Norm zorgt voor veiligheid, duidelijkheid en overzicht

08-09-2020 Het hoogheemraadschap van Rijnland is het eerste waterschap in Nederland dat IEC 62443 ‘Cyber Security for Industrial Automation and Control Systems’ is gecertificeerd. Het is de internationale standaard voor cybersecurity binnen de operationele technologie. De beveiliging geldt voor de procesautomatisering van de waterzuivering en het watertransport.

“Naast veiligheid geeft de norm ook een beter inzicht in je organisatie en kun je veranderingen sneller doorvoeren”, zegt Hans Smit. Hij is adviseur Informatiebeveiliging Procesautomatisering bij hoogheemraadschap Rijnland en tevens lid van het Industrieel Platform Cyber Security (IPCS).


“En daarnaast zorgt het voor veiligheid, duidelijkheid en overzicht.” Rijnland begon in 2014 al met de vernieuwing van de procesautomatisering voor afvalwaterzuiveringsinstallaties en afvalwatertransportgemalen. De hardware werd vervangen en tevens werd besloten om een gestandaardiseerde softwarebibliotheek te ontwikkelen en een software-generator te bouwen voor de gemalen. Voor de besturing op afstand richtte de organisatie een centrale proceskamer in op het hoofdkantoor in Leiden en introduceerde men een nieuwe SCADA die centraal en lokaal bedienen mogelijk maakt.

De certificering geldt voor twee voorbeeldlocaties, die net als alle andere ruim honderd zijn gebouwd volgens de SOR (Standaard Ontwerp Richtlijn). “Digitalisering en centralisering van de primaire processen heeft veel voordelen, maar er zijn ook nadelen”, aldus Smit. “Je zit met uitval van hardware, maar ook met cyberrisico’s, waar gelijktijdig meer locaties mee te maken kunnen hebben.”

Putdeksels
Bij een omvangrijk proces als het conformeren aan de internationale standaard voor cybersecurity binnen de operationele technologie, IEC 62443, komt het een en ander kijken. “Bij deze norm word je langs dezelfde meetlat gelegd als andere industrieën. Dat heeft zo zijn voordelen, want binnen andere industrieën, neem de petrochemie, zijn ze al veel verder. Het begint met de procesautomatisering, maar de norm eindigt met een securitylevel. Het is een heel uitgebreide check waarbij auditors van TÜV Nord en Hudson Cybertec zijn betrokken. Het gaat om 80 tot 120 checks. Toegangscontrole, sleutelbeheer, maar ook: ‘Zijn er controles op hoe je je back-ups hebt georganiseerd?’ en: ‘Zijn je handleidingen kloppend en up-to-date?’.

Ook wordt gekeken of je hebt gezorgd voor een standaardisatie van bijvoorbeeld je routers en switches. Figuurlijk iedere putdeksel wordt opgetild”, zegt Smit, die tijdens de audit ook nog wat verbeterpunten kreeg aangereikt. “Bij het inloggen in het systeem ontbrak een pop-up scherm met de gebruikelijk standaardtekst over notificatie en onder andere de waarschuwing dat je gestraft wordt bij oneigenlijk gebruik. Dat soort puntjes verhelpen we dan meteen.”

Veiligheid voorop
Het binnenhalen van deze standaard vraagt dus de nodige inspanning voor een organisatie. Maar wat levert het op? “We willen een moderne en betrouwbare overheid zijn. Daarbij past een efficiënte organisatie voor zowel de buitenwereld als voor onszelf. Wanneer wij puntsgewijs alle onderdelen doorlopen van onze bedrijfsprocessen, willen we niets over het hoofd zien. Deze standaardisatie helpt daarbij en bovendien wordt het eenvoudiger om wijzigingen door te voeren. De standaard zegt waaraan je moet voldoen. Daar heb je je aan te houden.”

Meetlat
Om een certificering IEC 62443 door te voeren, is het van belang dat de hele afdeling overtuigd is van het nut ervan. Smit is afkomstig uit de informatietechnologie en dus enigszins een vreemde eend in de bijt. “Het begint met het management dat er achter moet staan, maar ook van de rest van het bedrijf moet je commitment hebben. Veranderingen kun je alleen doorvoeren als je goed en begrijpelijk uitlegt wat de meerwaarde ervan is.

Ik geef binnen onze afdeling nu gevraagd en ongevraagd advies en bij veranderingen en verbeteringen in onze diensten word ik volledig geïnformeerd. Iedereen binnen het bedrijf weet dat cybersecurity belangrijk is, maar niemand weet hoe hoog de lat moet komen te liggen. Ik zie het als mijn missie om dat uit te leggen.”

Bewustwording
Het is niet moeilijk om aan te geven waarom cyber security belangrijk is. Maar waarom zijn er dan nog zo weinig bedrijven die er serieus werk van maken? Smit: “Ik vermoed dat het te maken heeft met een stukje bewustwording. In de praktijk blijkt dat het voor heel veel bedrijven lastig is om te anticiperen op veiligheid, want het gevaar is onzichtbaar en je weet niet van welke kant het komt. Ik vergelijk het wel eens met een kudde Afrikaanse gnoes.

Als je voorop loopt, loop je risico, maar ook als je achteraan loopt. Middenin denk je dat je veilig bent. Totdat je bij de rivier komt en je moet oversteken. Opeens ben je dan allemaal even kwetsbaar. Als bedrijf moet je allemaal af en toe over die rivier en dat is het moment dat de hacker je eruit pikt, omdat hij ziet dat je net iets minder goed zwemt.”

Eerder door u bekeken