De digitale beveiliging van Rijkswaterstaat kreeg in 2019 forse kritiek in het rapport Digitale Dijkverzwaring van de Algemene Rekenkamer. Sindsdien zijn er grote stappen gezet en geldt de organisatie zelfs als voorbeeld voor andere overheidsorganisaties. Hoe pakte Rijkswaterstaat dat aan? AG Connect sprak erover met betrokkenen.
Het gebouw van Rijkswaterstaat in Utrecht | Beeld: Shutterstock
In 2019 was de kritiek van de Algemene Rekenkamer op Rijkswaterstaat niet mals. De digitale veiligheid van tunnels, bruggen, sluizen en waterkeringen in Nederland schoot tekort. Dat maakte in de politiek en in de media veel los. De bevindingen waren reden tot zorg, maar toch was het niet zo dat Rijkswaterstaat in 2019 qua digitale veiligheid nog op nul moest beginnen, benadrukken CISO Sandor de Coninck en Willem Dittrich, hoofd van het Security Centre.
Het rapport zorgde ervoor dat cybersecurity de hoogste bestuurlijke aandacht kreeg.
“De Rekenkamer hanteerde in 2019 voor het eerst een werkwijze waarbij onze beveiliging ook fysiek werd getest. Dat bleek een eyeopener”, legt de Coninck uit. “Maar we zaten toen het rapport verscheen al in een al rijdende trein van een groot verbeterproces van onze veiligheid. De bevindingen van het rapport hebben we toen meegenomen in dit traject, bovenop de verbeteringen waarmee we al bezig waren.”
Urgentie creëert bestuurlijke aandacht
Het rapport zal binnen Rijkswaterstaat vermoedelijk even slikken geweest zijn, maar er waren ook voordelen: het zorgde ervoor dat cybersecurity de hoogste bestuurlijke aandacht kreeg. En dat maakte veel mogelijk. “De minister moest onder meer aan de Tweede Kamer uitleggen welke stappen er genomen werden om de digitale beveiliging te verbeteren. Die grote aandacht is enorm belangrijk gebleken, want het zorgde voor slagvaardigheid”, aldus De Coninck, die zelf al sinds 2016 betrokken is bij de digitale beveiliging van Rijkswaterstaat.
Een eerste stap naar verbetering in 2019 was dat de monitoring van de belangrijkste Rijkswaterstaat-objecten werd uitgebreid. “We zijn meer objecten gaan monitoren. Dit was één van de zaken die we als eerste uitvoerden.” De Coninck zag door de jaren heen de securitytak binnen Rijkswaterstaat enorm groeien: van vijf naar meer dan honderd cybersecurityspecialisten.
Een van de moeilijkste uitdagingen was het aantrekken van de benodigde specialisten
“We hebben na het rapport ons monitoringssysteem zo breed en uitgebreid mogelijk opgezet over het hele land. Daarnaast waren we al bezig met onder meer een Security Operations Centre (SOC) opzetten met eigen experts en eigen kennis.” Een van de specialisten is Willem Dittrich. Hij werd in 2018 aangesteld als afdelingshoofd van het securitycenter van Rijkswaterstaat. Deze afdeling heeft een Security-by-Design team en het SOC, waar team van security-analisten voortdurend bezig is met monitoring, detectie en – indien nodig – respons.
Versterkingsprogramma inrichten
Dittrich legt uit dat na het bewuste rapport ook gelijk het dreigingsbeeld werd geactualiseerd, waarna in kaart werd gebracht wat er aan mensen en middelen nodig was om de veiligheid te verhogen. De aanbevelingen uit het rapport werden opgevolgd en daarnaast werd doorgezet op de al eerder ingeslagen weg om digitale beveiliging te vergroten. “Al snel begonnen we het met inrichten van een versterkingsprogramma, gebaseerd op dat verhoogde dreigingsbeeld.”
Een van de moeilijkste uitdagingen hierbij was het aantrekken van de benodigde specialisten voor het SOC. “Het klopt dat dit een flinke uitdaging was. Natuurlijk zijn we op zoek gegaan naar specialisten die het werkterrein al kennen, meester zijn in hun vakgebied en morgen kunnen beginnen. Maar die vind je niet zo snel.”
Bij Rijkswaterstaat willen we dat onze eigen medewerkers de security-operatie ‘runnen’.
Rijkswaterstaat bleef zoeken naar senior security-analisten, maar verlegde intussen wel de blik naar jongeren die net klaar waren met een opleiding. Met behulp van trainingen, cursussen en praktijkbezoeken lukte het om deze groep binnen te halen en in korte tijd wegwijs te maken in de wereld van Rijkswaterstaat. “Superspecialisten haal je tegenwoordig niet meer zo uit de markt. Dit is ons hooguit een enkele keer wel gelukt. Bij het aantrekken van jongeren helpt het wel dat Rijkswaterstaat grote maatschappelijke relevantie heeft. Bij collega’s hoor ik dat dit het werk ook interessant maakt. Bij Rijkswaterstaat willen we bovendien dat onze eigen medewerkers de security-operatie ‘runnen’. De kennis daarvoor vergaren ze door ‘learning on the job’. Uiteraard laten we ons ook ondersteunen door andere partijen, maar het zijn uiteindelijk onze eigen medewerkers van Rijkswaterstaat die de boel draaiende houden.”
Dilemma’s door verbeteracties
Behalve het aantrekken van meer ‘eigen’ kennis over cybersecurity is er ook een uitgebreide cybersecuritystrategie voor Rijkswaterstaat, die om de paar jaar wordt verlengd en aangepast waar nodig. Er worden awarenessprogramma’s georganiseerd over de hele organisatie en het dreigingsbeeld wordt bijgesteld waar nodig. “Langs de lijnen van deze strategie zetten wij verbeteracties in”, schetst De Coninck.
De laatste 5% veiligheid is vaak even duur als de eerste 95%.
De acties die nodig zijn om security te verbeteren leiden soms tot dilemma’s. “Digitale veiligheid kan een risico zijn, maar loslatend asfalt kan bij Rijkswaterstaat ook een groot risico zijn. Als organisatie moet je soms kiezen wat je voorrang geeft. Daarover gaan we regelmatig in gesprek. De laatste 5% veiligheid is vaak even duur als de eerste 95%. We willen belastinggeld zorgvuldig besteden en dus ook goed nadenken welke preventieve maatregelen je neemt en wat je als restrisico beschouwt.”
Richtlijnen voor OT opzetten
Wat erg belangrijk is geweest bij het verbeteren van de digitale beveiliging, is dat security niet langer alleen als een onderdeel van kantoorautomatisering gezien werd. “Rijkswaterstaat is een enorm grote organisatie met natuurlijk veel kantoorautomatisering, waaronder de laptops of pc’s van medewerkers”, vertelt De Coninck. “Maar er is daarnaast ook veel operationele techniek (OT), zoals de software waarmee bruggen en sluizen worden aangestuurd.”
Rijkswaterstaat gebruikte de bestaande normeringen voor informatiebeveiliging van kantoorautomatisering, maar normeringen voor de OT op dit gebied bestonden nog niet. Rijkswaterstaat moest er zelf mee aan de slag. “Dankzij de kennis die we al in huis hadden hebben we dit in zo’n 2,5 jaar tijd op papier weten te krijgen. Samen met partners, zoals de Waterschappen, én de markt hebben we een norm voor OT ontwikkeld: de Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat (CSIR). Daarmee lukt het om toeleveranciers goed uit te leggen waar ze aan moeten voldoen. We hebben dus enorm veel moeten ‘vertalen’ vanuit de kantoorautomatisering. Een enorme klus.”
Security is bij Rijkswaterstaat nu een volwaardig onderdeel van al het bestaande werk.
Dittrich vult aan dat het creëren van een ‘gemeenschappelijke taal’ in de security van Rijkswaterstaat veel energie heeft gekost: wie bijvoorbeeld in de waterbouw werkt heeft het over een ‘storing’ terwijl security-experts over een ‘incident’ spreken. En als iemand van de wegenbouw het over een incident heeft, denkt hij aan een aanrijding.
Eén taal leren spreken
“We moesten binnen Rijkswaterstaat dus één securitytaal leren spreken om de organisatie als geheel digitaal weerbaarder maken en vaardiger te maken. Zoiets lukt niet met alleen een ‘slim team’ op het hoofdkantoor. De expertise moest verplaatst worden naar alle Rijkswaterstaat-operators die met de OT van Rijkswaterstaat werken.”
Het is Rijkswaterstaat uiteindelijk gelukt om zelf een normering voor informatiebeveiliging van OT neer te zetten die inmiddels door vele andere organisaties gebruikt wordt. “We hebben onze eigen richtlijnen veralgemeniseerd en ze worden nu door diverse partijen die ook met OT werken gebruikt, daar zijn we best trots op.”
Dittrich ziet bovendien dat security bij Rijkswaterstaat nu een volwaardig onderdeel van al het bestaande werk en niet langer een ‘nieuw fenomeen’ dat men er maar bij moet doen. “Hierin zijn wij enorm gegroeid sinds 2019, en die groei gaat ook niet meer afnemen”, besluit Dittrich
Met de hand bedienen een optie
De Coninck stelt wel dat er altijd afwegingen gemaakt zullen moeten worden als het gaat om digitale veiligheid. “Er zijn altijd restrisico’s. De afwegingen moeten wél goed gemaakt worden. Bij kritische objecten voor veiligheid geldt bij Rijkswaterstaat een andere omgang dan bij minder kritische objecten. Daarnaast moet bij hoog-kritische objecten altijd een plan B, C of zelfs een plan D zijn wanneer er een verstoring optreedt.” Met de hand sluizen en bruggen bedienen moet dus altijd een optie blijven. “Bij een totale uitval moeten medewerkers inderdaad het kantoor verlaten en gewoon met de hand bedienen.”
Dat Rijkswaterstaat flinke stappen heeft gezet, is te merken aan de vele incidenten rondom de kwetsbaarheden in Citrix en Log4J, die enorme gevolgen hadden voor vele organisaties. “Onze verdediging stond op het beste niveau waar het kon zijn, al bleven er wel restrisico’s over”, vertelt De Coninck. “In de evaluatie bleek achteraf dat wij de boel goed onder controle hadden bij beide affaires. Voor ons was dat een goed signaal.”
Hoewel de beveiliging op hoog niveau is, wordt Rijkswaterstaat steeds vaker een target van aanvallers.
Dittrich sluit daarbij aan. “Grote incidenten in de afgelopen jaren hebben bij ons niet direct tot een crisissituatie geleid. We bleven tijdens beide gebeurtenissen in control en hoefden geen zware maatregelen te nemen zoals sommige andere organisaties. Daaraan merk je dat je vaardiger wordt en dat is een indicatie dat we de goede weg zijn ingeslagen. Als deze incidenten eerder hadden plaatsgevonden, was de kans groter dat er wel een crisissituatie was uitgeroepen. Nu is het zaak om niet te verslappen en bij de les te blijven.
Meer dreiging door oorlog in Oekraïne
Hoewel de beveiliging op hoog niveau is, wordt Rijkswaterstaat steeds vaker een target van aanvallers, signaleert Dittrich. “Wij zien die dreiging inderdaad toenemen. We monitoren dit ook beter dan voorheen, dus we zien ook incidenten die we voorheen misschien niet opmerkten. We proberen mee te bewegen. Wanneer we aanvallen zien, delen we dit ook met collega’s van andere organisaties en laten we onze aanpak zien, zodat zij er ook iets aan hebben.”
Rijkswaterstaat blijft scherp op actuele dreigingen, bijvoorbeeld naar aanleiding van de oorlog in Oekraïne. Het werkt hierin nauw samen met het NCSC onder meer via de informatie en analyses van het NCSC. Er is vanwege de huidige oplopende geopolitieke spanningen gekozen om de opschalingsprocedures te verkorten. Want ook Rijkswaterstaat kan een strategisch doelwit zijn. “Wanneer het SOC een acute aanval ziet, zitten wij binnen vijf minuten in crisismode als dat nodig is. Het lukt nu veel sneller om de afweging te maken of we overschakelen naar een crisismode of niet. Normaal gesproken kan dat een uitgebreide ambtelijke discussie zijn, maar in de huidige geopolitieke omgeving heb je die tijd niet, dan moet je snel kunnen schakelen.”
Samenwerking met NCSC
Rijkswaterstaat werkt momenteel in een ‘ecosysteem’ samen met het Nationaal Cyber Security Centrum (NCSC) en enkele grote uitvoerders binnen de overheid. “We delen voorbeelden van zaken die goed of juist minder goed gaan en we proberen elkaar te versterken”, vertelt Dittrich. “Security beperkt zich niet tot een organisatiegrens. Gezamenlijk optrekken zorgt dat onze kennisontwikkeling nog beter wordt en we kunnen elkaar helpen in tijden van crisis.”
Dit artikel is ook gepubliceerd in het magazine van AG Connect (mei 2022).
Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.