Na mijn aantreden als CIO bij Rijkswaterstaat vond ik een organisatie die veiligheid in de haarvaten had. Bruggen, tunnels, sluizen, ze waren allemaal prima beveiligd… Tegen fysieke inbreuken. Ook aan de veiligheid van de medewerkers was gedacht. Dat krijg je bij een organisatie met een paar honderd jaar ervaring.

Met de cybersecurity was het een ander verhaal. Op dat vlak behoorden we een jaar of tien geleden nog niet tot de koplopers. We moesten even wennen aan het idee dat onze assets ook digitaal bedreigd konden worden. Logisch, want er gebeurde nooit iets.

De risico’s die we in ons land lopen – risico’s die rechtstreeks met het werk van Rijkswaterstaat te maken hebben – zijn niet mis. Schiphol bijvoorbeeld ligt drie meter onder de zeespiegel. Tachtig procent van de Nederlanders woont in een gebied dat risico op overstroming loopt.

Cybersecurity is wel een heel ander vak dan het werk in de fysieke omgeving. Is er ergens schade aan het wegdek, repareren we dat en zijn we op die plek weer voor een paar jaar klaar. Bij digitale beveiliging werkt het net even anders. Daar ben je constant aan het monitoren en heb je te maken met een almaar toenemende intensiteit van dreigingen en aanvallen.

We besloten dat we aan de bak moesten om onze cybersecurity op een hoger plan te brengen. In de eerste plaats moesten aanpassingen voor cybersecurity van bouwwerken in de contracten met onze aannemers worden opgenomen.

Onze teams bezochten assets in het hele land om risico’s in kaart te brengen. Daarbij werden meteen de fysieke maatregelen meegenomen. Deze grote inspectieronde duurde een jaar of drie.

Bij dit alles wist ik één ding zeker: ik wilde cybersecurity niet uitbesteden aan een externe partij maar in huis hebben. Het is belangrijk direct te kunnen zien wat er gebeurt en om de toegevoegde waarde van je security-inspanningen te kunnen laten zien aan je stakeholders. Bovendien raakt cybersecurity in mijn visie niet alleen IT, maar alle disciplines. Je wil dan ook met allerlei disciplines binnen de organisatie kunnen samenwerken en snel kunnen schakelen.

In 2014 hebben we ons Security Operations Center (SOC) opgericht. Het draait 24/7. Iedereen binnen Rijkswaterstaat kan zien welk nuttig werk de collega’s van het SOC doen. Overigens geen aanleiding om op onze lauweren te gaan rusten. We hebben sindsdien flink geïnvesteerd in opleiding en tooling. Ook werken we intensief samen met andere overheidsinstellingen, zoals het Nationaal Cyber Security Centrum, de AIVD en de waterschappen. Hackers storen zich immers niet aan organisatiegrenzen.

Per week registreert ons SOC 20 miljard events – meestal vals alarm gelukkig, of iets onschuldigs als het verkeerd intikken van een wachtwoord. Maar als het dan een keer wel raak is, zoals eind vorig jaar met het grote Citrix-incident, doen de collega’s hun werk. Al direct na de berichtgeving van Citrix in december heeft Rijkswaterstaat alle benodigde maatregelen doorgevoerd. Geen paniek, gewoon aan de bak.

REAGEREN

Plaats je reactie
Je naam