Wereldwijde cyberaanvallen als WannaCry roepen de vraag op: wat doen Nederlandse drinkwaterbedrijven en waterschappen om zichzelf tegen ICT-inbreuken te beschermen? Veel, blijkt uit reacties van Vewin en Het Waterschapshuis.
De drinkwatervoorziening is ingedeeld in de hoogste categorie van de vitale infrastructuur, omdat verstoring of uitval van dit proces zeer ernstige gevolgen kan hebben. Drinkwaterbedrijven zijn verplicht om een leveringsplan op te stellen, met daarin een analyse van dreigingen en risico’s. Hierbij is veel aandacht voor cyberveiligheid, zegt Sabine Gielens, stuurgroepsecretaris Beveiliging en Crisismanagement bij de Vereniging van waterbedrijven in Nederland (Vewin). “We werken op dit gebied nauw samen met het Nationaal Cyber Security Centrum. De drinkwatersector heeft ook haar eigen Information Sharing and Analysis Centre, afgekort ISAC.”
Aan het Water-ISAC neemt het Nationaal Cyber Security Centrum (NCSC) structureel deel, vertelt Gielens. “Drinkwaterbedrijven en het NCSC wisselen in een vertrouwelijke omgeving informatie en ervaringen uit. Ook kunnen zij elkaar bijstand verlenen bij problemen. Verder informeert het NCSC de bedrijven over kwetsbaarheden en geeft advies.” Op concrete risico’s kan Gielens niet ingaan. “In het belang van de veiligheid doen wij hierover geen mededelingen.”
Ook een deel van de primaire en regionale waterkeringen worden als topprioriteit in het kader van de nationale veiligheid beschouwd. Voor het gros van deze keringen is Rijkswaterstaat verantwoordelijk, voor de rest de waterschappen. “Cyberveiligheid staat bij waterschappen zonder meer hoog op de agenda”, zegt Albert van As, coördinator van het landelijk programma Informatiebeveiliging bij Het Waterschapshuis. “De waterschappen werken structureel samen met Rijkswaterstaat in het CERT WM, het Computer Emergency Response Team Watermanagement. Ook hebben de waterschappen en Rijkswaterstaat een eigen ISAC. Hierin wisselen ze met ondersteuning van het NCSC actief kennis en ervaring uit.”
Bij een cyberaanval stuurt het NCSC aan alle bedrijven en overheden in de vitale infrastructuur een zogeheten high impact, high risk-melding. Gielens: “Drinkwaterbedrijven kijken dan zelf of en zo ja, in hoeverre deze melding voor hen van toepassing is. Als het nodig is, nemen ze maatregelen.” De waterschappen ontvangen de melding over een cyberaanval via het CERT WM, zegt Van As. “Het team maakt gelijk een analyse van de mogelijke risico’s en heeft vrijwel onmiddellijk een advies voor ieder waterschap afzonderlijk paraat. Bij WannaCry duurde het nog geen half uur. Dat kan zo snel, omdat alle waterschappen een foto van hun IT-landschap hebben ingeleverd.”
De drinkwatersector heeft afgesproken om zich vóór de zomer aan te sluiten bij het Nationaal Detectie Netwerk van het NCSC. “Binnen het netwerk wisselen het Rijk en vitale aanbieders real-time informatie uit over digitale dreigingen en aanvallen”, zegt Gielens. “Zo is een incident bij de één, een tijdige waarschuwing voor de ander.” Voor waterschappen is aansluiting volgens Van As nog een stip op de horizon. “Bij het detectienetwerk wordt op systeemniveau samengewerkt. Dat gaat een stapje verder dan de informatie-uitwisseling tussen NCSC en CERT WM, al werkt dit ook goed.”
In Vewin-verband hebben de drinkwaterbedrijven de afgelopen jaren diverse producten ontwikkeld die de weerbaarheid versterken, aldus Gielens. “Er zijn onder meer draaiboeken en scenario’s opgesteld die gericht zijn op oefeningen met verstoring van de procesautomatisering.” Zij wijst nog op de Europese richtlijn Netwerk- en Informatiebeveiliging, die op het ogenblik in Nederlandse wetgeving wordt omgezet. “Aanbieders van essentiële diensten hebben dan niet alleen een meldplicht voor ICT-inbreuken met ernstige gevolgen voor zo’n dienst, maar ook een aantoonbare zorgplicht. De drinkwaterbedrijven pakken de invulling en uitwerking samen op.”
De waterschappen werken samen in het sectorbrede programma Informatiebeveiliging. Van As: “Hun ‘baseline’ is afgeleid van ISO 27001, de internationale norm voor informatiebeveiliging. Deze norm is de standaard voor meer baselines binnen de Nederlandse overheid. De waterschappen hebben allerlei beschermingsmaatregelen uitgewerkt en goede praktijkvoorbeelden gedeeld, zowel op beleids- als op uitvoerend niveau. Zo hebben zij gezamenlijk richtlijnen opgesteld voor het uitvoeren van een risicoanalyse en het maken van beveiligingsbeleid. Ook wordt gewerkt aan een handreiking voor informatiebeveiliging in de planning- en control-cyclus.”
Inmiddels zijn bijna alle punten van het programma gerealiseerd, vertelt Van As. “De waterschappen zijn nu zover dat ze in het najaar een audit van hun eigen ICT-beveiliging door een onafhankelijke partij willen laten uitvoeren. Al zijn zij natuurlijk nooit klaar, want de ontwikkelingen bij cyberveiligheid staan niet stil.”