Waarom de IT-afdeling jouw remote access blokkeert (en hoe je dit voorkomt)

Voor machinebouwers is het een enorme uitdaging geworden: service verlenen op afstand op een manier die werkbaar blijft. Vanuit mijn rol als Product Manager bij IXON sta ik precies tussen de partijen in. Ik hoor de wens van de machinebouwer, maar ik zie ook het perspectief van de fabriek.

Het is een complexe relatie geworden. Vaak zoeken machinebouwers naar het ‘gouden ei’: die ene technische oplossing waarmee ze dit probleem eenvoudig kunnen oplossen. Maar de realiteit is dat die niet bestaat. De oplossing zit dan ook niet in techniek alleen, maar ook in het proces.

De frustratie van de machinebouwer

Ik begrijp de positie van machinebouwers heel goed. Jullie hebben één duidelijk doel: zorgen dat die machine blijft draaien. Daar voel je je verantwoordelijk voor. Als er een probleem is, wil je direct kunnen meekijken en het oplossen.

Het is daarom enorm frustrerend als je wordt tegengehouden door procedures terwijl de machine stilstaat, of als je simpelweg de mogelijkheid niet krijgt om mee te kijken. Daarnaast ontstaat er een onwerkbare situatie als elke klant je een andere remote access tool oplegt. Als je 50 klanten hebt, kun je niet met 50 verschillende systemen werken. Dat maakt je serviceafdeling inefficiënt en traag.

Het belang van de IT afdeling (NIS2 en risico’s)

De IT afdeling van de fabriek heeft een totaal ander belang dan de machinebouwer. Hij kijkt puur naar beveiliging en risicobeheersing.

• Wetgeving (NIS2): IT-managers worden door hun directie belast met de opgave om te voldoen aan strenge wet- en regelgeving zoals NIS2. Hier staan grote boetes op.
• Bedrijfsrisico: Cybercriminaliteit is gigantisch toegenomen. Elke externe verbinding is voor een fabriek een reëel risico.

De IT-afdeling is dus genoodzaakt streng te zijn. Ze kunnen geen poorten openzetten zonder strikte controle. Ze zijn gefrustreerd door de ‘wildgroei’ aan verschillende remote access oplossingen die de fabriek in komen, soms zelfs buiten hun zicht om via 4G-verbindingen. Voor hen is dat een onbeheersbaar risico geworden. Vooral omdat de leverancier zelf kan bepalen wanneer hij toegang krijgt.

Waar gaat het fout?

Waar gaat het vaak mis? Veel machinebouwers stemmen het project af met een projectleider of operations manager. De IT-afdeling wordt in eerste instantie overgeslagen. "Dat komt later wel," is de gedachte.

Het resultaat? Het moment van installatie breekt aan. De monteur vraagt bij IT om een IP-adres en toestemming voor een uitgaande verbinding... en krijgt een "Nee". De IT-afdeling voelt zich niet meegenomen, ziet een risico en blokkeert de toegang. Gevolg: vertraging en geen remote service.

Ga het gesprek op tijd aan

Om dit op te lossen moet je het proces veranderen.

1. Begin direct na de verkoop

Betrek IT al bij het opstellen van het eisen- en wensenpakket, direct nadat de machine verkocht is. Zelfs als jouw contactpersoon bij de fabriek zegt dat dit nog niet nodig is: stuur aan op dat gesprek. Door je ervaring weet je dat dit problemen aan het eind van de rit voorkomt.

2. Vraag naar hun policies

Het gesprek moet geen eenrichtingsverkeer zijn waarbij jij vertelt wat je nodig hebt. Draai het om. Vraag aan de IT-afdeling: "Wat hebben jullie nodig om dit voor ons beide te laten werken? Wat zijn jullie security policies en hoe kunnen wij zorgen dat onze oplossing daaraan voldoet?" Hiermee toon je aan dat je hun verantwoordelijkheid voor security serieus neemt en voorkom je mogelijk dat zij jou hún tool opleggen.

3. Faciliteer controle

Het belangrijkste criterium voor fabrieken is controle. Ze willen geen permanente verbinding waar ze geen zicht op hebben. De oplossing is een systeem waarbij de fabriek toestemming moet geven voordat jij verbinding mag maken. Dit moet werkbaar zijn: afhankelijk van wie er dienst heeft, moeten verschillende mensen die toestemming kunnen geven.

Bij IXON lossen we dit op met een 'approval flow'. Jij vraagt toegang aan, de klant keurt goed (voor een bepaalde tijd), en pas dan gaat de verbinding open. Hiermee geef je de IT-manager de zekerheid die hij nodig heeft.

4. Sta open voor alternatieve verbindingsmogelijkheden

Soms is de deur voor VPN écht dicht. Bijvoorbeeld bij een strikte ‘Zero Trust’ policy. De IT afdeling staat dan niet toe dat jouw laptop (als derde partij) direct in hun netwerk hangt via VPN. Het alternatief is dan vaak een lokaal 'engineering station' in de fabriek met daarop de engineering software.

Hoewel dit voor de service engineer minder gebruiksvriendelijk is (en duurder), kan dit via IXON ook mogelijk gemaakt worden. Mijn advies is om deze optie proactief te onderzoeken als VPN echt geen optie is. Doe je dit niet, dan is het alternatief vaak dat je te maken krijgt met én een vreemde tool van de klant én je werkt nog steeds op dat onhandige lokale engineering station. Door het binnen je eigen platform te houden, behoud je in ieder geval het overzicht.

Conclusie: IT is een stakeholder

Er is geen magische oplossing die alle deuren opent. De kans op succesvolle remote service staat of valt met stakeholder management. Zie de IT-manager als een belangrijke partij die je moet helpen om aan zijn regels te voldoen. Als je dat combineert met techniek die hen de regie geeft, voorkom je een wildgroei aan tools en is een veilige, werkbare verbinding voor beide partijen mogelijk.