Het Nationaal Cyber Security Centrum (NCSC) heeft samen met de FBI, Het Amerikaanse cyberagentschap CISA, de Europese Commissie en cyberagentschappen uit andere landen een koopadvies voor OT-systemen opgesteld (pdf). Operationele technologie (OT) wordt voor allerlei vitale en industriële toepassingen gebruikt. Volgens de diensten zijn veel OT-producten niet met 'secure by design' principes ontwikkeld en ontworpen en bevatten algemeen bekende zwakheden, zoals zwakke authenticatie, bekende kwetsbaarheden, beperkte logging, onveilige standaard instellingen en wachtwoorden en onveilige legacy protocollen.

De kosten en andere lasten van 'industriële cybersecurity' liggen disproportioneel bij de eigenaren van OT-producten en de partijen die ze beheren, in plaats van bij de fabrikanten, die de meeste mogelijkheden hebben om de veiligheid van hun producten te verbeteren en het risico voor hun klanten te verminderen, stellen de diensten in het koopadvies. Vitale infrastructuur en andere industriële partijen kunnen met hun koopgedrag ervoor zorgen dat ze veiligere producten kiezen, wat fabrikanten er weer toe kan bewegen veiligere producten te maken.

In totaal zijn er twaalf zaken waarnaar gekeken moet worden voordat tot de aanschaf wordt overgegaan. Zo moeten OT-producten over standaard logging van alle acties beschikken, maakt het product gebruik van open standaarden, geeft het product eigenaren volledige autonomie over het product en beschermt het product de integriteit en vertrouwelijkheid van data, diensten en functies.

Tevens wordt het product standaard out of the box veilig geleverd, wat inhoudt zonder standaard wachtwoorden en oude protocollen zoals TLS 1.0 en 1.1. Verder biedt het product phishingbestendige multifactorauthenticatie, hanteert de fabrikant een uitgebreid vulnerability management regime, is het product voorzien van een eenvoudig patch- en upgradeproces en worden updates kosteloos en via een beveiligd kanaal aangeboden.