'Gehackt word je sowieso wel'

Interview 19 november 2020

Naar aanleiding van aflevering 2 van Bright Builders wilde Merijn van Bright wel meer weten over de cybersecurity kant van het slimmer maken van de infrastuctuur. Daarover ging hij in gesprek met Fabian Goijers.

Fabian Goijers werkt als analist op het security operations center van Rijkswaterstaat. Samen met andere IT-specialisten zorgt hij voor de cyberverdediging van vitale Nederlandse infrastructuur zoals wegen, bruggen, keringen en sluizen. 

‘Geen dag is hetzelfde’, zegt Fabian Goijers. Sinds driekwart jaar is hij werkzaam als senior analist bij het security operations center (SOC) van Rijkswaterstaat. Dit SOC vormt het kloppend hart van de infrastructurele cyberverdediging. Landelijk worden tientallen objecten zoals sluizen en bruggen ‘live’ in de gaten gehouden. Uit data gegenereerd door onder meer sensoren en firewalls komt informatie voort. Die komt samen in een SIEM (Security Information en Event Management) bij het SOC waar mensen zoals Goijers beoordelen of de "dreiging" tot een ingreep moet leiden, of niet.

Enorme risico's

Goijers vindt zijn werk interessant omdat de cyber security van de Nederlandse infrastructuur om heel wezenlijke dingen gaat. Nederland heeft talloze bruggen, sluizen, keringen en andere objecten. Een hack van zo’n object kan enorme impact op de Nederlandse samenleving hebben. Wie de metingen van de waterstanden bijvoorbeeld manipuleert, zorgt ervoor dat schepen verkeerd geladen worden en niet onder de brug door kunnen. ‘Als een vijand het voor elkaar krijgt om onze sluizen op afstand open te zetten dan kun je je voorstellen dat de risico’s enorm zijn.’

Vroeger waren de objecten qua digitalisering eenvoudig en konden ze alleen ter plekke worden bediend. Tegenwoordig worden ze steeds vaker slim, en kunnen op afstand worden bediend. Dat is vooruitgang maar wel met een prijs: je moet je cyber security uitstekend op orde hebben.

Capaciteit stelen of firewall testen

Die digitale inbrekers zien ze bij het SOC dus steeds vaker voorbij komen. Goijers zegt dat ze verschillende bedoelingen hebben. Sommige criminelen stropen computernetwerken af met de bedoeling capaciteit te stelen. Bijvoorbeeld voor het minen van bitcoins. Maar er zitten ook buitenlandse mogendheden tussen die zo nu en dan de zwaktes van de Nederlandse firewall testen. Goijers: ’Waar die aanvallen vandaan komen is vaak onbekend, omdat je je vrij gemakkelijk kan voordoen als iemand uit een ander land.’

Om een antwoord te hebben op de dagelijkse inbraakpogingen werkt het SOC zowel reactief als preventief. Iedere analist werkt met een eigen kennisbol. Zo’n kennisbol is een focusgebied, legt Goijers uit: ’Ik zit op monitoring & respons. Maar je hebt ook ethisch hackers, die pentesting doen. Pen staat voor penetratie. Hierbij kijken ze hoe ze onze verdediging toch kunnen binnendringen.’ Bij threat intelligence krijgen ze data binnen uit verschillende feeds en doen ze hier voorspellingen op. De andere 2 kennisbollen zijn forensics en ICS/SCADA (Industrial control systems/Supervisory Control and Data Acquisition.

Het SOC werkt nauw samen met het NCSC (het Nederlands Centrum voor Cyber Security), dat overheidspartijen helpt met het duiden van kwetsbaarheden, zegt Goijers. Maar op veel zaken gaat het SOC zelf af, zoals een virusbesmetting van een technische installatie: ‘Dan beslist ons computer emergency response team (CERT) wat te doen: mitigeren of het systeem als geheel meenemen en vervangen.’

Continu alert

Regelmatig draait Goijers een piketdienst. Hij wordt wel eens ’s nachts uit z’n bed gebeld als de cybernood hoog is. Volgens Goijers is de samenwerking met collega’s heel belangrijk. Het vak van cyber security is vaak een permanente wedloop tussen kwaadwillende digitale inbrekers en de cyber securityspecialisten van Rijkwaterstaat. Goijers: ‘Gehackt word je sowieso wel, de vraag is alleen wanneer. Waar het om draait is dat je die hacks opmerkt, kunt volgen en ongedaan maakt. Ons team is daarom continu alert en altijd bezig om de laatste ontwikkelingen te volgen.’

Goijers heeft het idee dat hij bij het security operations center met “the best en the brightest” werkt. Heel gemotiveerde IT-specialisten die doorlopend van elkaar leren en elkaar scherp houden. Goijers: ‘Ik ben wel eens benaderd door andere diensten, maar zit bij Rijkswaterstaat toch het beste. Er zijn weinig organisaties waar zóveel gebeurt.’

Op de hoogte blijven?

Wil je meer weten over de werkzaamheden aan de sluis en de draaibruggen in het Kanaal van Gent naar Terneuzen?

Bekijk ons liveblog