Belevingsmarkt Informatieveiligheid & Privacy

Op 30 juni organiseerden we weer een belevingsmarkt voor de leden van ons Algemeen Bestuur. Dit keer hadden we drie projectdemo’s rondom Informatieveiligheid en Privacy. Ellen Hemmers, bestuurder bij waterschap Vechtstromen: ‘Doordat het Waterschapshuis ons op deze manier meeneemt in projecten, word ik wijzer dan van papier alleen.’ 

Wat als gemalen of waterzuiveringen digitaal worden aangevallen?
 

Wat kan er misgaan als digitale signalen naar cruciale assets van de waterschappen niet doorkomen of verkeerd worden geïnterpreteerd? Wat als veiligheidssystemen falen? Jarno Baselier van het CERT-WM liet ons in een zelfgemaakte demo-haven met een sluis zien hoe een aanvaller mogelijk rampzalige gevolgen kan veroorzaken. Dit voorbeeld maakte duidelijk dat de waterschappen specifieke kennis nodig hebben om hun eigen operationele technologie veilig te houden.  

Jarno legde ook uit wat de rol van het CERT-WM hierbij is. ‘Het CERT-WM (Computer Emergency Response Team voor de Waterschappen) is een samenwerking tussen de waterschappen, met Rijkswaterstaat als kennispartner. We richten ons op het versterken van de digitale weerbaarheid van waterschappen. Of het nu gaat om phishing, ransomware of grootschalige cyberaanvallen, het CERT-WM zorgt ervoor dat waterschappen effectief kunnen reageren en dat ze zich kunnen beschermen tegen toenemende cyberdreigingen. Naast al deze dreigingen in de kantooromgeving, richten we ons ook op dreigingen voor operationele systemen, zoals de gemalen, sluizen en zuiveringen. Hiervoor richten onder andere een SOC (Security Operations Center) in.’

Jarno Baselier
Kelvin Albers van der Linden

Een gezamenlijk security center (SOC)


Over het SOC vertelde Kelvin Albers van der Linden, projectleide bij waterschap Hollandse Delta. ‘Wij behoren tot de kopgroep van vier waterschappen die al zijn aangesloten op de SOC dienstverlening voor de kantoorautomatisering. We werken intensief samen met het Waterschapshuis om dit in de tweede helft van het jaar dit ook te doen voor de procesautomatisering. Het SOC monitort en analyseert netwerk- en systeemactiviteiten. Door afwijkingen tijdig te detecteren, kunnen de waterschappen snel reageren op incidenten.’ 

Tijdens de discussie bleek dat bestuurders het inrichten van een gezamenlijk Security Center of Operations een belangrijke maatregel vinden, dus ze hopen dat alle waterschappen de komende vier jaar aansluiten. Ze benadrukten dat cyberweerbaarheid niet alleen een technische aangelegenheid is: onder medewerkers moet het cybersecurity groeien en cybersecurity moet ingebed zijn in een algemeen veiligheidsbeleid. 
 

Met VR op een nieuwe manier naar cybersecurity kijken 


De derde projectdemo was de kans voor bestuurders om een VR-bril op te zetten en in een virtuele controlekamer van een waterzuivering op onderzoek uit te gaan. Als ‘medewerker met slechte bedoelingen’ gingen ze op zoek naar privacygevoelige en anderszins vertrouwelijke digitale informatie om een cyberaanval te organiseren. Bijvoorbeeld op een computer waar een virtuele medewerker even was weggelopen zonder zijn scherm te vergrendelen, of op een whiteboard waarop tijdens een vergadering gevoelige informatie was geschreven.  

De sessie werd mede begeleid door Nigel Egberink, information security officer bij het Waterschapshuis. Hij legt uit: ‘Deze VR-leeromgeving is een product van Athena; een Europees project met als doel het bewustzijn op het gebied van cybersecurity in de procesautomatisering gelijk te trekken en op orde te krijgen. Rijkswaterstaat is voor het gehele project kartrekker en wij vertegenwoordigen vanuit het Waterschapshuis de waterschappen. De VR-leeromgeving is bedoeld voor bedieners van sluizen, gemalen en waterzuiveringen. ‘Door hen in een andere omgeving te laten leren, vergroten we het leereffect.’

Voor veel bestuurders was dit hun eerste ervaring met een VR-bril
Ellen Hemmers

Grip op het ongrijpbare 


Na de demorondes begonnen de bestuurders geïnspireerd aan hun algemene vergadering. Ellen: ‘Als waterschap zijn we dagelijks bezig met onze kerntaken, maar beveiliging komt daarbij en dat gaat verder dan een slot op de deur bij cruciale locaties. We moeten ook grip krijgen op digitale veiligheid. Door daarin samen te werken, staan we sterker.’