Foto Nationale Beeldbank
Perry van der Weyden werkte 7,5 jaar als hoofdingenieur-directeur Centrale Informatievoorziening Chief Information Officer (CIO) bij Rijkswaterstaat. Inmiddels heeft hij een overstap gemaakt naar de IT-dienstverlener Nedcompany, maar hij wilde graag nog ruimte maken voor ons en ingaan op wat de organisatie doet om ons land cyberweerbaar te houden. Ook zijn voormalig collega Willem Dittrich, hoofd van het Security Centre van Rijkswaterstaat, is aangesloten bij dit gesprek. In het gesprek benadrukken beide heren vooral de noodzaak om samen te werken met andere organisaties. ‘’Nederland beschermen tegen water kunnen we niet alleen. Zodra wij een stormvloedkering dichtdoen en er bij een sluis verderop hackers via het waterschap binnen zijn gekomen, dreigt er nog steeds gevaar.’’
Toen Van der Weyden zevenenhalf jaar geleden begon bij Rijkswaterstaat was IT nog een ondersteunende afdeling binnen de organisatie. Onder zijn leiding is IT geïntegreerd in het primaire proces. Een werkend en veilig IT-systeem is essentieel voor het veilig, leefbaar en bereikbaar houden van Nederland. Rijkswaterstaat is verantwoordelijk voor de infrastructuur die hiervoor zorgt. Denk daarbij onder andere aan het beheren van zogenoemde objecten zoals tunnels, bruggen, sluizen en ook de stormvloedkeringen.
‘Wij beheren vitale objecten. Het heeft een maatschappij-ontwrichtende impact op het moment dat deze uitvallen. Bijvoorbeeld de waterkeringen moeten natuurlijk altijd blijven werken.’’ Van der Weyden benadrukt dat het beheer van objecten op een integrale manier moet worden aangepakt, want zowel fysieke en digitale veiligheid als een veilige IT- en OT-omgeving zijn onmisbaar voor de algemene veiligheid. Rijkswaterstaat is niet de enige partij die vitale objecten beheert, daarom is samenwerking met de gehele keten zo belangrijk, bijvoorbeeld in het waterdomein. Van de stormvloedkeringen in het westen tot de sluizen en dijken in het oosten, het is een groot aaneengeschakeld netwerk van objecten waar verschillende partners verantwoordelijkheid hebben. Met al die partners zoekt Rijkswaterstaat samenwerking op verschillende gebieden.
Rijkswaterstaat is zelf altijd bezig met het verbeteren van de cybersecurity. Zo maakt het geen gebruik van het publieke internet voor het aansturen van objecten, maar heeft de organisatie hiervoor een eigen glasvezelnetwerk. Dit netwerk monitort en beveiligt de organisatie zelf met het Security Operations Center (SOC) en de netwerkbeheerders. Van der Weyden vertelt dat er inmiddels ruim 34 miljard handelingen per week worden bekeken. Doordat Rijkswaterstaat veel aandacht heeft voor cyberveiligheid, heeft dit in de afgelopen jaren niet tot grote problemen geleid. Toch verslapt de aandacht niet bij Rijkswaterstaat: ‘’We hebben een ambitieuze houding en gaan ervan uit dat een aanval altijd kan gebeuren. Dus moeten wij ervoor zorgen dat we weerbaar zijn als we worden aangevallen. Het is een ratrace waarin kwaadwillenden naar binnen willen en wij hen buiten willen houden. Wij willen die race winnen.’’
Willem Dittrich is als hoofd van het Security Centre van Rijkswaterstaat iedere dag bezig met deze race. Monitoring en detectie is inderdaad een van de drie hoofdtaken.', zegt hij hierover. "Die 34 miljard handelingen per week bevatten bijvoorbeeld virusscanresultaten of spam e-mails. Hieruit destilleert ons systeem wat we verder willen onderzoeken en analyseren. Dat doen we met slimme filters en met de mensen die werken in ons eigen Security Operations Center. Door voortdurend te zorgen dat onze filters up-to-date blijven, verzwaren we doorlopend de digitale dijken."
Toch kwam uit het rapport Digitale dijkverzwaring: cybersecurity en vitale waterwerken uit 2019, van de Algemene Rekenkamer, dat de cybersecurity van verschillende (vitale) waterwerken nog beter konden worden beveiligd tegen cyberaanvallen. De aanbevelingen uit het rapport zijn ter harte genomen en grotendeels geïmplementeerd, maar ook moet een aantal punten nog worden verbeterd. Van der Weyden licht toe dat de verouderde systemen niet per definitie een risico zijn voor de veiligheid doordat de systemen een stuk weerbaarder zijn dan ten tijde van het rapport. Mede dankzij de aanbevelingen uit dit rapport is de cyberveiligheid van Rijkswaterstaat volgens hem op het juiste niveau, het houdt de organisatie scherp om constant de juiste keuzes te maken en de bijbehorende investeringen op tijd te doen.
Teamwerk
De CIO is trots op zijn zeer vakkundige team dat constant snelle ontwikkelingen doormaakt en doorvoert. Rijkswaterstaat is een van de eerste organisaties binnen de Rijksdienst waar ze professioneel aan de slag zijn gegaan met cyberveiligheid. Dit heeft ervoor gezorgd dat er veel ervaring, vakmanschap en handigheid in huis is. Het geheim om de juiste mensen aan boord te krijgen en houden? ‘’We leiden onze mensen zelf op. De IT-wereld verandert constant, waardoor werkzaamheden van bepaald personeel verdwijnen. Deze mensen kennen de Rijkswaterstaat-omgeving goed, dus we leiden ze op en zorgen dat hun ontwikkeling past bij de ontwikkeling van de organisatie.’’
Een andere reden dat IT’ers graag bij Rijkswaterstaat willen werken, is de relevantie van het werk. Binnen de organisatie zijn mensen 7 dagen per week, 24 uur per dag bezig met het draaiende houden van de Nederlandse infrastructuur. Cybersecurity levert een cruciale bijdrage aan de missie van Rijkswaterstaat: samenwerken aan een veilig, leefbaar en bereikbaar houden van Nederland.
"Het is belangrijk dat we cybersecurity zo vroeg mogelijk onderdeel maken van het ontwerp en van het asset management", vult Dittrich aan. "We noemen dit Security by Design, een tweede hoofdtaak van het Security Centre. Juist in het domein van OT was er behoefte aan een gedeeld kader voor cyberveiligheid. Daarom heeft Rijkswaterstaat samen met de waterschappen én in overleg met de markt de CSIR opgesteld: De Cybersecurity Implementatierichtlijn Objecten - Rijkswaterstaat. Kort geleden verscheen de 3.0 versie van deze CSIR. Door met een gezamenlijk kader te werken kun je elkaar ondersteunen in de toepassing. Richting de sector hanteer je ook één lijn en dat creëert overzicht en voorspelbaarheid", aldus Dittrich. "Het werkt, en het werkt goed."
Cybersecurity is binnen RWS dermate belangrijk dat dit volledig door eigen mensen wordt vormgegeven. Maar dat betekent niet dat ze niet samenwerken. Met andere cybersecurity-afdelingen binnen de overheid wordt veel kennis gedeeld, terwijl het Nationaal Cyber Security Centrum juist een coördinerende functie heeft. Ook werkt RWS samen met zeer gespecialiseerde bedrijven, die vaak een inhoudelijke analyse maken van (potentiële) problemen. Vervolgens gaan ze intern aan de slag om met deze analyse tot oplossingen te komen.
Er wordt ook intensief samengewerkt met de SOC's van andere uitvoeringsorganisaties. "In wat we het Joint SOC noemen, zorgen we ervoor dat specialisten van verschillende uitvoeringsorganisaties kennis, kunde en ervaringen met elkaar delen. Ook is begin 2020 het Nationaal Response Netwerk (NRN) ingericht. Dit netwerk vormt RWS samen met de Informatiebeveiligingsdienst van de Nederlandse gemeenten (IBD), de Belastingdienst, de ICT-coöperatie van onderwijs en onderzoek SURF, het Ministerie van Defensie, Rijkswaterstaat en het Nationaal Cyber Security Centrum. Deze partijen hebben in een convenant vastgelegd dat ze waar mogelijk schaarse, specialistische capaciteiten delen op de momenten dat één of meerdere deelnemers dit nodig hebben." Dittrich is blij met het NRN en hoe dit functioneert. "Incident response is cruciaal in de security-operatie. Doordat er een NRN is kunnen we een beroep doen op elkaars inzet op het moment dat we dat nodig hebben. Om goed voorbereid te zijn op deze samenwerking wordt er gezamenlijk geoefend en kennis uitgewisseld. 'The profit is in the proces", aldus Dittrich. "We leren zoveel van onze gezamenlijke activiteiten. Alleen dat al maakt het meer dan de moeite waard."
Water houdt zich niet aan grenzen
De recente overstromingen in Limburg, België en Duitsland hebben weer eens bewezen dat water zich niets aantrekt van landgrenzen. Waterbeheer vraagt dus ook om internationale samenwerking. Rijkswaterstaat deelt al informatie en kennis met andere landen, maar de ambities gaan verder. In een Digital Europe Programme zou deze samenwerking nog meer gestalte krijgen, maar ook in I-STORM werkt RWS samen op het gebied van stormvloedkeringen.
Wat de overstromingen ook duidelijk maakten, is dat je achter een computer het water niet kan laten verdampen. Uiteindelijk staat alle techniek die Rijkswaterstaat beheert ten dienste van een veilig, leefbaar en bereikbaar Nederland. Ook op spannende momenten moet de techniek het doen. In de voorbereiding op uitval hanteert Rijkswaterstaat een all hazard benadering, of het nu gaat om uitval van elektriciteit of van het glasvezelnetwerk: er is altijd een back-up plan beschikbaar voor de bediening.
Van der Weyden realiseert zich maar al te goed dat niemand alleen staat binnen het waterbeheer. Als Waterschap niet, maar ook als Rijkswaterstaat niet. ‘’De hele keten is zo sterk als de zwakste schakel, dus het is aan ons om, samen met onze partners deze hele keten nog beter te beveiligen. We zijn hier al mee bezig en ook de bewustwording wordt steeds groter. Maar deze uitdaging blijft relevant voor de komende jaren.’’