‘Er wordt te gemakkelijk gedacht over cybersecurity’

De bewustwording rondom de cybersecurity van tunnels groeit. Het is niet meer het ondergeschoven kindje dat het was toen de eerste versie van het groeiboek Cybersecurity in 2018 werd gelanceerd. Het is vooral de steeds verder ontwikkelende wet- en regelgeving die ertoe leidt dat cybersecurity hoger op de agenda komt te staan. Met de grote vervangings- en renovatieopgave voor onder andere tunnels en de inhaalslag op het gebied van digitalisering die daarmee gepaard gaat, zijn er zeker nog wel uitdagingen.

Het effect van wet- en regelgeving is onder meer terug te zien in cybersecurity-eisen in aanbestedingen en (onderhouds)contracten. Daarmee is een noodzakelijke stap genomen. Jos van Veluw (Cyber security for control systems, CS2, bij Croonwolter&dros), Johannes Braams (Royal HaskoningDHV) en Erik Vinke (Vialis) – alle drie als cybersecurity-expert bij verschillende tunnel(renovatie)projecten betrokken – zien nog wel de nodige uitdagingen. Zij wijzen erop dat cybersecurity vaak nog wordt gezien als aandachtspunt voor IT-systemen, terwijl inmiddels ook operationele systemen (operational technology, OT) het doelwit van cyberaanvallen zijn geworden. En juist daar kan de impact substantieel zijn. Bij operationele systemen is continuïteit in de procesketen van belang. Het onderbreken of uitvallen van die processen kan grote gevolgen hebben. Daarnaast lijkt de cybersecurity-uitdaging voor velen nog vooral een kwestie te zijn van de juiste vinkjes zetten.

‘De kans dat je wordt aangevallen is één’

Iedereen kent wel de verhalen over het hacken van bijvoorbeeld een smart beveiligingscamera. Je hebt niet veel voorstellingsvermogen nodig om te bedenken welke tunneltechnische installaties (TTI) kwaadwillenden zouden kunnen uitschakelen, misbruiken of beïnvloeden. Een andere vraag is wat de kans is dat jouw tunnel wordt getroffen en, als dat zou gebeuren, of de impact daarvan echt onoverkomelijk is. Johannes Braams kan er kort over zijn: “De kans dat je wordt aangevallen is één. Je ontkomt er niet aan. Het gaat erom wat je onderneemt om de risico’s te beheersen. De kans dat een aanval succesvol is, wordt bepaald door de preventieve maatregelen die je hebt genomen. De praktijk leert dat mensen daar vaak te gemakkelijk over denken.”

Johannes: “Ik zie nog te vaak dat er alleen naar ISO 27001 (informatiebeveiliging) wordt gekeken. Daarmee toon je aan dat je maatregelen hebt genomen, maar het zegt niets over de invulling van die maatregelen. Sinds 2018 hebben we de Baseline informatiebeveiliging overheid (BIO) die voor alle overheidslagen van toepassing is, die er wel toe leidt dat mensen inzien dat zij een wettelijke verplichting hebben. Maar dat is vaak nog zonder te weten waarom. De invloed van wetgeving is sterker geworden, maar er is zeker ruimte voor verbetering in de interne communicatie over dit onderwerp.”

Screenshot van het groeiboek.

Ontbrekende ambitie

Jos van Veluw herkent dat. “De bewustwording is ten opzichte van vijf jaar geleden behoorlijk gegroeid. Maar men ziet de noodzaak vaak nog onvoldoende in, neemt te weinig maatregelen en denkt daarmee weg te komen. Met de grote vervangings- en renovatieopgave waar we voor staan, komen we helaas nog vaak tegen dat cybersecurity onvoldoende prioriteit heeft. Omdat het nog niet erkend wordt als primair belang, kan dit onenigheid en discussies veroorzaken binnen (project)organisaties, aangezien deze maatregelen uiteraard financiële middelen vereisen. Aandacht in de media en incidenten hebben tot meer bewustwording geleid en er worden al tal van initiatieven ontplooid. Gemeenten, provincies en andere overheden zien dat er behoefte is aan beleid op het gebied van cybersecurity. Dat is te roemen en te prijzen. Maar wat nog ontbreekt, is de ambitie om mensen binnen organisaties ook inhoudelijk mee te nemen.”

Context en suggesties

“Met het groeiboek Cybersecurity proberen we invulling te geven aan die opgave”, zegt Erik Vinke. “Met de gebruikte cybersecurityrichtlijnen worden technische en procesmatige maatregelen voorgeschreven. Contractueel zul je daar invulling aan moeten geven. Het groeiboek geeft context en suggesties hoe je cybersecurity kunt aanpakken, met welke scope en met welke mensen.” “Je moet als organisatie verder willen groeien dan het voldoen aan je wettelijke verplichting”, vult Johannes aan. “Onderzoek de risico’s die je loopt en analyseer welke daarvan niet acceptabel zijn met het oog op veiligheid en je assetmanagement. En daar zet je vervolgens beheersmaatregelen op.” “Het gaat om de balans tussen risicoanalyse en compliance. Daarvoor zijn objectkennis en technische kennis noodzakelijk”, vat Erik samen.

‘Je moet als organisatie verder willen groeien dan het voldoen aan je wettelijke verplichting.’

Druk uit Europa

De druk van wet- en regelgeving neemt toe. De Europese Unie heeft de NIS2-richtlijn vastgesteld, waarin strengere beveiligingsnormen en meldingsvereisten voor incidenten zijn opgenomen. Op Europees niveau is ook de Cyber resilience act (CRA) tot stand gekomen. Daarin zijn cybersecurityeisen voor producten met digitale elementen opgenomen. “Er is een heel snel uitdijend wettelijk kader. Voor het aanjagen van het eigenaarschap is deze wet- en regelgeving toch de voornaamste factor”, stelt Jos. “In de NIS2 is de aansprakelijkheid van bestuurders vastgelegd. Dit leidt ertoe dat zij zich moeten afvragen of zij hun zaken goed hebben geregeld. Hun verantwoordelijkheid is te zorgen voor continuïteit in de bedrijfsvoering en het welzijn van hun medewerkers. Daarin willen zij geen averij oplopen door vervelend in het nieuws te komen en niet langer gezien te worden als betrouwbare partner. Tegelijkertijd is het heel ingewikkeld om daar je businesscase op te baseren. Wat levert het op? Dat is moeilijk te kwantificeren.”

“Als je de gevolgen van risico’s kunt kwantificeren, heb je wel degelijk een businesscase”, stelt Johannes. “Bij organisaties waar de continuïteit van productie van levensbelang is, zie je bijvoorbeeld dat men niet alleen de eigen risico’s analyseert, maar ook die van de gehele leverketen. Dat gebeurt vanuit de impact die men ziet bij mogelijke onderbreking van de keten. Dan zie je kettingbedingen ontstaan. Men eist dat leveranciers maatregelen nemen. Maar dat neemt niet weg dat de meeste mensen pas in actie komen als het is misgegaan.”

Governance

Jos ziet vooral uitdagingen op het gebied van governance. “Nadat je tot de conclusie komt dat je er ‘iets mee moet’, wiens taak is dat dan? Organisaties kunnen een stap zetten naar beter risicomanagement door zich allereerst af te vragen wie binnen hun organisatie meer kan vertellen over cybersecurityrisico’s. Wie houdt zich ermee bezig en hoe denkt die persoon erover? Er moet uiteraard wel iemand zijn die het oppakt.” Johannes beaamt dat: “Het begint op het hoogste niveau binnen organisaties. Daar moet men eigenaarschap voelen.”

Impact

Een installatie valt uit, of je kunt niet langer aantonen dat tunneltechnische installaties veilig functioneren. Dat zijn potentiële gevolgen van een cyberincident die iedereen zich kan voorstellen. Maar hoe erg is dat? Is een potentiële tijdelijke tunnelsluiting alle preventieve maatregelen en bijkomende kosten waard? Een lastige discussie, zo blijkt. Erik: “Ik kan niet aantonen dat een tunnel helemaal zou instorten als gevolg van een cyberincident. Je kunt je wel voorstellen dat er iets gebeurt waardoor de tunnel tijdelijk dicht moet. Uiteindelijk gaat het om de waarschijnlijkheid dat iets plaatsvindt en het niveau van de impact die dat op je organisatie of je asset heeft. Daar baseert men zich op.” In de dagelijkse praktijk probeert Jos de bewustwording op dit vlak te sturen door te vergelijken met brand en inbraak. “De kans op een brand is 1:8.000 organisaties, op een inbraak 1:250 organisaties en bij cybersecurity is dat 1:3 organisaties. En toch vindt men het logischer te investeren in brand- en inbraakpreventie dan in cybersecurity. Wij bedienen ons binnen CS2 van dat soort vergelijkingen om van daaruit mensen te bewegen tot het zo goed mogelijk in beeld te brengen van de mogelijke impact.” Erik: “In de kern gaat het erom dat je – los van de oorzaak – weet wat er gebeurt als iets faalt. Is een onderdeel vervangbaar? Zo ja, wat is de levertijd? Met een dergelijke analyse maak je het concreet.”

“Feit blijft dat de eindverantwoordelijke vooralsnog niet wordt afgerekend op het nemen van preventieve maatregelen”, stelt Jos. “Striktere wet- en regelgeving is nodig, ook al is het jammer dat dit noodzakelijk ís. Men heeft vaak te maken met een beperkt budget. Als iets niet wettelijk vereist is, gebeurt het niet.”