This page contains a Flash digital edition of a book.
geregeld. Een wake-up call was dat een student er in 2012 in slaagde om een ri- oolgemaal in Veere te hacken: inlognaam en password waren makkelijk te raden en identiek. “Dat heeft flink bijgedragen aan onze bewustwording.”


Het incident vormde de opmaat van een reeks maatregelen. Bruggen en sluizen werden direct beter digitaal beveiligd, maar er was meer nodig. Veel meer. De Algemene Rekenkamer concludeerde dat alle belangrijke objecten in Nederland moesten worden geanalyseerd op cy- berkwetsbaarheid. In 2014 besloot de Rijksoverheid dat alle diensten structureel de digitale veilig- heid op orde moesten krijgen. Bij Rijks- waterstaat ging het behalve om digitale veiligheid op kantoor volgens de zoge- noemde BIR-richtlijn (Baseline Informa- tiebeveiliging Rijksdienst) ook om de digi- tale veiligheid van cruciale objecten met vaak bewegende delen, zoals waterkerin- gen, sluizen, bruggen, wegen, tunnels en vaarwegen. “We moesten extra maatre- gelen nemen.” Daarna waren de middelgrote risico’s aan de beurt die een bedreiging vormen voor Nederland als transportland en poort naar Europa. “Als de transportketen stil- valt, is de economische schade groot. Tenslotte zijn de objecten met een laag


38 Nr.6 - 2017 OTAR


risico aangepakt, een proces dat bijna is afgerond. De afgelopen jaren zijn we elke maand een stapje veiliger gewor- den. Daarna is het een kwestie van be- heer en exploitatie, het bestendigen in de lijn. Maar helemaal klaar zijn we nooit. In de cybersecurity geldt de waan van de dag, en het level van informatievoorzie- ning van de dag. Je moet altijd op je qui vive blijven.”


“Technologische oplossingen alleen zijn niet altijd afdoende”, waarschuwt De Coninck. De mens blijft volgens hem al- tijd een belangrijke schakel in de veilig- heidsketen. Als plan A -de reguliere situa- tie met een hoofdrol voor techniek- faalt, dan treedt een plan B in werking: een te- rugvaloptie, vaak een scenario met lokale bediening of een noodstop.


Toeleveranciers Wanneer toeleveranciers worden gehackt of bijvoorbeeld besmet zijn met een vi- rus, kan dit ook voor Rijkswaterstaat na- delige gevolgen hebben. “We zijn nu aan het onderzoeken hoe alle toeleverende bedrijven zijn beveiligd. Ook van toele- veranciers verwachten we dat zij bewust omgaan met dit soort dreigingen en dat zij spullen adequaat testen voordat zij ze verkopen.”


Hij verwijst naar de documentaire ‘Zero Days’ over een met een virus geïnfec- teerd onderdeeltje dat bijna leidde tot een melt-down van nucleaire opwer- kingscentrale in Iran. “Dat was een har- de les. Grote bedrijven zijn zich inmiddels wel bewust dat ze veilig moeten wer- ken. In risicovolle situaties nemen we in de contracten op dat ze moeten voldoen aan de standaard voor informatiebeveili- ging ISO-27001/27002, dan is het goed geregeld. We hebben ‘verhoogde dijkbe- waking’, om in termen van Rijkswater- staat te blijven.”


Medewerkers Vaak zonder het te beseffen vormt de ’onbewust onbekwame collega’ -zoals De Coninck die noemt- de grootste be- dreiging voor de cyberveiligheid. Door te klikken op een besmette mail of link kan hij of zij een hoop ellende veroorzaken. Bewustwording door trainingen en oefe- ningen is daarom een belangrijk element in de veiligheidsstrategie. “Verdachte mails dienen gemeld te wor- den bij ons loket. Twee of drie keer per jaar versturen we als test phishing mails naar medewerkers. Je ziet dat de aware- ness is verhoogd. In het eerste jaar ont- vingen we een stuk of tien meldingen, de laatste keer kregen we honderden mel-


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48