Industrialfairs News

Nieuws

Filosoferen over it’s best cyber practices in een complexe OT wereld met Advario

INSIGHTZ
26/02/2026

Auteur: Karl D’haveloose

 

 

 

 

Wie de talk van Johan Van Campenhout (Advario) op ABISS 2025 gemist heeft, kan nog altijd even terugschakelen naar de podcast van Indusruptiv & Friends hier op Spotify. Waarom? Wel, er zijn weinig bedrijven die zo praktisch uitleggen hoe je IT en OT globaal op die kar moet krijgen om alle operaties, de waardeketen en de toeleveringsketen cyberweerbaar te maken en dat vooral zo te houden.

 

 

Naar aanleiding van het OT Cyberdebat tijdens Indumation 2026 (hier te bekijken) vond ik het persoonlijk toch even nodig om de complexe ajuin van mensen, processen en technologie verder te pellen. Daarvoor klopte ik aan bij niemand minder dan Wesley Verhoef, CISO globaal bij Advario, die geruggensteund werd door Johan Van Campenhout zelve. En wat blijkt? Van wat filosoferen kan je minstens bijleren.

 

Advario in a nutshell

 

 

Advario, afgesplitst uit het vorige Oiltanking, kan je best beschouwen als een opslagspecialist met een focus op de energietransitie (liquid energy storage provider). Het concern ontwikkelt, bouwt en runt opslag- en overslaginstallaties voor vloeistoffen en gassen voor o.a. grote internationale chemie- en energiebedrijven. Dit gebeurt steeds meer voor nieuwe energiedragers, zoals methanol, groene ammoniak en biofuel. Advario bouwt langetermijnpartnerships met partijen, zoals Fluxsys en Power2X. Ook opslagprojecten met duurzame vliegtuigbrandstof zoals E-Saf zijn op vandaag lopende.

 

Het bedrijf met circa 1.200 medewerkers opereert globaal 13 terminals in strategische hubs: van Antwerpen Rechteroever (de grootste met 192 tanks) tot Singapore, Oman, de VS en zelfs China.


Ondanks de complexiteit en kapitaalintensieve instapdrempel is de concurrentie groot. Advario zet sterk in op betrouwbaarheid, veiligheid, en flexibiliteit. Het volledige luik security is voor een liquidenergystorageprovider als Advario van primair belang.

 

Advario als soevereine cyberstaat

Combineer disrupties in supply chains met shiftende geopolitiek als grootste onzekere factoren en je hebt het perfecte oefenterrein voor een heel doordachte OT- en IT-cybersecurityaanpak. Weet bijvoorbeeld dat de terminal in Finland sinds de Russische invasie in Oekraïne minder actief os sinds de stopzetting van Russische bevoorrading. Het kan dus snel keren.

 

Mijn twee gesprekspartners geef ik even de lead vanuit 2 niveaus. Wesley bekijkt alle cybersecurity vanuit IT en OT op strategisch niveau, Johan kan vanuit zijn perspectief meer inzoomen op het uitrollen en bewaken van alle OT-cyberpractices  in de terminals.

 

Wesley vangt aan met het geopolitieke luik. “Advario heeft overal ter wereld klanten die enerzijds niet per se overal onderling met elkaar bevriend zijn en anderzijds op cyberweerbaarheidsniveau hun eigen regelgeving kennen. Het is overduidelijk dat de vereisten en regels voor een VS-cyberwetgeving vooral het China-risico inperken en omgekeerd China het VS-risico aanpakt. De CISO is dan ook van mening dat Advario haar eigen strategie niet enkel moet enten op de regelgeving in België, Europa, de VS en Azië. “Onze groep stelt zichzelf op als een land, dat haar eigen verantwoorde cyberstrategie moet uitbouwen en die haar eisen zo hoog mogelijk moet stellen, zodat het zowel met eigen risico’s als met de gevaren voor onze klanten kan dealen”, begint Verhoef.

 

“In België moeten wij zo snel mogelijk compliant zijn met NIS2, maar dat is sterk bekommerd om het risico van ieder cyberincident op de maatschappij. Wij vinden dat we even goed moeten rekening houden met de economische, operationele en commerciële risico’s die een incident inhoudt. Volgens NIS2 behoren wij niet tot die hoogste risicocategorie, waar bij een incident de volledige haven plat komt te liggen. In ons eigen strategisch belang willen wij overal die  lat hoger leggen dan gelijk welke regionale regelgeving, dus ook NIS2. Als we daar in slagen, dan kunnen we globaal iedere regelgeving aan”, stelt de CISO.

 

Volgens Verhoef zijn de meeste regionale regel- en wetgevingen bedoeld als stok achter de deur, een middel om bedrijven die het 'niet op orde hebben' naar een basisniveau te dwingen ten behoeve van landelijke/ EU-weerbaarheid. Voor bedrijven met een volwassen cybersecurityprogramma is het eerder laaghangend fruit. Hij benadrukt dan ook dat Advario veel verder staat en zich moet toespitsen op hogere internationale standaarden, zoals het NIS Cybersecurity Framework, verschillende ISO-certificeringen voor IT en het IEC62443 voor OT  (deze vormen trouwens meestal de basis voor regionale regelgevingen zoals NIS2). Die laatste richt zich specifiek op de beschikbaarheid en veiligheid van industriële systemen (IACS - Industrial Automation and Control Systems). In een terminal betekent dit dat de pompen, kleppen en sensoren moeten blijven werken, zelfs bij een digitale aanval. Afhankelijk van de hemisfeer of politieke regio zie je al snel andere criteria voor bijvoorbeeld dataresidentie en isolatie.   

 

Over mensen, processen en technologie

Tijdens het OT Cyberdebat op Indumation 2026 werd diep ingegaan op people, processes and technologies. De 3 pijlers van iedere goede cyberstrategie. Ik vraag aan beide interviewpartners hun mening per pijler.

 

 

Verhoef hekelt de algemene consensus dat de factor mens vooral de factor ‘risico’ vertegenwoordigt. Voor hem blijft de mens de belangrijkste asset in je volledige verdediging tegen dergelijke incidenten. Om zijn these te benadrukken stelt hij dat bijna iedere technische dreiging via de gebruikelijke opportunistische methodes wordt getriggerd, gaande van phishingmails tot de klassieke USB-stick van een derde partij. De medewerker is voor Advario trouwens de beste speurhond naar alle mogelijke pogingen online en ter plaatse. Het schalen van medewerkers naar de hoogste graad van awareness draagt Verhoef hoog in het vaandel.

 

Volgens Van Campenhout bestaat de kunst erin om als IT-afdeling zo open mogelijk te staan voor iedere vraag. “Geen enkele vraag is belachelijk en er wordt nooit betuttelend met de vinger gewezen als iemand net even niet correct reageerde op een phishingtest”, illustreert hij.

 

Benaderbaarheid en de juiste processen om met iedere vraag om consult of melding om te gaan zijn cruciaal. Als er heel snel moet geschakeld worden, dan gebeurt dit niet met een ticketje, maar effectief met een directe call tussen iemand van IT, aldus Johan en Wesley.

 

Johan benadrukt nog even de schaarste van de mensen met de juiste opleiding en kennis op dit gebied. Het samenstellen en opleiding van een championsteam vanuit IT en Operaties op terminals is een noodzaak, maar tevens een uitdaging.

 

Het leven op kantoor en op de terminal: twee werelden en twee snelheden

 

Van Campenhout benadrukt nog even dat de wereld van IT en de wereld op de terminal enorm verschillend zijn. Het proces dat door IT zo strak afgelijnd wordt, is vaak volledig afwezig in de OT-wereld. Je geraakt er dan ook niet zoals standaard bij IT-jobs met HR die mensen aanwerft, IT die hen een identiteit en toegangsrechten toekent, toegang tot bepaalde data verleent, enzovoort. In OT aanvaardt men mensen vanuit een andere noodzaak en een echte procedure om mensen kennis, niveau en toegangsrechten toe te kennen is vaak beperkt aanwezig.

 

 

Volgens Verhoef loopt de industrie achter op de  wereld van automatisering en cybersecurity. Het zijn twee verschillende snelheden. “Wat voor IT al jarenlang een evidentie is en er overal procedures voor bestaan, is met de heel snel evoluerende, geconnecteerde industrie voor veel beveiligingsissues onontgonnen terrein”, vervolgt Van Campenhout. Internet of Things, connectiviteit en digitale toegang tot data en monitoring maken alles heel kwetsbaar. Iemand die een order invoert, stuurt geen fax meer. Hij/zij geeft een bestelling online in, waar na de nodige validatie een volledig operationeel proces van doseringen tot klep- en pompoperaties volgen.

 

Volgens Van Campenhout ligt de grootste uitdaging in het vinden of opleiden van een OT‑medewerker die voldoende kennis heeft van IT en cyberweerbaarheid om ook in een operationele omgeving veilig digitaal te kunnen functioneren. Als kritisch interviewer kaats ik graag even de bal terug. Daarom stel ik aan Johan en Wesley de volgende vraag: ‘Is het niet ook tijd dat IT‑geschoolde professionals die in de industrie aan de slag gaan een basisopleiding krijgen die hen vertrouwd maakt met de realiteit van een OT‑omgeving?’

 

Verhoef constateert dat de CISO, ook in de industrie, inderdaad meestal uit een pure IT-achtergrond komt. Zelden zie je een CISO die als ingenieur of operator is gestart en achteraf een IT-opleiding gaat volgen. Voor een IT-er is het ontnuchtering wanneer je stelt dat je in een draaiende fabriek zomaar niet even tussenin kunt gaan patchen en heropstarten. Bijvoorbeeld automatisch patchen dat in veel organisaties wordt toegepast, kan in een productie-installatie alleen maar als je overal een redundante systeemopbouw hebt (m.a.w. als er voor iedere klep of pompt die stilvalt tijdens het patchen een alternatieve pomp of klep beschikbaar is die overneemt). Redundante systemen kosten natuurlijk ook weer geld. Er zijn minstens 2 apart bestuurbare PLC’s aan je switch nodig om die bewuste pomp te blijven aansturen. Ondertussen moet de operator ook nog verder visueel op de SCADA-interface nog kunnen volgen of het proces feilloos verder werkt.

 

Om het scherper te stellen: OT gaat over beschikbaarheid, IT gaat over confidentialiteit. Twee heel aparte dogma’s in een steeds complexere geautomatiseerde fabrieksomgeving.

 

Van pragmatisme tot strikt gedocumenteerd

Binnen het luik ‘processen’ valt tijdens het gesprek manifest het woord ‘documenteren’ op.
“Bij een strikt OT-cybersecuritybeleid, stopt het pragmatisme van een goede menselijke samenwerking”, lacht Verhoef. “Hier komt het testen, documenteren, procedures naleven en dergelijke op de proppen”.
In de wereld van Oil & Gas en Chemie zijn al heel wat safetyplannen en -procedures die voorgeschreven worden. De kunst is om cybersecurity-incident-responseplannen ook feilloos te integreren in die bestaande procedures. Ten alle koste moet vermeden worden dat vanuit IT en OT plots verschillende plannen in actie treden bij een veiligheidsincident (lek, brand, explosie, intrusie,…) en er volledige chaos ontstaat.

 

 

Van Campenhout geeft als tip mee dat OT niet opnieuw het wiel moet heruitvinden. IT heeft strikte procedures bijvoorbeeld bij het toekennen van paswoorden, toegangs- en beslissingsniveaus. OT moet hierbij gewoon leren aansluiten. Op cybersecurityniveau bestaat er ook per sector al heel wat expertise, die als basis kan dienen voor elk type organisatie. De kunst bestaat er in om OT te laten aansluiten bij reeds heel goed gevalideerde procedures, standaarden en acties.

 

De efficiëntie van een incident-responseplan kan je enkel verifiëren door regelmatig testen op de site uit te voeren. In het geval van Advario, een SEVESO-bedrijf, kan dit een individuele verplichte oefening zijn, maar evengoed een oefening opgelegd door de haven autoriteit zelf, die meerdere scenario’s omvat (brand, ontploffing, cyberincident, ongeval,...).  

 

Een Rolls-Royce of toch liever een Volvo (kijken voorbij de marketing)

Bedrijven hebben ieder individueel budgetten, mensen en specifieke risico’s. Met het budget dat je krijgt, moet je eerst kunnen doen wat prioritair is binnen je type organisatie. Als CISO moet je heel kritisch zijn voor wat zich in het competitief landschap van vendoren voordoet. De kunst is vooral om realistisch door de marketing heen te kijken en eisen te stellen die voor je budget en sector cruciaal of overbodig zijn. Ga voor een beperkt team partners die begrip hebben voor je budget, je risicoprofiel en de gewenste functionaliteiten. Je kan dan achteraf met deze mensen verder gaan bouwen.

 

In veel gevallen krijg je als afdeling niet direct de ruimste budgetten tot een incident zich voordoet. Dan gaat die geldkraan wel open. Dat is achteraf gezien natuurlijk wel jammer. Maar langs de andere kant  is het nu ook niet echt de bedoeling om direct budgetten voor agentic AI op de OT-systemen te gaan draaien, stelt Verhoef

 

Beide heren stippen aan dat interne expertise voor de daadwerkelijke implementatie van de technologie naar de echte uitrol binnen OT het breekpunt blijft. Bij deze gaan we ook even dieper in op de rol van interne integratiekennis.

 

Van Campenhout stelt dat integratoren bij de meeste bedrijven onontbeerlijk zijn, maar hij nuanceert ook direct dat er in principe in ieder bedrijf iemand moet zijn die interne kennis heeft om te bepalen wat die integrator zal moeten doen. De meeste integrators zijn thuis in PLC-programmeren, maar niet in cybersecurity. Ondertussen ontstaan er heel veel bedrijfjes die deze kloof willen invullen, gap analyses komen doen tegen de nodige prijs, maar niet echt in staat zijn om de juiste uitrol sluitend uit te voeren. Wesley haakt in met de opmerking dat de ideale integrator voor Advario diegene is die de handjes kan leveren voor de ideeën die Advario heeft uitgetekend. Het bedrijf heeft al de best practices en architecturen, maar de mensen die daadwerkelijk de bekabeling, de switches, de toegangscontrole, de camerabewaking, enz. installeren, die zijn er niet. Concreet, er zijn genoeg theoretici, te weinig practici.

 

Wesley Verhoef: alles is een kwestie van strategie en preventie, net zoals op het rugbyveld

Wesley Verhoef is een senior cybersecurityleider en adviseur met brede ervaring in strategie, risicobeheer en de aansturing van operationele security‑uitvoering binnen complexe, internationale omgevingen.

 

 

Voor organisaties, zoals Capgemini en Accenture, leidde hij wereldwijd securityprogramma’s binnen de olie‑ en gassector, waaronder transformaties op het gebied van detectie/response, governance, cloud- en OT‑security. Hij vervulde tevens diverse leidinggevende rollen waarin hij multidisciplinaire teams adviseerde en cyberrisico’s vertaalde naar duidelijke, bedrijfsrelevante besluitvorming.

 

Tegenwoordig runt Wesley zijn eigen cybersecurityconsultancy, waarmee hij zijn passie voor het vak combineert met de onafhankelijkheid om een gezonde balans te creëren tussen werkgeluk, tijd voor familie en vrienden en zijn sportieve hobby rugby. Deze sport beoefent hij meerdere keren per week met plezier en op zondagen staat er steeds een stevige rugbywedstrijd gepland.

 

Johan Van Campenhout: nuchter alle dissonanten verwijderen, terwijl muziek harmonie brengt

 

 

Johan Van Campenhout is projectmanager met een sterke technische achtergrond in E&I, automatisering, OT-infrastructuur en cybersecurity. Hij startte zijn carrière als Automation-engineer, werd later E&I-engineer en groeide zo door naar projectmanagement.

 

Naast zijn formele rol vervult hij vandaag een meer overkoepelend functie waarbij hij meerjarige plannen uitwerkt rond elektro, automatisering, OT-infrastructuur en cybersecurity. Hij verbindt technische diepgang met strategische planning en vertaalt complexe noden naar concrete, toekomstgerichte roadmaps en realiseert deze samen met de interne en externe experten.

 

Muziek is zijn grootste passie en vormt een belangrijk creatieve uitlaatklep naast zijn professionele activiteiten.

beschrijving beschrijving beschrijving beschrijving beschrijving beschrijving beschrijving

Gerelateerd nieuws

INSIGHTZ
Connecting every welding dot: Welding4.0 in Valkperspectief
29/01/2026

Lees meer
INSIGHTZ
R.I.P. INDUSTRIELE TECHBEURZEN? Hann(g)over Europe
18/12/2025

Lees meer
INSIGHTZ
Safran Blades: a purpose DNA driven digital powerhouse
27/11/2025

Lees meer
INSIGHTZ
Techparelvissen langs de Noord-Franse grensoever: Decospan as a compounding tech machine  
23/10/2025

Lees meer

Deze website gebruikt cookies om u een betere ervaring te bieden terwijl u deze site bezoekt. Meer info over cookies