Wereldwijde cyberaanvallen als WannaCry roepen de vraag op: wat doen Nederlandse drinkwaterbedrijven en waterschappen om zichzelf tegen ICT-inbreuken te beschermen? Veel, blijkt uit reacties van Vewin en Het Waterschapshuis.

De drinkwatervoorziening is ingedeeld in de hoogste categorie van de vitale infrastructuur, omdat verstoring of uitval van dit proces zeer ernstige gevolgen kan hebben. Drinkwaterbedrijven zijn verplicht om een leveringsplan op te stellen, met daarin een analyse van dreigingen en risico’s. Hierbij is veel aandacht voor cyberveiligheid, zegt Sabine Gielens, stuurgroepsecretaris Beveiliging en Crisismanagement bij de Vereniging van waterbedrijven in Nederland (Vewin). “We werken op dit gebied nauw samen met het Nationaal Cyber Security Centrum. De drinkwatersector heeft ook haar eigen Information Sharing and Analysis Centre, afgekort ISAC.”

Aan het Water-ISAC neemt het Nationaal Cyber Security Centrum (NCSC) structureel deel, vertelt Gielens. “Drinkwaterbedrijven en het NCSC wisselen in een vertrouwelijke omgeving informatie en ervaringen uit. Ook kunnen zij elkaar bijstand verlenen bij problemen. Verder informeert het NCSC de bedrijven over kwetsbaarheden en geeft advies.” Op concrete risico’s kan Gielens niet ingaan. “In het belang van de veiligheid doen wij hierover geen mededelingen.”

Ook een deel van de primaire en regionale waterkeringen worden als topprioriteit in het kader van de nationale veiligheid beschouwd. Voor het gros van deze keringen is Rijkswaterstaat verantwoordelijk, voor de rest de waterschappen. “Cyberveiligheid staat bij waterschappen zonder meer hoog op de agenda”, zegt Albert van As, coördinator van het landelijk programma Informatiebeveiliging bij Het Waterschapshuis. “De waterschappen werken structureel samen met Rijkswaterstaat in het CERT WM, het Computer Emergency Response Team Watermanagement. Ook hebben de waterschappen en Rijkswaterstaat een eigen ISAC. Hierin wisselen ze met ondersteuning van het NCSC actief kennis en ervaring uit.”

Bij een cyberaanval stuurt het NCSC aan alle bedrijven en overheden in de vitale infrastructuur een zogeheten high impact, high risk-melding. Gielens: “Drinkwaterbedrijven kijken dan zelf of en zo ja, in hoeverre deze melding voor hen van toepassing is. Als het nodig is, nemen ze maatregelen.” De waterschappen ontvangen de melding over een cyberaanval via het CERT WM, zegt Van As. “Het team maakt gelijk een analyse van de mogelijke risico’s en heeft vrijwel onmiddellijk een advies voor ieder waterschap afzonderlijk paraat. Bij WannaCry duurde het nog geen half uur. Dat kan zo snel, omdat alle waterschappen een foto van hun IT-landschap hebben ingeleverd.”

De drinkwatersector heeft afgesproken om zich vóór de zomer aan te sluiten bij het Nationaal Detectie Netwerk van het NCSC. “Binnen het netwerk wisselen het Rijk en vitale aanbieders real-time informatie uit over digitale dreigingen en aanvallen”, zegt Gielens. “Zo is een incident bij de één, een tijdige waarschuwing voor de ander.” Voor waterschappen is aansluiting volgens Van As nog een stip op de horizon. “Bij het detectienetwerk wordt op systeemniveau samengewerkt. Dat gaat een stapje verder dan de informatie-uitwisseling tussen NCSC en CERT WM, al werkt dit ook goed.”

In Vewin-verband hebben de drinkwaterbedrijven de afgelopen jaren diverse producten ontwikkeld die de weerbaarheid versterken, aldus Gielens. “Er zijn onder meer draaiboeken en scenario’s opgesteld die gericht zijn op oefeningen met verstoring van de procesautomatisering.” Zij wijst nog op de Europese richtlijn Netwerk- en Informatiebeveiliging, die op het ogenblik in Nederlandse wetgeving wordt omgezet. “Aanbieders van essentiële diensten hebben dan niet alleen een meldplicht voor ICT-inbreuken met ernstige gevolgen voor zo’n dienst, maar ook een aantoonbare zorgplicht. De drinkwaterbedrijven pakken de invulling en uitwerking samen op.”

De waterschappen werken samen in het sectorbrede programma Informatiebeveiliging. Van As: “Hun ‘baseline’ is afgeleid van ISO 27001, de internationale norm voor informatiebeveiliging. Deze norm is de standaard voor meer baselines binnen de Nederlandse overheid. De waterschappen hebben allerlei beschermingsmaatregelen uitgewerkt en goede praktijkvoorbeelden gedeeld, zowel op beleids- als op uitvoerend niveau. Zo hebben zij gezamenlijk richtlijnen opgesteld voor het uitvoeren van een risicoanalyse en het maken van beveiligingsbeleid. Ook wordt gewerkt aan een handreiking voor informatiebeveiliging in de planning- en control-cyclus.”

Inmiddels zijn bijna alle punten van het programma gerealiseerd, vertelt Van As. “De waterschappen zijn nu zover dat ze in het najaar een audit van hun eigen ICT-beveiliging door een onafhankelijke partij willen laten uitvoeren. Al zijn zij natuurlijk nooit klaar, want de ontwikkelingen bij cyberveiligheid staan niet stil.”

Voor het reageren op onze artikelen hebben we enkele richtlijnen. Klik hier om deze te bekijken.

Het kan soms even duren voor je reactie online komt. We controleren ze namelijk eerst even.

Typ uw reactie hier...
Cancel
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Interessant artikel? Laat uw reactie achter.

(advertentie)

Laatste reacties op onze artikelen

Het belangrijkste staat onderaan: toestaan van kunstmestvervangers op basis van dierlijke mest. De milieu-impact kan nauwelijks worden overschat: er is minder kunstmest nodig (veel energie nodig, dus veel CO2) en via de erts komen er sporen van giftige zware metalen mee in de bodem. En er ontstaat een toepassing voor eindproducten van mestverwerking. Zo kun je regionaal de kringloop beter sluiten.
Er moet veel gebeuren, niet alleen grenzen markeren, maar actief het waterbeheer in het buitengebied naar de nieuwe inzichten herstellen. Daarbij moet ieder waterschap ruimte vrijhouden om initatieven vanuit het veld actief op te pakken en niet in een stilzwijgende welwillendheid laten sneuvelen.
Waarom niet een waterfabriek bouwen van zout naar zoet, zo een als in Israël gr marco
Weten waterschappen wel waar hun grenzen zijn?
De legger is het kroonjuweel van het waterschap. Zoals een gemeente de bebouwde kom markeert met een bord, zo staan de waterschapsgrenzen beschreven in de legger. Dit is niet een eenvoudige grens met het buur-waterschap, maar een complex stelsel van waterstaatswerken met de bijbehodende invloedszoneringen. Alleen binnen die zoneringen heeft het (klassieke) waterschap zeggenschap (klassiek: gericht op waterbeheer (watergangen) en waterveiligheid (dijken) ex waterzuivering).
Alles begint en houdt op bij de invloedszones - de grenzen - van het waterschap. En laat het nou toch heel eenvoudig zijn die grenzen kleiner te maken (dus de invloedszones in nieuwe leggers te verkleinen) maar zo goed als onmogelijk om deze weer groter te maken. Het ene is n weggevertje en het andere is landje pik - dus betalen.
Dus voor een strategische herorientatie van de waterschappen is een strategische herwaardering van het kroonjuweel - de waterschapslegger en het gehele bijbehorende invloeds-spel van essentieel belang.
De waterschappen zijn de afgelopen jaren ver in de marge gedrukt want invloedszones met gemeenten, het rijk en andere belanghebbenden zijn aan het verschuiven. (En waar is de wet PUBERR gebleven?)
Dus eerst herwaarderen van waterschapsgrenzen, dan weten waar de grenzen zijn en vervolgens deze met een (dijk)leger gaan verdedigen ! ;-)
https://sjfsupport.com/mmi.html
Zijn waterschappen nog wel van deze tijd?
Interessant artikel van Stephan Kuks over de toekomst van de waterschappen. Zelf vraag ik mij af of de waterschappen wel in staat zijn om antwoord te geven op de grote maatschappelijke vragen, die ook hij noemt. Hij zegt: "Nu wordt het tijd dat waterschappen duidelijk maken dat er vanuit water en bodem grenzen zijn, en dat de ruimtelijke ontwikkelingsmogelijkheden van Nederland hierop moeten worden aangepast.” Dat lijkt op het oog een logische uitspraak, maar de grote vraag is of het huidige waterschap deze vraag wel inhoud kan geven. En niet vanwege dat het waterschap niet deskundig zou zijn, maar meer vanwege de samenstelling van het bestuur en dat het mandaat op de genoemde onderwerpen zeer beperkt is.
En natuurlijk, prachtig als Kuks vindt dat de waterschappen duidelijk stelling moeten nemen in het maatschappelijk debat over de toekomst van ons land, maar welke stelling dan? Het belang van de boeren? Het belang van de natuur? Het belang van woningbouw? Deze discussie hoort in eerste instantie thuis op het allerhoogste politieke niveau. Daar heeft men het de afgelopen decennia lelijk laten liggen, maar dat betekent niet dat nu het waterschap aan bod is. En natuurlijk voor het waterbeheer zijn de waterschappen de ogen en de oren van de samenleving. De waterschappen zijn bij uitstek degenen die van onderop knelpunten en ideeën kunnen aandragen om het beleid op provinciaal en nationaal niveau effectief vorm te geven. Maar ik moet er niet aan denken dat de waterschappen dat in die breedheid zelf zouden moeten gaan oppakken.
En om dan ook maar tegelijk tegen een heilig huis aan te schoppen, we zouden ons zelfs kunnen afvragen of waterschappen en het functioneren ervan nog wel van deze tijd is. Zeker als het gaat om ruimtelijke ordening en klimaat heeften provinciaal bestuur veel meer mandaat en dus veel meer slagkracht. Wat mij betreft zou het waterbeheer zo overgeheveld kunnen worden naar de provincie en zouden waterschappen omgevormd kunnen worden tot uitvoeringsorganisaties die het dagelijks waterbeheer doen. De RWZI’s zouden nutsbedrijf kunnen worden. Zeker zij zouden daarmee grote stappen kunnen maken in de efficiency van de waterzuivering.
Wat bedoel ik daarmee? In de afgelopen 10 tot 20 jaar zijn de RWZI ’s zich steeds meer gaan toeleggen op terugwinning van grondstoffen(fosfaat, cellulose, biogas, etc). Maar een grote doorbaak met substantieel resultaat heb ik tot nu toe niet echt gezien, misschien met uitzondering van een aantal initiatieven, zoals Waterstromen. Het succes van een goede afzet van reststromen wordt bepaald door kwantiteit en kwaliteit.
Eind vorige eeuw werd in de autobranche de organisatie Autorecycling Nederland opgericht. Ik was daarbij betrokken. Doel was om een hoger hergebruik te realiseren bij demontage van auto’s. Voor het ophalen een paar rubber strips per bedrijf was namelijk nooit veel belangstelling vanwege de geringe baten. Maar als je als verwerkingsbedrijf bij alle autodemontagebedrijven rubber kan ophalen, wordt het ineens interessant. Ook voor het autodemontage bedrijf, sommig restafval kreeg ineens een positieve geldwaarde.
Dat kan ook zomaar voor de RWZI’s gelden. Als ze met z’n allen gaan samenwerken en op landelijk niveau collectief contracten gaan afsluiten met afnemers dan kan dat voor beide partijen interessant worden. Bijvoorbeeld voor struviet. Zeker nu de totale gevolgen van kunstmest steeds meer onder het vergrootglas komen, zou struviet een geweldige vervanger kunnen zijn.
En een centrale organisatie, zoals ARN bij de autosector heeft nog meer voordelen. Je kunt een veel directere samenwerking met partijen als Wetsus en KWR tot stand brengen, waarbij uit een deel van de opbrengsten van de restproducten onderzoek gefinancierd kan worden om nog effectiever en efficiënter te worden met de terugwinning. Je zou dan ook kunnen kijken in hoeverre je samenwerkingen zou kunnen aangaan met bedrijven, die nu hun afvalwater moeten voorzuiveren. Bij Waterstromen werd zo’n samenwerking al tot stand gebracht met een voedselproducent en een leerlooier.
En als het echt succesvol zou worden, zou het zelfs kunnen leiden tot lagere belastingen(verontreinigingsheffing). Wat mij betreft is er wel één belangrijke voorwaarde aan verbonden, namelijk dat het zuiveren van communaal afvalwater altijd een publieke aangelegenheid blijft.

Zelf reageren? Dat kan onder alle artikelen met een Mijn H2O/KNW account.

Aanmelden voor H2O Nieuws
Ontvang twee keer per week het laatste waternieuws in je mailbox!