn om installaties automatisch stil te leggen bij gevaarlijke situaties. Aanvallers wisten via het it‑netwerk door te dringen tot het engineering workstation van de fabriek in Saudi-Arabië en probeerden daar de safety‑logica van Schneider Electric Triconex‑controllers te overschrijven. Door deze veiligheidsmechanismen uit te schakelen, wilden ze de weg vrijmaken voor een latere sabotageaanval die tot explosies of andere catastrofale procesverstoringen had kunnen leiden. De manipulatie bracht de sis‑controllers in een fouttoestand, waardoor de fabriek noodgedwongen werd stilgelegd. Het incident geldt als een van de gevaarlijkste ot‑aanvallen ooit, omdat het direct de laatste verdedigingslinie tegen fysieke rampen aantastte.
3. Oekraïense stroomnet – BlackEnergy & Industroyer (2015–2016)
De aanvallen op het Oekraïense elektriciteitsnet waren de eerste cyberaanvallen die daadwerkelijk een blackout veroorzaakten. Aanvallers drongen via spear‑phishing binnen, bewogen zich lateraal naar scada‑servers en gebruikten vervolgens de legitieme scada‑interfaces om op afstand breakers (veiligheidsmechanisme voor stroomonderbreking) in meerdere elektriciteitsstations uit te schakelen. In de tweede aanvalsgolf werd de Industroyer‑malware ingezet, die rechtstreeks industriële protocollen zoals IEC‑104 en IEC‑61850 aansprak. Dat zijn protocollen die normaal worden gebruikt voor de automatisering van substations. Door deze protocollen te misbruiken, konden aanvallers substations fysiek ontregelen en delen van het net uitschakelen. Honderdduizenden huishoudens kwamen zonder stroom te zitten, waarmee dit incident de eerste bewezen cyber‑blackout in de geschiedenis werd.
Lees ook het themadossier ot-security in e-zine #2, 2026
Het nieuwe Computable e-zine bevat een themadossier met de volgende achtergronden, interviews en cases over ot:
4. Siberische pijplijnexplosie (1992)
Hoewel het incident al uit de vroege jaren negentig stamt, wordt de Siberische pijplijnexplosie vaak genoemd als een van de eerste voorbeelden van cyber‑fysieke sabotage. Gemanipuleerde scada‑software werd in het besturingssysteem van pompstations geïnjecteerd. Die software stuurde foutieve drukwaarden en pompaansturingen aan waardoor de druk in de gaspijplijn tot ver boven veilige limieten opliep. Tegelijkertijd werden sensorwaarden vervalst, zodat operators geen afwijkingen zagen. De combinatie van verkeerde procesaansturing en misleidende telemetrie leidde tot een enorme explosie met grote materiële schade.
5. Florida Water Treatment Plant – manipulatie van chemicaliëndosering (2021)
In de Amerikaanse staat Florida kreeg een aanvaller via een onbeveiligde remote‑desktopverbinding toegang tot de hmi/scada‑omgeving van een waterzuiveringsinstallatie. De aanvaller manipuleerde live de operatorinterface en verhoogde de dosering van natronloog (NaOH) van 100 ppm naar 11.000 ppm, een niveau dat het drinkwater gevaarlijk zou hebben gemaakt. Operators zagen de muisaanwijzer over hun scherm bewegen en grepen op tijd in, waardoor de aanval geen fysieke schade veroorzaakte. Het incident liet echter zien hoe kwetsbaar water‑ot kan zijn wanneer remote access slecht is beveiligd.
Op 20 en 21 mei vindt CyberSec Europe plaats in Brussels Expo, waar dit jaar extra aandacht wordt besteed aan OT en security.
