Dat de noodzaak tot informatieveiligheid nieuwe kansen biedt, bewijst Hoogheemraadschap Delfland. Dijkgraaf Michiel van Haersma Buma legt uit hoe twee simpele vragen leidden tot een wereldwijd innovatief concept.
Michiel van Haersma Buma, sinds 2007 dijkgraaf van het Hoogheemraadschap van Delfland.
Droge voeten en schoon water. Dat is heel eenvoudig gezegd de taak van Waterschappen. “Daarbij zijn we bijna 100 procent afhankelijk van informatisering en automatisering”, zegt Michiel van Haersma Buma. “Dat betekent dat onze processen goed moeten functioneren en de informatievoorziening en – veiligheid voortdurend optimaal geborgd moeten zijn.”
Techniek én gedrag
Als het misgaat, kunnen de gevolgen groot zijn. “Wanneer bij veel regenval onze gemalen niet functioneren betekent dat water in de polders, schade aan de infrastructuur en panden en wellicht erger. Als je dan bedenkt dat we die gemalen geautomatiseerd aansturen, snap je hoe belangrijk de veiligheid is.” Het Hoogheemraadschap conformeert zich dan ook vanzelfsprekend aan de wetgeving op dit gebied en aan de Baseline Informatieveiligheid Waterschappen. “Die geven handvatten om te zorgen dat de gegevens waarop we sturen niet beïnvloedbaar of corrumpeerbaar zijn. Deels zit dat in techniek, maar het is bekend dat 80 tot 90 procent van veiligheidslekken ontstaat door onachtzaam gedrag. Om maar een voorbeeld te noemen: dagelijks vangen onze systemen zo’n 300 potentiële bedreigingen af. Toch kan er eentje tussendoor slippen. Dus het is van het grootste belang dat medewerkers niet blind vertrouwen op de ICT, maar zich bewust blijven van de risico’s van hun dagelijks handelen.”
We blijven erop oefenen, zoals we ook op brandveiligheid oefenen
Het voorkomen van veiligheidslekken staat voorop. “Dat vergt een alertheid van onze medewerkers op de risico’s, die onderdeel moet zijn van de bedrijfscultuur. Zo kiezen we ervoor dat na de renovatie van ons bedrijfspand bezoekers een beperkte toegang tot ons pand hebben en alleen onder begeleiding van medewerkers verder het pand in kunnen. In de introductiecursus voor nieuwe medewerkers is veiligheidsbewustzijn een vast onderdeel. We zetten ook volop in op bewustzijnscampagnes om het goed tussen de oren te krijgen. En blijven daarop oefenen, zoals we ook op brandveiligheid oefenen. Steeds weer krijg je daarbij nieuwe inzichten. Zo vond ik de kwestie rondom het e-mailverkeer van Hillary Clinton weer een wake-up call. Dan kijk je veel bewuster of je ook wel eens zaken via je privémail verstuurt. Om dat te voorkomen faciliteren we onze medewerkers zodanig, dat ze altijd en overal via een versleutelde WiFi-verbinding in een veilige digitale kantooromgeving kunnen werken.”
Innovatieve oplossing
Michiel van Haersma Buma is als Dijkgraaf ook verantwoordelijk voor calamiteitenbestrijding. Twee jaar geleden stelde hij zichzelf in dat kader twee vragen: Wat gebeurt er als mobiel telefoonverkeer niet meer mogelijk is? Hiervoor zijn we met de netwerkbeheerders als Stedin en Alliander een oplossing aan het uitwerken. En wat als onze communicatieinfrastructuur gehackt wordt en we geen controle meer hebben over ons gemaal? Deze tweede vraag bleek een grotere uitdaging. “Nu hebben we het geluk dat we vlakbij de creatieve omgeving van de TU Delft zitten. Samen met hen werken we aan een innovatieve oplossing. Het is wat technisch, maar het komt erop neer dat we met eigen sensoren in het water en een apart communicatiekanaal baas in eigen huis blijven. De sensoren zenden versleutelde data uit en het unieke hiervan is dat de sleutel hiervoor niet op de sensorchip is terug te vinden. Het is eigenlijk een nieuwe vorm van sleutelbeheer, waardoor hacken vrijwel onmogelijk wordt.”
Veel belangstelling
Proof of concept is er inmiddels, de stap naar proof of practice staat voor de deur. “Binnenkort testen we het systeem zelf in de praktijk. We hebben er veel vertrouwen in en als het allemaal werkt, hebben we hiermee een baanbrekende innovatie. Die ook heel interessant is voor andere organisaties. Bijvoorbeeld in de energiesector. Er is dan ook veel belangstelling voor de ontwikkelingen, uiit binnen- en buitenland. Zover zijn we alleen gekomen door als management het onderwerp informatieveiligheid steeds weer te bespreken. Dat is de taak binnen alle organisaties: inbouwen in de bedrijfsprocessen, zelf het goede voorbeeld geven en nooit denken dat je klaar bent. Ik ben benieuwd hoe, Harm Kupers, secretaris-directeur van Waterschap Hunze en Aa’s dat als vaste activiteit in het management heeft ingebouwd.”