Elke gemeente, provincie of waterschap beheert infrastructuur die tot de operationele techniek (OT) kunnen worden gerekend. Waar moeten wij dan denken? Aan bruggen en sluizen, maar ook aan verkeersregelinstallaties, openbare verlichting, pompen en gemalen. Belangrijke infrastructuur waarmee wij dagelijks te maken hebben. Je moet er niet aan denken dat de inregeling van deze systemen wordt verstoord. Toch mag je in deze tijd er niet van uitgaan dat de dingen het als vanzelf gewoon doen. Storingen kunnen optreden, maar er kan ook worden ingebroken. Denk aan de recente belangstelling van Rusland voor de windmolens in de Noordzee. Cybersecurity maakt dan ook een belangrijk onderdeel uit van een goede beveiliging van deze techniek.
De ontwikkeling van het CSIR normenkader
Turabi Yildirim leidde dit thema voor ons in. Turabi is Senior Adviseur Cybersecurity bij Rijkswaterstaat (RWS) en sinds het begin betrokken bij de Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat (CSIR). Als opdrachtgever voor nieuwe kunstwerken weet RWS uit ervaring dat cybersecurity al tijdens de aanbesteding van de werken meegenomen moeten worden. CSIR 2.0 bevat richtlijnen daartoe en kan worden opgenomen als onderdeel van het programma van eisen. Uiteraard bestaan al referentiekaders zoals de Baseline Informatiebeveiliging Overheid (BIO) en de industriestandaard IEC62443, maar deze beide kaders zijn zonder vertaalslag onvoldoende bruikbaar voor aanbestedingen van Grond, Weg en Waterbouwprojecten waar met Systems Engineering wordt gewerkt. In overleg met het Waterschapshuis ontwikkelde RWS op basis van deze kaders een nieuw kader voor kunstwerken, het CSIR. Dit kader wordt momenteel breed toegepast binnen de overheid. Denk aan de Rijnlandroute (Zuid-Holland), maar ook aan de Maastunnel (Rotterdam) en het Zuidasdok (Amsterdam).
Maar RWS beheert ook kunstwerken die al jaren geleden zijn aanbesteed. Hoe hiermee om te gaan? Voor deze kunstwerken is op basis van het CSIR een risicoassessment tool ontwikkeld. Hiermee kan RWS per object nagaan welke risico’s er zijn, en hoe ze moeten worden ingeschat, al naar gelang de aard van de risico’s. In deze tool heb je ook de keuze om alle risico’s aan te pakken of alleen de
grootste. Waarbij de impact – welke consequenties heeft het uitvallen van een brug of sluis voor de samenleving – mede de prioritering van de beheersingsmaatregelen bepaalt. Al met al een gedegen aanpak, waarmee elke overheid – of het nu een gemeente, provincie of waterschap betreft – zijn voordeel kan doen.
Intermezzo: wat zijn interessante onderwerpen voor bijeenkomsten
Voordat werd overgegaan naar een toelichting vanuit de praktijk kregen de deelnemers de gelegenheid zich uit te spreken over hun verwachtingen ten aanzien van KADO. Zij gaven aan behoefte te hebben om elkaar één of twee keer per jaar vis-à-vis te ontmoeten. Inbreng van kennis door experts aangevuld met casuïstiek is voor hen een aantrekkelijk aanbod. Voor de themabijeenkomsten werd een scala aan onderwerpen genoemd. Hieronder staat de lijst van onderwerpen in willekeurige volgorde. Als bestuur nemen wij deze mee bij de organisatie van volgende bijeenkomsten. Het gaat om de volgende onderwerpen: doorontwikkeling BIO, Wet Beveiliging Netwerk- en Informatiesystemen (WBNI), ChatGPT, rechtmatigheidsverantwoording (in relatie tot AVG /Wpg), Archiefwet, Frauderisicoanalyse, aanbesteding, ISO-auditing, data-analyse, kwaliteitsmanagement-systeem, hardcore doelmatigheidsonderzoek, duurzaamheid, ethiek, softcontrols, digitale transformatie van control en audit. Met deze lijst kunnen we voorlopig als kenniskring vooruit.
‘Cybersecurity en OT’ in de auditpraktijk, een voorbeeld
Terug naar het thema van de middag. Hoe kan je als auditor dit onderwerp ‘Cybersecurity en OT’ in de praktijk brengen? Die vraag werd aan Alma van Zanten voorgelegd. Alma is senior auditor bij de provincie Zuid-Holland en heeft vorig jaar een onderzoek naar de beveiliging van de Centrale Object Bediening (COB) van bruggen afgerond. Zij nam ons mee in de aanpak van haar onderzoek en ging
met name in op de modellen, het normenkader en de wijze van communiceren. OT omvat veel verschillende objecten met specifieke kenmerken. Voor een goede beheersbaarheid (niet alleen voor de auditor, maar ook voor de auditee) is het daarom passend om het onderzoek naar OT op te delen in brokken, waarover afzonderlijk kan worden gerapporteerd. Het onderzoek naar de beveiliging van COB van bruggen was het laatste van een vierluik. Hiervóór werden audits uitgevoerd naar het cyber security management systeem (CSMS), naar pompen en gemalen en naar openbare verlichting. Eerder is onderzoek uitgevoerd naar de beveiliging van verkeersmanagementsystemen (VRI’s, Drip’s en camera’s langs de weg).
Alma had voor ons de volgende tips om cybersecurity risico’s te beheersen:
- Zorg voor preventieve (o.a. netwerk zonering, versleuteling van verkeer, device authentication).
- maatregelen om cybersecurity incidenten te voorkomen. Wacht niet tot een incident zich voordoet.
- Beperk de impact van incidenten door detective maatregelen -zoals gebruik maken van een Security Operations Center (SOC) die 24×7 monitoring kan realiseren- te implementeren.
- Pak cybersecurity integraal op (IT en OT samen). Cybersecurity was in het verleden meer het gebied van IT dan OT. Dit is de laatste jaren veranderd en OT is vaker doelwit van aanvallen geworden.
- Zorg voor regie op het gebied van leveranciersmanagement: verlang van leveranciers verantwoordingsinformatie over cybersecurity.
- Zorg voor kennisdeling over cybersecurity van OT in brede zin. Een aanbeveling die wij vanuit KADO van harte onderschrijven!