Sandor de Coninck – Chief Technology Officer en Chief Information Security Officer
De dreiging van hackers en computervirussen neemt steeds verder toe. Als beheerder van vitale infrastructuur is het van essentieel belang dat Rijkswaterstaat zowel de digitale dijken als de digitale dijkbewaking goed op orde heeft. “We hebben dit goed geregeld, maar we moeten altijd wel alert blijven”, zegt Sandor de Coninck, Chief Technology Officer en Chief Information Security Officer. “Honderd procent veiligheid bestaat niet, want we zien dagelijks nieuwe bedreigingen ontstaan.”
Tekst Richard Mooyman
Het was ook voor De Coninck even schrikken toen een computervirus een containerterminal in de Rotterdamse haven eind juni lam legde. “Bij Rijkswaterstaat hebben we eerder al tal van voorzorgsmaatregelen genomen om te voorkomen dat onze organisatie zoiets kan overkomen. Zo heeft Rijkswaterstaat een eigen netwerk.”
Helemaal als een verrassing kwam de aanval voor De Coninck niet, en ook de gevolgen verbazen hem allerminst. Want dit is wat er kan gebeuren in het digitale tijdperk waarin we ons bevinden. Met een cybersecurity-aanpak streeft Rijkswaterstaat naar het voorkomen van schade door misbruik, verstoring of uitval van ICT en -indien er toch schade ontstaat- het herstellen ervan.
Rijkswaterstaat voert sinds enige jaren een cybersecuritystrategie om de digitale kwetsbaarheid te minimaliseren. De organisatie is immers verantwoordelijk voor vitale functies als waterkeringen, scheepvaartroutes en wegverkeer. Met de cybersecuritystrategie is Rijkswaterstaat weerbaar tegen cyberrisico’s, zodat de primaire processen optimaal beschermd zijn. Tegelijkertijd is het belangrijk dat medewerkers van Rijkswaterstaat weinig hinder ondervinden van beveiligingsmaatregelen, zodat zij hun werk effectief en efficiënt kunnen doen. “Als het misgaat, zijn de gevolgen niet te overzien”, vertelt De Coninck.
De Cyber Security Missie van Rijkswaterstaat bestaat eruit de organisatie, klanten en ketenpartners te beschermen tegen cybercrime, misbruik van digitalisering, technische uitval en fouten en de gevolgen te minimaliseren als er toch een cyberincident zou plaatsvinden. Als een van de weinige overheidspartijen heeft Rijkswaterstaat ook IV (informatievoorziening) tot hoofdtaak gemaakt.
De strategie is vastgelegd in een leidraad, die makkelijk leesbaar is. “De essentie is dat we risicogestuurd werken. Dit betekent dat we continu monitoren op mogelijke risico’s. We spelen in op de risico-inschatting en waardering van het risico.”
“Rijkswaterstaat is inmiddels goed voorbereid”, aldus De Coninck. Maar hij wil niets voor 100 procent uitsluiten. Ook Rijkswaterstaat staat volgens hem regelmatig bloot aan digitale aanvallen, met steeds slimmere methodes. Daarom zijn er ook maatregelen genomen om de gevolgen van een eventuele succesvolle cyberaanval te minimaliseren.
De grootste dreiging gaat uit van criminelen. “Hacken is het nieuwe verdienmodel voor criminelen. Ze kunnen opereren op afstand en de pakkans is redelijk klein. Door een hack via ransomeware kan men onder andere computers blokkeren. Pas na betaling van een bepaald bedrag halen ze hun ransomeware dan weer weg.”
Ook bepaalde landen lijken een toenemend risico te vormen. “Het Nationaal Cyber Security Centrum stelt dat die zich vooral richten op digitale spionage en offensieve acties. Dat kan ook politiek worden gebruikt bij onderhandelingen. Het is allemaal geen science fiction meer.”
Dan is er de dreiging van digitale terreuracties. “Ook het terrorisme wordt steeds slimmer. Hoewel de kennis om een succesvolle cyberaanval uit te voeren nog achterblijft, zie je dat ze wel de intentie hebben om het te doen.”
Minder gevaarlijk, zelfs vaak nuttig, zijn whizzkids en studenten die proberen om kwetsbaarheden aan het licht te brengen. Dat doen zij meestal met goede bedoelingen, of voor de lol. Toch dreigt volgens De Coninck ook hier gevaar, omdat middelen om een grootschalige aanval uit te voeren steeds laagdrempeliger en makkelijker beschikbaar zijn.
De digitale kwetsbaarheid van objecten in Nederland was enkele jaren geleden groter. De beveiliging was minder goed geregeld. Een wake-up call was dat een student er in 2012 in slaagde om een rioolgemaal in Veere te hacken: inlognaam en password waren makkelijk te raden en identiek. “Dat heeft flink bijgedragen aan onze bewustwording.”
Het incident vormde de opmaat van een reeks maatregelen. Bruggen en sluizen werden direct beter digitaal beveiligd, maar er was meer nodig. Veel meer. De Algemene Rekenkamer concludeerde dat alle belangrijke objecten in Nederland moesten worden geanalyseerd op cyberkwetsbaarheid.
In 2014 besloot de Rijksoverheid dat alle diensten structureel de digitale veiligheid op orde moesten krijgen. Bij Rijkswaterstaat ging het behalve om digitale veiligheid op kantoor volgens de zogenoemde BIR-richtlijn (Baseline Informatiebeveiliging Rijksdienst) ook om de digitale veiligheid van cruciale objecten met vaak bewegende delen, zoals waterkeringen, sluizen, bruggen, wegen, tunnels en vaarwegen. “We moesten extra maatregelen nemen.”
Daarna waren de middelgrote risico’s aan de beurt die een bedreiging vormen voor Nederland als transportland en poort naar Europa. “Als de transportketen stilvalt, is de economische schade groot.
Tenslotte zijn de objecten met een laag risico aangepakt, een proces dat bijna is afgerond. De afgelopen jaren zijn we elke maand een stapje veiliger geworden. Daarna is het een kwestie van beheer en exploitatie, het bestendigen in de lijn. Maar helemaal klaar zijn we nooit. In de cybersecurity geldt de waan van de dag, en het level van informatievoorziening van de dag. Je moet altijd op je qui vive blijven.”
“Technologische oplossingen alleen zijn niet altijd afdoende”, waarschuwt De Coninck. De mens blijft volgens hem altijd een belangrijke schakel in de veiligheidsketen. Als plan A -de reguliere situatie met een hoofdrol voor techniek- faalt, dan treedt een plan B in werking: een terugvaloptie, vaak een scenario met lokale bediening of een noodstop.
Toeleveranciers
Wanneer toeleveranciers worden gehackt of bijvoorbeeld besmet zijn met een virus, kan dit ook voor Rijkswaterstaat nadelige gevolgen hebben. “We zijn nu aan het onderzoeken hoe alle toeleverende bedrijven zijn beveiligd. Ook van toeleveranciers verwachten we dat zij bewust omgaan met dit soort dreigingen en dat zij spullen adequaat testen voordat zij ze verkopen.”
Hij verwijst naar de documentaire ‘Zero Days’ over een met een virus geïnfecteerd onderdeeltje dat bijna leidde tot een melt-down van nucleaire opwerkingscentrale in Iran. “Dat was een harde les. Grote bedrijven zijn zich inmiddels wel bewust dat ze veilig moeten werken. In risicovolle situaties nemen we in de contracten op dat ze moeten voldoen aan de standaard voor informatiebeveiliging ISO-27001/27002, dan is het goed geregeld. We hebben ‘verhoogde dijkbewaking’, om in termen van Rijkswaterstaat te blijven.”
Medewerkers
Vaak zonder het te beseffen vormt de ’onbewust onbekwame collega’ -zoals De Coninck die noemt- de grootste bedreiging voor de cyberveiligheid. Door te klikken op een besmette mail of link kan hij of zij een hoop ellende veroorzaken. Bewustwording door trainingen en oefeningen is daarom een belangrijk element in de veiligheidsstrategie.
“Verdachte mails dienen gemeld te worden bij ons loket. Twee of drie keer per jaar versturen we als test phishing mails naar medewerkers. Je ziet dat de awareness is verhoogd. In het eerste jaar ontvingen we een stuk of tien meldingen, de laatste keer kregen we honderden meldingen. Inmiddels begrijpt gelukkig iedereen nu wel wat phishing, hacken en ransomware is.”
Daarnaast is het aansluiten van onbekende apparatuur een risico. De Coninck neemt het zekere voor het onzekere. “Als iemand een laptop koppelt van een toeleverend bedrijf, dan zien wij dat meteen. We sporen patronen op die afwijken van het normale. We kunnen zo’n IP-adres dan meteen isoleren om te kijken wat er aan de hand is. Op die manier proberen we problemen voor te zijn.”
Een andere maatregel is dat medewerkers sinds 2015 verplicht zijn om documenten en mails op de juiste wijze te classificeren. “Het gaat dan om de niveaus ‘ongeclassificeerd’, ‘bedrijfsinformatie’ en ‘vertrouwelijk’. Nieuwe medewerkers worden ook goed geïnstrueerd.”
SOC
Rijkswaterstaat heeft een Security Operations Center (SOC) dat zich bezighoudt met vijf werkvelden, waaronder intelligence, en monitoring & response voor digitale aanvallen. “Ons SOC werkt samen met hoogwaardige SOC’s binnen de overheid. Hierbij zetten we de expertise op een effectieve wijze in en doen daarnaast veel aan kennisdeling. We doen ook aan zelfanalyse: we testen met eigen hackingmiddelen of onze systemen nog weerbaar genoeg zijn.”
Ook heeft het SOC forensische taken. “Bij die aanval met ransomeware in Rotterdam gaan we na of wij ook zijn getroffen, of dat er iets op ons afkomt.
Hoe kun je dan zorgen dat ze niet binnenkomen? Je moet de cybersecurity continu monitoren, want 100 procent veiligheid kun je niet garanderen, vanwege de snelle ontwikkelingen. Rijkswaterstaat heeft meerdere aanvallen gehad, maar die proberen we altijd om te buigen tot een minimaal risico.”
Er liggen scenario’s klaar voor als de digitale verdediging toch wordt doorbroken.
Bij het ontwerp van infrastructuur speelt cyberveiligheid tegenwoordig een steeds belangrijker rol. Security by design, heet dit. “Security was vroeger nooit onderdeel van een verkenning voor de bouw van een brug, sluis of tunnel. Wij willen nu vooraan de bouw zitten met proces- en systeemeisen, niet meer achteraan.”
Bij het SOC werken nu zo’n twintig specialisten. “Maar de doelstelling is dat elke medewerker van Rijkswaterstaat zich bewust is van de dreiging. Verder kunnen we bij cybersecurity-incidenten indien nodig een beroep doen op onze vestiging in Helmond voor 24-uurs dienstverlening. Zij sturen nu ook aannemers aan, bijvoorbeeld als een kruis boven de weg het niet doet.”
Al met al heeft Rijkswaterstaat nu drie digitale verdedigingslinies, aldus De Coninck. “De lijnorganisatie doet aan dijkbewaking, ik ben als CTO en CISO verantwoordelijk voor de tweede lijn. Daarnaast laten we ons jaarlijks auditen, dat is de derde lijn. De afgelopen twee jaar leidde dat tot een positief oordeel.”
Oefeningen
Oefeningen zijn volgens De Coninck ook belangrijk. Zo heeft Rijkswaterstaat deelgenomen aan een grote landelijke oefening met onder meer Defensie. “En wij organiseren af en toe een hackathon, waarvoor we studenten en hobbyisten uitnodigen. Dat leidt soms tot mooie resultaten. Zo was er een student die met een tooltje van 60 euro een oplossing vond tegen een voortdurende digitale aanval via internet.”
Ketenpartners
Provincies, gemeenten en waterschappen beheren ook cruciale infrastructuur, maar volgens De Coninck is het voor deze instanties efficiënter om te kijken naar samenwerkingsmogelijkheden voor de eigen digitale beveiligingsoperatie. “Rijkswaterstaat deelt daarom kennis en expertise op het gebied van cybersecurity met ketenpartners. Die hebben te maken met soortgelijke cyberbedreigingen, maar hoeven dan niet zelf zo’n hele organisatie op te tuigen.” Volgens De Coninck is het nuttig als alle ketenpartners in de toekomst ook allemaal precies dezelfde normen gaan gebruiken. “We zijn daarnaar aan het kijken.”
