Cybercriminelen hebben het dagelijks gemunt op de waterschappen. Gelukkig (tot nu toe) zonder succes. Want je moet er niet aan denken: een polder die onder water loopt of een niet werkende stormvloedkering. Daarom heeft cyberveiligheid de hoogste prioriteit bij Piet Sennema, de secretaris-directeur van waterschap Aa en Maas. “We moeten er bovenop zitten.”
Potentieel doelwit
Waterschappen krijgen te maken met honderden cyberaanvallen per dag. En dat neemt volgens de secretaris-directeur alleen nog maar toe: “Het lijken er steeds meer te worden. Zo kregen we gisteravond tientallen phishingmails van mysterieuze e-mailadressen uit Azië. En hackers doen vele inlogpogingen om wachtwoorden te gokken. Helaas blijven die cybercriminelen zich ontwikkelen dus blijf je in een soort kat-en-muisspel zitten. Voor ons is het van groot belang ze altijd een stap voor te blijven. Als de zuivering bijvoorbeeld wordt gehackt, drijven de drollen door de straten. En ja, dan ben je te laat.”
Scan van de systemen
Met vergaande beveiligingsmaatregelen en de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO) werken de waterschappen aan een goede bescherming. Sennema: “Natuurlijk beschikken we over een digitaal pantser maar ook het CERT-WM (Computer Emergency Response Team Water Management) en Rijkswaterstaat scant onze systemen en waarschuwt bij gevaar. Verder laten wij ons jaarlijks door ethisch hackers aanvallen. Er zijn altijd verbeterpunten te vinden maar grote problemen zijn gelukkig nog niet aangetroffen. Dit najaar wordt ook een penetratietest uitgevoerd die potentiële zwakheden opspoort.”
Kennis uitwisselen
Van een kloof tussen het bestuur en de ICT-afdeling hier geen sprake. De secretaris-directeur van het Brabantse waterschap heeft dagelijks contact. En ook de andere overheidsorganisaties weten elkaar te vinden. Sennema: “Kennis delen en informatie uitwisselen is cruciaal bij cyberveiligheid. Als wij te maken krijgen met een specifiek probleem, laten we dat iedereen weten om een sneeuwbaleffect te creëren. Ik ben voor de verschillende waterschappen ook het aanspreekpunt op het gebied van informatieveiligheid en merk dat mijn collega’s het onderwerp hoog op de agenda hebben staan. Een paar jaar geleden was dat wel anders. We moeten loskomen van het idee dat de watersector problemen handmatig kan oplossen. Dus zijn we aan het oefenen met crisissituaties. Als het hard regent en snel 400 stuwen moeten worden dichtgedraaid, wat is dan het plan. En wat als de stroom wegvalt? “
Awareness
De secretaris-directeur heeft Jan Leijten, het hoofd van zijn ICT-afdeling naar het grootste veiligheidsprobleem gevraagd: “Van Jan kan awareness niet genoeg aandacht krijgen. Alles wat op twee benen rondloopt is een mogelijk gevaar dus krijgen onze 500 medewerkers regelmatig een digitale veiligheidscursus. We realiseren ons dat een fout snel is gemaakt want die phishingmails worden steeds beter. En detecteert ons systeem dat ze een te eenvoudig wachtwoord gebruiken, dan krijgen ze een melding om dit te veranderen. Om die aandacht niet te laten verslappen is er zelfs iemand in dienst die alleen maar met bewustwording bezig is. Door cursussen en maatregelen zoals tweestapsverificatie proberen we iedereen zo goed mogelijk te bewapenen.”
Meer aandacht
Dagelijks staan berichten in de media van succesvolle hackpogingen. Leermomenten voor Piet Sennema: “Ik loop met zulke krantenknipsels naar Jan en vraag of dat bij ons ook kan gebeuren. Wat kunnen wij van deze hack leren? Je ziet gewoon door wereldwijde gebeurtenissen dat cybersecurity meer aandacht verdient. En je moet vooral niet denken dat je onkwetsbaar bent. Voorkomen is beter dan genezen dus het is goed om met elkaar te kijken hoe je de veiligheid kan verhogen. De Overheidsbrede Cyberoefening 2021 is een goede manier om dit te doen.”
Overheidsbrede Cyberoefening
Deelname aan de Overheidsbrede Cyberoefening is gratis en bedoeld voor bestuurders en overheidsprofessionals die te maken hebben met (cyber)veiligheid, ICT en crisisbeheersing. Dit jaar kunnen deelnemers vanuit het bedrijfsleven ook aansluiten. De oefening is opgezet aan de hand van een fictief scenario en gericht op business continuity. Deelnemers thuis reageren op een aantal dilemma’s die aan de crisistafel worden besproken en geven sturing aan de afhandeling van de crisis. Het scenario is na afloop van de oefening beschikbaar.
