wordt steeds vaker in ketens samengewerkt met andere overheden. Daarbij blijkt dat deze ketenpartners vaak onbewust onbekwaam zijn waar het cybersecurity betreft. Welke kritische succesfactoren zijn in de aanpak van Rijkswaterstaat te onderkennen? Het analyseren van risico’s voor het functioneren van de cruciale ketens is de eerste stap in het proces van beheersing. Met deze risicoanalyses in de hand kunnen de beleidsdirecties en bestuurders van de organisatie deelgenoot worden gemaakt van de problematiek. Voorbeelden van hacks op vitale infrastructuur – zoals de aanval op het nucleaire programma van Iran of de verstoring van stroombedrijven en een luchthaven in Oekraïne – kunnen het beeld versterken. De visie van Rijkswaterstaat gaat verder dan alleen moedwillige verstoringen. Safety en continuïteit, belangrijke bedrijfswaarden voor (politieke) bestuurders, zijn integraal onderdeel van het verhogen van de cybersecurity. De gevolgen van het falen van systemen door fouten van medewerkers, slecht ingeregelde processen en uitval van techniek zijn immers voor een groot deel dezelfde. AL DOENDE LEREN Een laatste niet onbelangrijke succesfactor is het al doende leren gebleken. Daar waar in het verleden veel plannen op de plank bleven liggen, is op basis van een plan van aanpak op hoofdlijnen direct met de uitvoering gestart. Vanuit deze uitvoering SAMEN OPTREKKEN VOOR CYBERSECURITY Rijkswaterstaat voert gesprekken over samenwerking op het gebied van cybersecurity met de andere onderdelen van IenM en met organisaties zoals ProRail, LVNL, Waterschappen, Provincies, en de ministeries van Algemene Zaken, Defensie en Economische Zaken. Op operationeel niveau wordt samengewerkt met het NCSC, de AIVD en de SOC’s van Belastingdienst en het Shared Service CenterICT. Kennisuitwisseling vindt plaats met het Nederlands Forensisch Instituut en de TU Delft. zijn de plannen iteratief aangescherpt, waarbij de uitvoerbaarheid voorop stond. Doordat snel resultaten zichtbaar werden is veel positieve energie binnen de organisatie voor het programma ontstaan. De integrale aanpak van Rijkswaterstaat richt zich op een drietal hoofdthema’s. Dit betreft security by design, security procesbesturing en operationele security, waarvoor het Rijkswaterstaat Security Operations Center (RWS SOC) is opgericht. Security by design geeft de richting aan voor het beveiligen van (nieuwe) informatievoorziening. Bestaande strategische en tactische kaders worden vertaald naar operationele eisen aan nieuwe systemen (bijvoorbeeld een tunnel- of brugbedieN R ning) en beveiligingssystemen. Daarnaast wordt de architectuur van bestaande systemen opnieuw ontworpen. Herijking van uitgevoerde risicoanalyses liggen hieraan ten grondslag. Security procesbesturing geeft aan hoe security by design wordt toegepast. Gedachte hier is dat wanneer cybermaatregelen vanaf het begin worden meegenomen bij ontwerp, bouw en exploitatie deze beter in het gehele systeem passen. Daarnaast is er aandacht voor security in ITIL-processen, zoals de inbedding van het Security Operations Centre in het Rijkswaterstaat incident- en crisismanagementproces. PERIODIEK EVALUEREN Het security-managementproces richt zich op het beheersen van cyberrisico’s conform de Baseline Informatiebeveiliging Rijksdienst (BIR). De BIR schrijft het periodiek evalueren van het beveiligingsniveau ten opzichte van dreigingen voor de ‘te beschermen belangen’ voor. Indien noodzakelijk moeten beleid en maatregelen worden aangepast. Het Security Center richt zich op het nauw samenwerken met partners bij de Rijksoverheid en daarbuiten om kennis up-to-date te houDe integrale aanpak van Rijkswaterstaat is binnen de Nederlandse overheid niet onopgemerkt gebleven. Dit heeft ertoe geleid dat met een groeiend aantal collega- overheden en publieke instellingen wordt samengewerkt (zie kader). Rijkswaterstaat levert bijdragen aan Information Sharing and Analysis Centers (ISAC): de Rijks-ISAC, ISAC Keren en beheren en ISAC Tunnels. AMBITIE Ook is Rijkwaterstaat begin dit jaar toegetreden tot het Nationaal Response Netwerk (NRN) waar securitykennis op het gebied van industriële controlesystemen wordt ingebracht. Dit houdt in dat Nederland een beroep kan doen op Rijkswaterstaat in geval van grote incidenten of crises op het gebied van industriële of procesautomatisering. De ambitie van Rijkswaterstaat is om maatschappelijke meerwaarde te creëren door met alle ketenpartners in de infrastructuur en organisatorische partners op strategisch, tactisch en operationeel niveau samen te werken aan een veilige digitale omgeving. Meer weten? RWS-iv-Partner@rws.nl den, ervaringen te delen en medewerkers uit te wisselen. Het RWS SOC staat aan de lat voor het voortdurend monitoren van gebeurtenissen op de objecten, systemen en netwerken van Rijkswaterstaat. Wanneer onverklaarbare of ongewenste gebeurtenissen optreden, wordt een adequate respons in gang gezet: een snelle reactie op cyberaanvallen of systeemuitval. Het SOC grijpt in op basis van het securitybeeld dat uit de monitoring en intelligence volgt. Het SOC kan ook forensisch onderzoekers inschakelen om de oorsprong van cyberincidenten te onderzoeken. Dit ingrijpen gebeurt in nauwe samenwerking met de crisisorganisatie en (ICT) beheerders. C Y B E R SECU R ITY
18 Online Touch Home