De uitdaging van digitale veiligheid voor kritische infrastructuur
Sjoerd van Agtmael werkt aan een vijfjarige opdracht van Rijkswaterstaat (RWS) vanwege zijn expertise op het gebied van cyber security. De Consultant Engineer bij FMI ImProvia zorgt als sleutelfunctionaris voor optimale digitale beveiliging van infrastructurele objecten. “We testen ook de medewerkers die met de objecten werken.”
Sjoerd, werkzaam voor de business unit Smart Industry Solutions, werd eind 2021 gedetacheerd bij ÆVO. Het zusterbedrijf van FMI ImProvia had net een tender gewonnen van RWS. Die betrof het beheer en onderhoud van tunnel-technische installaties.
De specialist in slimme bruggen, tunnels en sluizen kreeg bij beide objecten te maken met een gedateerde installatie. “Op technisch vlak moesten we daarom een stap maken om de veiligheid verder te verbeteren”, zegt Sjoerd over zijn werk.
Cruciaal onderdeel
Cyber security is daarvan een cruciaal onderdeel. Ze vergt veel beheersing door de snel veranderende tijd en steeds striktere eisen en aangepaste regelgeving. Zo brengen Sjoerd en zijn team onder andere in kaart wat de zwakke(re) punten zijn.
Onderdeel van die inventarisatie is bestuderen aan welke eisen de cyber security moet voldoen. Sjoerd: “Het systeem moet zo geconfigureerd zijn dat we een uitstekend pakket hebben dat we kunnen onderhouden. RWS heeft daarvoor een richtlijn. Die is gebaseerd op strenge normen. Maar ook in eigen huis leggen we technisch en organisatorisch de lat erg hoog om met RWS op een veilige manier te kunnen samenwerken.”
Logisch, want het gaat om kritische infrastructuur. Uitval of stremming van het object moet koste wat kost worden voorkomen. “Als het verkeer wordt gestremd vanwege een storing, zorgt dat voor filevorming en krijg je ongewenste publiciteit”, verduidelijkt de Consultant Engineer.
Vooroplopen
Doordrongen van de noodzaak van goede digitale beveiliging wil Rijkswaterstaat vooroplopen op het gebied van cyber security. “In het verleden werd het nog niet als essentieel gezien. Nu erkent de OT-wereld (de industriële kant van IT, red.) dat ze noodzakelijk is omdat industriële omgevingen worden aangevallen. Je hoort dat steeds vaker.”
Om de veiligheid en de effectiviteit van de opgestelde procedures te controleren, houden ÆVO en RWS elk jaar zowel een zogeheten audit. Ook worden er met regelmaat risico- en impactanalyses uitgevoerd om systeembeveiliging te controleren. “Is de keten nog steeds veilig of is er door een technische aanpassing een risico gecreëerd dat we niet hadden voorzien?”
In essentie gaat het erom die risico’s zoveel mogelijk te beperken, zegt hij. “Daarvoor bespreken we met RWS welke risico’s we hebben geconstateerd. We willen die dusdanig technisch borgen dat ze geen risico meer zijn. Als dat door de techniek in het object niet kan, gaan we het procedureel afvangen.”
Zeer gedetailleerd plan
ÆVO werkt daarvoor aan een zeer gedetailleerd plan van technische en procedurele maatregelen dat RWS moet goedkeuren. Daarbij gaat het onder andere om zaken als: hoe registreer je de mensen die op het object komen, wie heeft wanneer toegang en op welk systeem?
Wat ook in het plan staat: de manier van monitoren van de objecten, de verbinding met het object en het document- en back-up-beheer. En: wat hangt aan wat vast? “Je moet dus heel goed weten hoe het landschap (de architectuur van het object, red.) eruitziet.”
Wat de cyber security van RWS-objecten betreft, weet Sjoerd dat het inmiddels goed zit. Daarin gaat ÆVO verder dan alleen de hardware. “We testen ook de bewustwording van de medewerkers die met de objecten werken. We sturen bijvoorbeeld een paar keer per jaar een nep-phishing e-mail en houden minimaal één keer per jaar een sessie rondom cyber security. Dat doen we om ze bewust te maken van de gevaren rond cyber security. We willen mensen alert houden.”
Uiteindelijk komt alles dus neer op risicomanagement. Als dat optimaal gebeurt bij zowel mens als machine, weet Sjoerd dat infrastructurele objecten op digitaal vlak maximaal zijn beveiligd.
