Industriële netwerken vormen een aanvalsvlak. We verharden ze.
De meeste OT- en IoT-implementaties zijn ontworpen voordat beveiliging een inkoopvereiste werd. TRACIO beoordeelt waar je RTLS-, AGV-, sensor- en PLC-verkeer zich bevindt in het Purdue-model, wat er daadwerkelijk blootgesteld is en wat eerst opgelost moet worden.
Leveranciersneutraal, framework-georiënteerd (IEC 62443, NIS2, NIST CSF, ISO 27001). We verkopen geen tools — we ontwerpen de architectuur en het saneringsplan en verifiëren het vervolgens.
We zien keer op keer drie OT-laag faalmodi.
De bevindingen herhalen zich in alle sectoren. Ze een naam geven is de eerste stap om ze te sluiten.
PLC's en tags delen het kantoor VLAN
Het oorspronkelijke netwerk was plat omdat dat de snelste route naar live-gang was. Tegenwoordig zijn een RFID-lezer, een PLC, een vergaderruimte-tv en een financiële laptop allemaal één broadcastdomein van elkaar verwijderd. Een enkel gecompromitteerd eindpunt bereikt de lijn.
Geen segmentatie tussen ergotherapie en IT
Purdue-niveaus staan op het architectuurdiagram, maar niet in de firewall. Oost-west verkeer tussen de MES en het BI-magazijn verloopt ongefilterd. Zijwaartse beweging is gratis voor iedereen die een phishing-payload in HR landt.
Externe toegang is een achterdeur
OEM-leveranciers hebben permanente VPN-inloggegevens zodat ze machines kunnen ondersteunen. Niemand weet wie er nu is ingelogd, wat ze vorige week hebben aangeraakt, of of het gedeelde serviceaccount nog steeds wordt gebruikt door de monteur die vertrok.
Zes werkstromen. Samen rennen. Framework-aligned.
Elke werkstroom is gekoppeld aan een IEC 62443 fundamentele vereiste en levert bewijs dat zowel je auditor als je CISO zullen accepteren.
OT cyberhoudingsbeoordeling
Map every IoT / RTLS /PLC device, classify by criticality, document actual data flows, identify the gap to IEC 62443-3-3 SL2 or SL3.
Zone- en leidingontwerp
Segmenteer per Purdue-niveau, definieer de kanalen tussen zones en specificeer firewallregels in leveranciersneutrale vorm zodat elke aangeschafte firewall ze kan implementeren.
Identiteit voor dingen en mensen
Apparaatidentiteit (certificaatgebaseerd), hygiëne van service-accounts, integratie met je IdP (Entra, Okta, Ping) voor de menselijke kant.
Geharde remote access voor leveranciers
Jump host, MFA, sessie-opname, tijdgebonden toegang voor OEM-leveranciers die machines moeten ondersteunen zonder een permanente VPN te hebben.
OT-bewuste SOC-integratie
Mirror traffic to a SOC that understands Modbus, OPC UA, MQTT , S7, EtherNet/IP — not a generic IT SIEM with no protocol context.
OT incident response runbook
Vooraf gebouwde runbooks voor ransomware, tag-fleet compromise, AGV storingen. Op de tafel getest voordat je ze nodig hebt.
Drie manieren om ons binnen te halen.
Aangepast aan waar je ergotherapie-nadeel zich daadwerkelijk bevindt — van een eerste houdingscontrole tot ingebouwde remediation samen met je IT/OT-team.
Houdingsaudit · 4–6 weken
Volledige kaart, gap-analyse, geprioriteerde saneringsroute. Vaste vergoeding.
Architectuur & ontwerp · 8–12 weken
Zone-/leidingontwerp, identiteitsmodel, monitoringspecificatie, leveranciersRFP voor tools.
Ingebedde sanering · 4–9 maanden
We zitten samen met je IT/OT-team tijdens de daadwerkelijke sanering. We vertrekken wanneer KPIs wordt bereikt.
Framework-geleid, leveranciersneutraal, evidence-based.
Veelgestelde vragen.
Naar welke standaard werk je?
Voornamelijk IEC 62443, met zone-en-leidingontwerp, OT-bewuste monitoring en versterkte remote access voor leveranciers.
Is dit IT- of OT-beveiliging?
OT-gericht - wij beveiligen de operationele technologie, locatie en IoT-infrastructuur, samen met uw IT-beveiligingsteam.
Verkoop je beveiligingsproducten?
Nee. Wij zijn leveranciersneutraal en bevelen de juiste controles aan en integreren voor uw omgeving.
Kun je een bestaande implementatie beoordelen?
Ja - we voeren audits en gap assessments uit en bieden een geprioriteerd saneringsplan op.