Wilt u bijdragen aan dit groeiboek? Heeft u opmerkingen, aanvullingen of een vraag? Neem dan contact op met het COB per mail of telefoon: info@cob.nl / 085 – 4862 410. We horen graag van u!
Deze handreiking is gepresenteerd als groeiboek, zodat de inhoud gemakkelijk kan worden aangevuld en bijgewerkt. De eerste versie is gelanceerd op 30 mei 2018. In de toekomst kan het groeiboek worden uitgebreid voor andere doelgroepen.
Om deze handreiking goed te kunnen plaatsen, definiëren we eerst wat we verstaan onder cybersecurity:
Cybersecurity is het streven naar het voorkomen van schade veroorzaakt door verstoring, uitval of misbruik van ICT en/of industriële automatisering en, indien er toch schade is ontstaan, het herstellen hiervan . De schade kan bestaan uit aantasting van de betrouwbaarheid, beperking van de beschikbaarheid of schending van de vertrouwelijkheid en/of de integriteit van opgeslagen informatie.
Als we spreken over cybersecurity hebben we het dus eigenlijk over digitale weerbaarheid.
Uit diverse onderzoeken komt naar voren dat overheid, bedrijfsleven en burgers veel stappen nemen om hun digitale weerbaarheid te vergroten. Gezien de snelle ontwikkelingen van de cybercriminaliteit gebeurt dit nog niet snel genoeg. Dit blijkt onder andere uit het rapport Cybersecuritybeeld Nederland 2017 van het Nationaal Cyber Security Centrum (NCSC), aangeboden aan de Tweede Kamer door toenmalig staatssecretaris van Veiligheid en Justitie de heer K. Dijkhoff.
Reactie van de heer Dijkhoff tijdens de overhandiging van het onderzoek:
“Het besef van investeren in cybersecurity groeit in Nederland in de gehele maatschappij. Toch moeten we blijven investeren in kennis en kunde om als Nederland op topniveau te blijven. Daarom spreken we met het bedrijfsleven, het onderwijsveld en vertegenwoordigers uit vitale sectoren. We moeten samenwerken om Nederland digitaal veilig te houden. Dit cybersecuritybeeld bevestigt dat iedereen nodig is om de snel digitaliserende wereld veilig te houden. Bedrijven door bijvoorbeeld geld te reserveren om hun netwerk veilig te houden en awareness van de medewerkers te verhogen. Gewone Nederlanders door digitaal veilige spullen te kopen en na te blijven denken waarop men klikt, wat we downloaden en wat we op sociale media plaatsen.”
Met deze handreiking wil het COB-netwerk een impuls geven aan deze bewustwording door de ontwikkelde kennis ten aanzien van cybersecurity in tunnels voor iedereen beschikbaar te stellen.
Leen van Gelder (coördinator) | COB/Soltegro |
Ron Beij | Brandweer Amsterdam-Amstelland |
Bob van den Bosch | Siemens Nederland |
Arie Bras | Wegschap Tunnel Dordtse Kil |
René van der Helm | Ministerie van IenW |
Harald Hofstede | Siemens Nederland |
Erik Holleboom | Strypes Nederland |
Cuno van den Hondel | ABB |
Jan Houwers | Antea Group |
Wim Jansen ✝ | Rijkswaterstaat |
Jasper Kimstra | Kimpro |
Arnold Kroon | ABB |
Mark van Leeuwen | Rijkswaterstaat |
Bernhard van der Linde | ADTS ICT |
Ron Perrier | ENGIE Services Infra & Mobility |
Jos Renkens | Movares |
André Stehouwer | Soltegro |
Peter Stroo | Gemeente Den Haag |
Johan van der Velde | Vialis |
Tom Versluijs | Gemeente Den Haag |
Jaap van Wissen | Rijkswaterstaat |
Turabi Yildirim | Rijkswaterstaat |
Vanuit de bijeenkomst ‘Veilige software’ op 10 februari 2015 van het platform Veiligheid van het COB is het initiatief ontstaan voor een werkgroep gericht op cybersecurity in tunnels. Tijdens deze bijeenkomst heeft Jaap van Wissen van Rijkswaterstaat een toelichting gegeven op de information sharing and analysis centres (ISAC’s) voor vitale sectoren in Nederland, zie figuur hieronder. In lijn hiermee is besloten een ISAC Tunnels in te richten.
Overzicht ISAC’s die actief zijn in Nederland. Standaard is in elke ISAC een drietal verschillende publieke organisaties aangesloten: het NCSC, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Team High Tech Crime (THTC) van de Nationale Politie. (Bron: NCSC)
De ISAC Tunnels heeft de volgende taak- en doelstelling:
Cybercrime is er in vele soorten en maten. In de bijlage zijn enkele bekende technieken op een rij gezet.
>> Lees meer over cybercrime
Hackers, malware, phishing, ransomware, DDoS aanvallen… Cybersecurity is dagelijks in het nieuws. Of beter gezegd, het gebrek aan cybersecurity is in het nieuws, want in de meeste gevallen gaat het om (bijna) geslaagde aanvallen en kwetsbaarheden. Wat in de media minder aan de orde komt, is hoe organisaties zelf hun weerbaarheid kunnen verbeteren.
Bedrijven, overheden en burgers wapenen zich niet snel genoeg tegen de groeiende digitale dreigingen. Dat staat in het Cybersecuritybeeld Nederland 2017. Volgens het rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) wordt het gat tussen dreiging en maatregelen eerder groter dan kleiner.
>> Lees het bericht op nu.nl
Sluizen en gemalen lopen nog altijd het gevaar te worden gehackt. Dat komt doordat waterschappen de cyberbeveiliging niet op orde hebben. De beveiligingssoftware wordt doorgaans maar vijf jaar lang bijgewerkt, terwijl de computersystemen om de waterwerken te bedienen tot dertig jaar lang meegaan. Dat blijkt vrijdag uit een onderzoek van het blad Binnenlands Bestuur.
>> Lees het bericht op nu.nl
Er zijn kwetsbaarheden in chips ontdekt die door nagenoeg alle laptops, smartphones en computerservers worden gebruikt. Dit kan gevolgen hebben voor zowel bedrijven als thuisgebruikers, omdat gevoelige gegevens kunnen worden bemachtigd. De kwetsbaarheden staan bekend onder de namen Spectre en Meltdown.
>> Lees het bericht op ncsc.nl
Een nieuw kenniscentrum van de overheid, het Digital Trust Centre (DTC), gaat ondernemers helpen met hun digitale veiligheid. Minister Henk Kamp (Economische Zaken) heeft de oprichting van het centrum zaterdag bekendgemaakt, ook namens staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie.
>> Lees het bericht op nu.nl
Nederland moet werk maken van diplomatie, defensie én ontwikkelingssamenwerking om de groeiende dreiging van cyberaanvallen van vijandige landen en criminelen het hoofd te bieden. Dat staat in de Internationale Cyberstrategie die minister Bert Koenders van Buitenlandse Zaken zondagavond naar de Tweede Kamer heeft gestuurd.
>> Lees het bericht op nu.nl
Voor de meest actuele meldingen zie:
Beheerders van tunnels en andere objecten willen dat het object veilig gebruikt kan worden en dat dit ook in de toekomst zo blijft. Cyberaanvallen kunnen enorme schade met zich meebrengen, en dan gaat het niet alleen om financiële schade. De bedrijfscontinuïteit van vitale en niet-vitale processen kan grote maatschappelijke gevolgen hebben, waarbij ook de veiligheid van mensen in het geding kan zijn. Daarnaast kan imagoschade voor een organisatie een zeer grote impact hebben. De geloofwaardigheid van de organisatie tegenover (potentiële) opdrachtgevers kan ernstig beschadigd raken. Tegen financiële risico’s kun je als organisatie allerlei maatregelen nemen, denk aan verzekeringen en/of het reserveren van een risicobudget, maar imagoschade is niet te verzekeren en is vaak blijvend.
Het management in zowel de publieke als de private sector zijn voor een deel nog niet doordrongen van de realiteit als het gaat om cyberdreiging. ‘Wat is er nu bij ons te halen? Wij zijn toch niet interessant? Bij ons gebeurt dit niet hoor! Onze systemen zijn niet aan internet gekoppeld.’ Bovendien schrikken de kosten van beveiligingsmaatregelen menig organisatie af. Het is echter niet meer de vraag óf je wordt gehackt, maar wanneer en met welke impact.
Het is niet meer de vraag óf je wordt gehackt,
maar wanneer en met welke impact
Het doel van deze handreiking is de (tunnel)beheerder kennis te laten nemen van de verschillende aspecten van cybersecurity. Met deze kennis is de (tunnel)beheerder in staat de weerbaarheid van zijn object te beoordelen en zijn processen zodanig te optimaliseren dat tijdig de juiste maatregelen worden genomen om cybersecurity-incidenten te voorkomen of te beheersen en eventueel opgetreden effecten bij incidenten te mitigeren.
Hoewel de handreiking gericht is op de (tunnel)beheerder, is hij breed toepasbaar en biedt hij informatie voor alle betrokken partijen binnen de tunnelsector en in alle projectfases.
In deze handreiking wordt een risicogestuurde aanpak beschreven. De voordelen van een dergelijke aanpak zijn legio. Zo is de aanpak sterk gestructureerd en is het bijvoorbeeld mogelijk maatregelen te prioriteren, zodat de grootste risico’s het eerst en het best beheerst worden.
De handreiking gaat niet in op ICT-gerelateerde zaken, zoals systemen, netwerk-ontwerpen, changeprocedures, enz. Kennis over dergelijke onderwerpen is veelal belegd bij experts. Het doel van de handreiking is immers te tonen hoe de methode is toe te passen, waardoor beheerders zelf in staat zijn de aanpak op ‘hun’ tunnel toe te passen.
Gezien de snelle ontwikkelingen op het gebied van cybersecurity wordt de handreiking opgezet als een digitaal groeiboek. Tevens biedt dit de mogelijkheid om in aanvullingen op het groeiboek nadrukkelijker in te gaan op specifieke projectfases en aspecten.