Cybersecurity: vitaal voor onze veiligheid
Werken aan de unieke cyberveiligheidsstrategie van Rijkswaterstaat
Als coördinerend adviseur cybersecurity bij Rijkswaterstaat ben je bezig met de digitale weerbaarheid van Nederlandse wegen en waterwerken. Kirsten Meeuwisse legt uit hoe je in zo’n enorm breed veld de beste koers kiest.
Ze vond het echt heel leuk als consultant cybersecurity bij haar vorige werkgever, zegt Kirsten Meeuwisse. Veel verschillende klanten. Afwisselende projecten. Maar als de klus na een paar maanden was afgelopen, had ze soms het gevoel dat ze nog lang niet klaar was. ‘En dat vond ik op een gegeven moment niet meer bevredigend.’
Ze wilde structureler bijdragen aan cyberveiligheid en met een bredere scope gaan werken. Iets wezenlijks bijdragen aan dat wat er écht toe doet.
Vriend en vijand
Zo kwam Meeuwisse bij het team Strategie & Beleid binnen de Centrale Informatie Voorziening (CIV) van Rijkswaterstaat terecht. Qua cyberveiligheid zit ze nu in het hart van de organisatie. Als adviseur buigt ze zich over grote digitale veiligheidsvraagstukken en schrijft ze strijdplannen. De kern van haar werk is zich continu bezighouden met de vraag: ‘wat als?’.
Want in Nederland is het water onze vriend én onze vijand. Als sluizen en bruggen door een aanval open blijven staan, of als niet goed meer te zien is wat er precies gebeurt met welke brug of sluis, dan komt Nederland letterlijk tot stilstand. Dan is er economische schade. En in het ergste geval komt de veiligheid van mensen in gevaar. ‘Cyberveiligheid is bij Rijkswaterstaat fundamenteel vanwege de grote maatschappelijke impact.’
Cyberveiligheid is bij Rijkswaterstaat fundamenteel vanwege de grote maatschappelijke impact
Rijkswaterstaat biedt vanwege dit nationale veiligheidsvraagstuk unieke kansen, vindt Meeuwisse: ‘Ik ken geen andere organisatie waar je je druk moet maken over een aanval van hackers op een waterkering.’
Bewustzijn
Volgens haar neemt het belang van cyberveiligheid binnen de organisatie toe en is het doorgedrongen tot op alle niveaus. Zo houdt ze zich intern bezig met het vergroten van het digitaal bewustzijn van medewerkers door cybersecurity een terugkerend gesprekonderwerp te maken. Niet alleen in de operatie, maar ook bij de directieteams. ‘De voorbeelden in de praktijk liggen voor het oprapen.’, zegt Meeuwisse. ‘Bijna dagelijks zien we berichten in het nieuws over organisaties die gehackt zijn. Het delen van deze berichten draagt ook bij aan het bewustzijn; mensen zien dat hackers echt kwaad kunnen doen en dat de gevolgen enorm kunnen zijn. Dit zet men aan het denken.
Maar ook elders ontstaan bedreigingen. Objecten worden steeds vaker door Rijkswaterstaat van een afstand in de gaten gehouden en bestuurd. Sensoren houden bij wanneer het tijd is voor groot onderhoud. Die voortschrijdende digitalisering zorgt ervoor dat de digitale kwetsbaarheid ook toeneemt. ‘En dat vraagt om voortdurende monitoring’, zegt Meeuwisse. ‘Om het maken van plannen om zulke situaties zoveel mogelijk te voorkomen. Maar ook om goed gesteld te staan mocht het dan toch mis gaan.’
Security department of yes
Vanuit Rijkswaterstaat worden nieuwe sluizen, bruggen en dijken gebouwd en worden verouderde gerenoveerd of vervangen. Vanwege het toenemende belang van cyberveiligheid, moet cybersecurity een vast onderdeel zijn van het ontwerp én het beheer zodra het object gereed is. Het onderwerp moet dus vanaf het prille begin op de agenda staan.
Meeuwisse: ‘Door met security by design te werken, voorkomen we dat het cybersecurityteam department of no wordt.’ Dus niet achteraf pleiten voor meer veiligheid, maar bij de start van een nieuwe ontwikkeling veiligheid integraal onderdeel maken van alle plannen.'
Je moet er vanuit gaan dat je op een kwade dag een keer gehackt wordt
Overigens geldt hier ook dat Meeuwisse niet verwacht dat ze daarna klaar zijn: ‘We hanteren het assume breach principe. Je moet er in de voorbereiding vanuit gaan dat je op een kwade dag een keer gehackt wordt. Je weet alleen niet wanneer. Maar wel dat je er alles aan moet doen die schade zo veel mogelijk beperkt te houden.’
Verschillende signalen
Naast de eigen, interne afdeling monitoring waar signalen binnen komen, komen die ook van de landelijke en regionale afdelingen. En op nationaal niveau is er het Nationaal Cyber Security Centrum (NCSC), dat bij een lek regelmatig aan de bel trekt. Dat roept de vraag op: hoe maak je in die kakafonie de juiste keuzes?
Iedereen een rol
Meeuwisse legt uit dat prioriteren heel belangrijk is. De focus ligt hierbij op de bijdrage aan BIV-aspecten: Beschikbaarheid (van o.m. de bruggen, sluizen en wegen), Integriteit (zorgdragen dat de informatie die iemand op zijn scherm ziet ook klopt) en Vertrouwelijkheid (het beschermen van de gegevens van medewerkers en de informatie waar ze mee werken).
Daarvoor moet je samenwerken en heb je geld en kennis nodig. Zo is er soms veel aan gelegen om zowel binnen het ministerie als binnen Rijkswaterstaat urgentie te kweken, zodat er tijd en geld vrij gemaakt wordt om cyberveiligheid van Nederland te garanderen. En verder is het vooral, en dat wil ze graag benadrukken, een taak van iedere medewerker. ‘Iedereen heeft een rol om Rijkswaterstaat veiliger te maken. We doen het samen.’