Als uitvoeringsorganisatie van het ministerie van Infrastructuur en Waterstaat beheert en ontwikkelt Rijkswaterstaat de rijkswegen, -vaarwegen en -wateren in Nederland. De instandhouding van objecten omvat ook de beveiliging tegen cyberaanvallen. Al werkt het in praktijk juist niet zo specifiek: “Om de digitale kant te beveiligen, moet je werken aan integrale veiligheid”, aldus Jaap van Wissen van Rijkswaterstaat.

Na een incident in 2012 heeft Rijkswaterstaat de aandacht voor cyberveiligheid verscherpt. Het tv-programma EenVandaag meldde in een rapportage hoe eenvoudig hackers een gemaal en rioleringspompen van de gemeente Veere op afstand konden bedienen. “Naar aanleiding daarvan is er meer aandacht gekomen voor cyberveiligheid en objecten. Rijkswaterstaat heeft een uitgebreide cyberveiligheidsanalyse uitgevoerd en aan de hand daarvan maatregelen benoemd”, aldus Jaap van Wissen, coördinator van functionele inspecties en testen (FIT) van Rijkswaterstaatobjecten, op het COB-congres 2017. “We zijn ook gestart met het registreren van onze automatisering en het toekennen van risico-indicaties. Vanuit het programma Beveiligd werken zijn er inmiddels 460 objecten bezocht en 250 diepgaand getest, en zijn er maatregelen geimplementeerd.”

“Maar juist cyberveiligheid kun je niet in je eentje regelen”, meent Jaap. “Voordat wij als Rijkswaterstaat aan de slag gingen, is er eerst een ministerie-brede nota over cyberveiligheid opgesteld. Of beter gezegd: over integrale beveiliging, want daar gaat het om. Cyberveiligheid kun je niet los zien van van fysieke beveiliging, personele zaken en informatievoorziening. Je moet alle vier de aspecten op orde hebben.”

Het signaleren en melden van onregelmatigheden levert een grote bijdrage aan cyberveiligheid. Jaap: “Daar begint het vaak mee: iemand ziet iets geks, loopt onverwacht ergens tegenaan. Als dat niet direct gemeld wordt, kan het probleem groter worden dan nodig. Een virus kan zich bijvoorbeeld verder verspreiden en meer systemen kunnen besmet raken.” Met presentaties, workshops en het regelmatig oefenen wordt gewerkt aan de alertheid van medewerkers. “Het adagium is: beter drie keer te veel melden dan een keer te weinig. We leren betrokkenen waar ze op moeten letten, wat er kan gebeuren en hoe ze daar mee moeten omgaan”, aldus Jaap. Incidentmeldingen komen binnen bij Missie Kritieke Ondersteuning (MKO). Daar is bekend welke opdrachtnemer bij een object hoort, en die moet op zijn beurt de juiste onderaannemer aansturen. Jaap: “De onderaannemer heeft de specifieke kennis om inzicht te krijgen in de verstoring. Het MKO kan voor een ICT/cyber-incident ook analisten van het SOC van Rijkswaterstaat inschakelen en hen verzoeken om een nadere analyse te maken.”

Rijkswaterstaat is met FIT gestart omdat gebleken is dat er in een object onvoldoende  zicht is op de toestand van bijvoorbeeld de functionele veiligheid van dynamische onderdelen en de cyberveiligheid. FIT moet onvolkomenheden beter en sneller in beeld brengen. Momenteel wordt uitgewerkt hoe het SOC van Rijkswaterstaat bij FIT kan assisteren, enerzijds om het object te ‘sniffen en scannen’, anderzijds om onregelmatigheden in IT-verbindingen en ICT-apparatuur op te sporen.

Meekijken
Het SOC van Rijkswaterstaat is het security operation centre dat in 2014 is ingericht. “De voornaamste taak is het digitaal monitoren van onze netwerken en de industriële automatisering op onze objecten”, zegt Jaap. “Het SOC wordt ook door het nationaal cyber security centrum (NCSC) geïnformeerd over dreigingen. Andersom is Rijkswaterstaat vanuit wetgeving verplicht om ICT-dreigingen en cyberveiligheidincidenten te melden aan het NCSC. Door de monitoring door het SOC kunnen we die meldingen op tijd doorgeven. Het SOC heeft alleen een analyse- en adviesopdracht. Het is aan de beheerder van een systeem om vervolgens actie te ondernemen.”

Jaap vervolgt: “Het SOC startte met een analyse en het monitoren van de kantoorautomatisering en het inrichten van processen: wat definiëren we als een cyberaanval, waar moet je op letten, hoe gaan we om met meldingen, wat doen we bij een aanval, enzovoort. Ook hebben we een aantal vitale objecten van Rijkswaterstaat onder de loep genomen. Prompt ontdekte een van de analisten een verdachte netwerkactiviteit, dat bleek een besmette laptop van een onderhoudsaannemer op het kantoornetwerk te zijn.”

Zulk soort incidenten houdt Jaap niet voor zichzelf. Hij is groot pleitbezorger van het delen van informatie: “Door te delen sta je sterker. Mensen hebben vaak de neiging om incidenten alleen op te lossen en niet te delen; misschien uit schaamte, of uit angst om onrust te veroorzaken. Maar door ervaringen uit te wisselen, binnen je organisatie en tussen organisaties, kun je van elkaar leren en daarmee processen verbeteren.”

“Door ervaringen uit te wisselen, binnen je organisatie en tussen organisaties, kun je van elkaar leren en daarmee processen verbeteren.”

Afspraken
“We willen steeds meer dingen op afstand kunnen besturen. Je kunt die innovaties niet uit de weg gaan, maar ze brengen wel risico’s met zich mee. We zullen vaker moeten inspecteren en moeten testen of de systemen nog voldoen aan de veiligheidseisen”, stelt Jaap. “Die systemen zijn vaak geleverd en geïnstalleerd door aannemers. We eisen nu in contracten dat we de logbestanden krijgen van de servers, applicaties, etc. die in onze objecten draaien. We willen kort gezegd de data hebben die door het object wordt gegenereerd, zodat we kunnen beoordelen of alles in de haak is. Met de verificatie en validatie bij oplevering testen we natuurlijk al heel veel, maar je kunt niet alles en iedereen controleren. Daarom leggen we zulke eisen neer bij hoofdleverancier; we willen ook tijdens het gebruik een kwaliteitsmonitor en toegang tot het systeem hebben.”

De contractkaders zijn gemaakt vanuit de Baseline Informatiebeveiliging Rijksdienst (BIR), een normenkader voor de beveiliging van de informatiehuishouding van ministeries. Op basis van de BIR heeft Rijkswaterstaat de cyber security implementatierichtlijn (CSIR) opgesteld, speciaal voor Rijkswaterstaatobjecten. “Vooralsnog wordt deze richtlijn alleen gehanteerd bij grote nieuwbouwprojecten”, zegt Jaap. “Het is de bedoeling om deze aanpak verder door te voeren, onder meer in prestatiecontracten voor meerjarig onderhoud, in samenspraak met de markt. Met zo’n kader willen we er dus bijvoorbeeld voor zorgen dat we als Rijkswaterstaat sneller geinformeerd zijn en dat we bij een incident sneller kunnen ingrijpen. Ook zal het contract duidelijk moeten maken wat de ‘uitwijkmogelijkheden’ zijn: wat is het plan als er iets misgaat?”