Cybersecurity op orde voor de hele keten die betrokken is bij onze objecten. Dat is het doel van CSIR 3.0, een vernieuwde cybersecurityrichtlijn die Rijkswaterstaat samen met de markt en met de waterschappen ontwikkelde. Door kennis en expertise te delen is er een richtlijn die ook andere overheden kunnen hanteren en waar iedere aannemer mee uit de voeten kan.
Turabi Yildirim is Senior Adviseur Cybersecurity bij Rijkswaterstaat en sinds het begin betrokken bij de Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat (CSIR). ‘Bij Rijkswaterstaat beheren we vitale infrastructuur: keringen, bruggen, tunnels, sluizen en wegen. Die moet ‘cyberweerbaar’ zijn. Bij misbruik of falen zijn de consequenties voor onze veiligheid groot, denk aan maatschappelijke ontwrichting, milieuschade, financiële schade of zelfs dodelijke slachtoffers. Maar we willen ook dat het werkbaar is. We hebben niets aan een goede richtlijn waar geen externe partij mee kan werken.’
De oorspronkelijke CSIR stamt alweer uit 2013. CSIR 3.0 is inhoudelijk hetzelfde als zijn voorgangers, alleen is de tekst algemener en generieker beschreven. Yildirim: ‘Hiermee hebben we nu een richtlijn die alle overheidsonderdelen, zoals waterschappen, gemeenten en provincies, kunnen hanteren bij het beveiligen van hun Industriële Automatisering (IA). Ook is de richtlijn direct inzetbaar voor marktpartijen.’
Werkgroep cybersecurity
Rijkswaterstaat en ondernemersorganisatie Techniek Nederland bespreken securityvraagstukken uit de praktijk elk half jaar op managementniveau. Hierbij komt de strategische kant aan bod, zoals wijzigingen in cybersecurity-regelgeving en de consequenties die hieruit voortvloeien voor opdrachtgever en opdrachtnemer. De werkgroep cybersecurity neemt elk kwartaal het tactische deel voor zijn rekening, bijvoorbeeld uniformerende kaders in de vorm van templates en tooling of beheerprocesinrichtingen. In die werkgroep, onder voorzitterschap van Yildirim, zitten specialisten van Rijkswaterstaat en afgevaardigden uit de markt. Zo neemt het bedrijf Vialis deel namens Techniek Nederland. ‘Met elkaar ontwikkelen we cybersecurity-uitwerkingen en testen die in de praktijk. Waar nodig verbeteren we ze op onderdelen door ze te schakelen naar het tactische niveau en als het nodig is vervolgens naar het strategische.’
Die ketenbenadering kent veel voordelen, benadrukt Yildirim. ‘Allereerst is er hierdoor cyberbewustzijn en prioritering bij de verschillende lagen van alle betrokken organisaties. Met elkaar kun je zaken operationaliseren. Opdrachtgever en opdrachtnemer staan op gelijke voet, begrijpen elkaar en kunnen met elkaar communiceren. Doordat ze bovendien samen kunnen uniformeren en standaardiseren, ontstaat er geen wildgroei aan maatregelen. Met als resultaat kostenbesparing en een grote mate van effectiviteit.’ Een ander voordeel is dat Rijkswaterstaat en marktpartijen meer de regie in handen houden en niet door een andere normerende instantie worden aangestuurd. Yildirim: ‘We kunnen zelf de ontwikkelingen vormgeven en werken daardoor meer proactief dan reactief.’
Waterschappen
Voor het veralgemeniseren van de tekst van CSIR tot de 3.0-versie werkte Rijkswaterstaat onder meer samen met de waterschappen. Gabor Verputten is Programmalid Informatieveiligheid en Privacy, en Chief Information Security Officer bij Het Waterschapshuis, dat de informatie- en communicatietechnologie van de 21 waterschappen regisseert en uitvoert. Sinds drieënhalf jaar werkt hij intensief samen met Turabi Yildirim om de beveiliging van industriële automatisering (IA) op de kaart te zetten. Verputten: ‘CSIR 2.0 bevatte specifieke onderdelen voor Rijkswaterstaat. Wij hebben een andere manier van beheer en daar hebben we de CSIR op aangepast. Hierdoor is het nu een fantastisch product voor iedereen die met IA werkt.’
Inmiddels ziet iedereen binnen de waterschappen het belang van CSIR. Verputten: ‘Doordat we binnen één kader opereren, beginnen al onze medewerkers het te snappen. Van asset owners tot productspecialisten en system integrators, iedereen is aangehaakt. Het is een bewustwordingscampagne. Je wilt toch dat het business as usual wordt.’ Daarbij gaat het projectteam pragmatisch te werk. ‘Bij de waterschappen werken doeners. We proberen de waterschappen te helpen met een tool die ondersteunt bij per project toe te passen maatregelen. Als iemand de hele CSIR moet uitpluizen, haakt hij af.’ Een voordeel van de CSIR is dat deze getoetst is in de markt. ‘Hierdoor snappen marktpartijen precies wat we vragen, want door het gebruik bij Rijkswaterstaat zijn ze eraan gewend. Dat scheelt iedereen veel tijd en energie.’
Werken aan Rijkswaterstaat-objecten
Ook voor de markt is het voordeel van CSIR 3.0 als standaardonderdeel van contracten groot. Marktpartijen die Rijkswaterstaat bedienen kunnen op dezelfde manier en zonder extra kosten de waterschappen, gemeenten en provincies bedienen. Zoals Vialis, dochteronderneming van VolkerWessels. Marco de Jong is Manager Ontwerp bij Vialis en sinds het begin betrokken bij CSIR. ‘Al in 2013 hebben Techniek Nederland en Rijkswaterstaat besloten om als klant en leverancier cybersecurity gezamenlijk aan te pakken. We besloten heel transparant naar elkaar te zijn en we lossen problemen echt samen op.’
Inmiddels weten Marco de Jong en Turabi Yildirim elkaar goed te vinden. De Jong: ‘Wij weten wat Rijkswaterstaat wil. We overleggen direct met Turabi of met een teamlid. Zo zijn we momenteel bezig met de securitymaatregelen rond een object van Rijkswaterstaat waar veel eisen aan zitten. Voor ons als aannemer is het moeilijk die allemaal in te vullen. Rijkswaterstaat helpt ons daarbij. Samen met hen kijken onze mensen hoe ze de richtlijnen moeten interpreteren. Die samenwerking verloopt heel goed.’ Vialis speelt zelf ook in op de ontwikkelingen. ‘We willen de toegang tot het hoofdkantoor ook gaan inrichten volgens de richtlijnen van de overheid. Je moet blijven investeren. Je kunt de ontwikkelingen niet afwachten. Daarvoor is het onderwerp te precair.’