This page contains a Flash digital edition of a book.
dingen. Inmiddels begrijpt gelukkig ie- dereen nu wel wat phishing, hacken en ransomware is.” Daarnaast is het aansluiten van onbe- kende apparatuur een risico. De Coninck neemt het zekere voor het onzekere. “Als iemand een laptop koppelt van een toe- leverend bedrijf, dan zien wij dat meteen. We sporen patronen op die afwijken van het normale. We kunnen zo’n IP-adres dan meteen isoleren om te kijken wat er aan de hand is. Op die manier proberen we problemen voor te zijn.” Een andere maatregel is dat medewer- kers sinds 2015 verplicht zijn om do- cumenten en mails op de juiste wijze te classificeren. “Het gaat dan om de ni- veaus ‘ongeclassifi ceerd’, ‘bedrijfsinfor- matie’ en ‘vertrouwelijk’. Nieuwe mede- werkers worden ook goed geïnstrueerd.”


SOC


Rijkswaterstaat heeft een Security Ope- rations Center (SOC) dat zich bezighoudt met vijf werkvelden, waaronder intelligen- ce, en monitoring & response voor digi- tale aanvallen. “Ons SOC werkt samen met hoogwaardige SOC’s binnen de overheid. Hierbij zetten we de expertise op een effectieve wijze in en doen daar- naast veel aan kennisdeling. We doen ook aan zelfanalyse: we testen met eigen hackingmiddelen of onze systemen nog weerbaar genoeg zijn.” Ook heeft het SOC forensische taken. “Bij die aanval met ransomeware in Rot- terdam gaan we na of wij ook zijn getrof- fen, of dat er iets op ons afkomt. Hoe kun je dan zorgen dat ze niet binnenkomen? Je moet de cybersecurity continu moni- toren, want 100 procent veiligheid kun je


niet garanderen, vanwege de snelle ont- wikkelingen. Rijkswaterstaat heeft meer- dere aanvallen gehad, maar die proberen we altijd om te buigen tot een minimaal risico.”


Er liggen scenario’s klaar voor als de digi- tale verdediging toch wordt doorbroken.


Bij het ontwerp van infrastructuur speelt cyberveiligheid tegenwoordig een steeds belangrijker rol. Security by design, heet dit. “Security was vroeger nooit onder- deel van een verkenning voor de bouw van een brug, sluis of tunnel. Wij willen nu vooraan de bouw zitten met proces- en systeemeisen, niet meer achteraan.”


Bij het SOC werken nu zo’n twintig spe- cialisten. “Maar de doelstelling is dat elke medewerker van Rijkswaterstaat zich be- wust is van de dreiging. Verder kunnen we bij cybersecurity-incidenten indien nodig een beroep doen op onze vestiging in Helmond voor 24-uurs dienstverlening. Zij sturen nu ook aannemers aan, bijvoor- beeld als een kruis boven de weg het niet doet.” Al met al heeft Rijkswaterstaat nu drie digitale verdedigingslinies, aldus De Coninck. “De lijnorganisatie doet aan dijkbewaking, ik ben als CTO en CISO verantwoordelijk voor de tweede lijn, dus het nakomen van kaders en normen als BIR en ISO-27001/27002. Daarnaast la- ten we ons jaarlijks auditen, dat is de der- de lijn. De afgelopen twee jaar leidde dat tot een positief oordeel.”


Oefeningen Oefeningen zijn volgens De Coninck ook belangrijk. Zo heeft Rijkswaterstaat deel- genomen aan een grote landelijke oefe-


ning met onder meer Defensie. “En wij organiseren af en toe een hackathon, waarvoor we studenten en hobbyisten uitnodigen. Dat leidt soms tot mooie re- sultaten. Zo was er een student die met een tooltje van 60 euro een oplossing vond tegen een voortdurende digitale aanval via internet.”


Ketenpartners Provincies, gemeenten en waterschap- pen beheren ook cruciale infrastructuur, maar volgens De Coninck is het voor deze instanties efficiënter om te kijken naar samenwerkingsmogelijkheden voor de eigen digitale beveiligingsoperatie. “Rijkswaterstaat deelt daarom kennis en expertise op het gebied van cybersecuri- ty met ketenpartners. Die hebben te ma- ken met soortgelijke cyberbedreigingen, maar hoeven dan niet zelf zo’n hele or- ganisatie op te tuigen.” Volgens De Co- ninck is het nuttig als alle ketenpartners in de toekomst ook allemaal precies de- zelfde normen gaan gebruiken. “We zijn daarnaar aan het kijken.”


Nr.6 - 2017 OTAR O Nr.6 - 2017TAR 39


Sandor de Coninck


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48