In verband met corona zijn we bij RegioIngenieur nog steeds verbonden aan de online leeromgeving, maar dat mag de pret niet drukken want om 13.00 op 13 april druppelen virtueel de eerste deelnemers binnen bij het Webinar over Cybersecurity. Dit Webinar is alweer de laatste in de reeks van Digitalisering: hiervoor kwam 5G, gemeentelijke assets in de praktijk en de ondergrond aan bod.
Koos van der Spek, Management Consultant Cybersecurity bij Verdonck, Klooster & Associates (VKA) en veel ervaring (bij onder meer Rijkswaterstaat), bijt het spits af binnen het cybersecurity domein. Koos gaat in op best practices van cybersecurity binnen de Industriële Automatisering (ofwel Operational Technology OT). Denk hierbij aan beweegbare bruggen, tunnels, rioolgemalen en verkeersmanagementsystemen. Koos licht in zijn visie toe dat het cybersecurity risico steeds meer toeneemt. Niet alleen door een steeds verdergaande integratie van OT met IT systemen, maar ook vanuit ontwikkelingen als artificial intelligence tot ‘Augmented Humanity’: het aansturen van het menselijk brein met signalen in 2035.
Of dit onderwerp actueel is? En of! Koos laat aan de hand van verschillende krantenkoppen de dreigingen en kwetsbaarheden zien. Ook door menselijke fouten zoals opzettelijke storing en autorisatie dreigen dingen mis te gaan. Zo zijn er bijvoorbeeld Russische hackers geweest die het systeem van een Amerikaans pompgemaal wisten over te nemen. Als doelbewuste actie of als hobby: dreigingen kunnen komen vanuit verschillende hoeken; van criminelen tot nette hackers (hacktivisten), van financieel gewin tot nieuwsgierigheid.
De complexiteit van cybersecurity neemt toe: gebouwbeheersysteem, ventilatie en andere systemen waren vroeger allemaal gescheiden en vormen steeds vaker één geheel. Maatregelen moeten daarom worden genomen om het de hacker niet makkelijk te maken om van het ene systeem in het andere over te stappen.
Vervolgens werd ingegaan op de mogelijkheden en methodiek om de inventarisatie van de bestaande beveiligingsmaatregelen uit te voeren en te bepalen welke aanvullende maatregelen moeten worden uitgevoerd om te komen tot het gewenste beveiligingsniveau. Aan de hand van een actieplan van 15 stappen leg je, aldus Koos, zo de drempel zo hoog mogelijk om het de hackers lastiger te maken jouw industriële systeem binnen te dringen.
Na een korte pauze neem Rob Joosten het stokje over. Rob is projectleider en adviseur installaties binnen het ingenieursbureau van gemeente Rotterdam en heeft veel ervaring met rioolgemalen, beweegbare bruggen, toezicht- en verkeerscamera’s en cybersecurity.
Aan de hand van het eerdergenoemde actieplan van 15 stappen neemt Rob de deelnemers mee door de huidige stand van zaken van Rotterdam waarin hij zijn bevindingen bespreekt en toelicht waar nog aan gewerkt moet worden. Hij benadrukt dat Rotterdam er in het algemeen goed voor staat op het gebied van crisismanagement waar escalatie van cyber security incidenten in meegenomen kan worden.
Met de vele objecten in combinatie met potentiële dreigingen in de stad Rotterdam bespreekt Rob de kwetsbaarheid van objecten aan de hand van een classificatie. Is het een probleem dat een brug er 1 uur uitligt? Dan behoort deze tot het hoogste risico. Is een week uitval van een object of systeem niet problematisch? Dan heeft dat object een minder hoog bedrijfsrisico.
De inventarisatie van al deze objecten is bijna afgerond, aldus Rob, en de gemeente staat nu op de drempel om maateregelen te gaan uitvoeren. Daarvoor is organisatorische inbedding zeer belangrijk. Gelukkig leeft het onderwerp al goed binnen de organisatie wat deze inbedding gemakkelijker maakt. Wel is het belangrijk om extra ‘awareness’ te creëren om cybersecurity integraal beet te pakken onder de medewerkers en bij de concerndirectie, zodat op den duur iedereen begrip krijgt voor fysieke beveiliging. Niet alleen intern maar ook externe afstemming met ketenpartners zoals waterschappen is eveneens een belangrijk aandachtspunt waar de gemeente haar stappen in zet.
Hoe vertaal je nou verschillende maatregelen in een actieplan? Rob benadrukt de uitbreiding van infra installaties met overige systemen en IoT en schetst het belang van het in kaart brengen van de urgentie, effect op impact, quick wins en natuurlijk de bijbehorende kosten en planning.
Uiteindelijk moet het onderwerp als een architectuurgedachte binnen de organisatie landen en is het daarom waardevol de logische aansluiting te vinden bij bestaande functies en taken. “Ontwikkel niet al te veel nieuwe processen”, benadrukt Rob.
Rob sluit af met een blik in de toekomst waar beveiliging geen eenmalige actie is, maar waar periodiek evalueren ‘key’ is. Waarom? Alleen zo speel je in op wijziging in operationele behoeften en prioriteit, bepaal je nieuwe bedreigingen en kwetsbaarheden en kun je bepalen of maatregelen nog steeds effectief zijn.
Zie ook bijgevoegd de presentaties van Koos van der Spek en Rob Joosten