Het Waterschap Drents Overijsselse Delta wordt steeds meer een informatie gestuurde organisatie. De noodzaak om waardevolle informatie te beveiligen neemt daardoor toe. Dat vraagt meer bewustzijn van de medewerkers. Rob de Lange (CISO) vertelt waarom is gekozen voor bewustwordingsprogramma SAFE om deze cultuurverandering te realiseren.
Het Waterschap Drents Overijsselse Delta (WDOD) is een op 1 januari 2016 gevormd waterschap in de provincies Overijssel en Drenthe. Het waterschap is ontstaan door een fusie van de waterschappen Reest en Wieden (in Drenthe en Overijssel) en Groot Salland (in Overijssel).
Wat is de hoofdtaak van het WDOD?
“Het waterschap zorgt in het noorden van Nederland voor een goede bescherming tegen hoog water, voor een goed functionerend regionaal watersysteem en voor het zuiveren van afvalwater.”
Je bent CISO bij het waterschap. Wat houdt deze functie in?
“Ik ben informatieadviseur met de rol van Corporate Information Security Officer (CISO). Ik zorg ervoor dat het waterschap de veiligheid van informatie geborgd heeft, gecommitteerd aan de normen zoals de Baseline Informatiebeveiliging Overheid (BIO).”
Rob de Lange: “We kijken niet alleen naar awareness, maar met name naar het gedrag van de medewerkers.”
Welke normenkaders voor informatiebeveiliging gelden er voor de waterschappen?
“We hebben als waterschap uiteraard te maken met privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Verder hanteren wij vanuit onze waterschapstaak ook een normenkader. Voorheen was dit de Baseline Informatiebeveiliging Waterschappen (BIWA). Deze is sinds dit jaar vervangen door de BIO.”
Wat gaat er veranderen met de BIO?
“De BIO is ontwikkeld door de Rijksoverheid, gemeentes en waterschappen, en bestuurlijk door elke overheidsinstantie bekrachtigd. Een normenkader is belangrijk voor het verkrijgen van een volwassen informatiebeveiligingsniveau binnen onze vitale sector. De verantwoordelijkheid zit in de keten. Een gezamenlijke norm helpt daarbij. Uiteraard tref je binnen je eigen waterschap de maatregelen die nodig zijn. In de BIO zijn drie beveiligingsniveaus gedefinieerd, waarbij de waterschapsector niveau 2 als basisniveau heeft geadopteerd. Aan de hand van een risicoanalyse per project kan dit beveiligingsniveau worden opgeschaald waar nodig.”
Hoe is de samenwerking met andere waterschappen?
“Alle waterschappen werken actief samen. Er is een regulier overleg waar de waterschappen bij elkaar komen om de uitdagingen en mogelijke oplossingen en werkwijzen te bespreken. Daarnaast is er het Information Sharing and Analysis Centre (ISAC) Keren & Beheren (K&B) waar informatiedeling en duiding plaatsvindt op strategisch/tactisch niveau van cybersecurity. Deze ISAC is opgezet vanwege het vitale karakter van de sector. De verantwoordelijkheid zit in de keten. Niet ieder voor zich.”
Speelt het Waterschapshuis bij de samenwerking met andere waterschappen een belangrijke rol?
“Jazeker. Het Waterschapshuis is de regie- en uitvoeringsorganisatie voor de 21 waterschappen op het gebied van informatie- en communicatietechnologie en bevordert de samenwerking tussen de waterschappen en de andere overheden die actief zijn in de watersector. Vanuit het Waterschapshuis ben ik gedetacheerd om het CERT-WM te runnen. Dit zogenaamde Computer Emergency Response Team Watermanagement draait sinds 2017 en is gehuisvest in het Security Operation Center (SOC) van Rijkswaterstaat. Hiermee hebben we als het ware een ‘digitale brandweereenheid’ gecreëerd.”
Het bewust handelen is een grotere uitdaging voor de mens
Wat zijn de uitdagingen op het gebied van digitale beveiliging?
“Tot op heden heeft de markt veelal gefocust op techniek, maar de menselijke kant van informatiebeveiliging verdient evenveel aandacht. Gelukkig zien we nu die omslag. We zijn steeds meer een informatiegestuurde organisatie en is er dus de noodzaak om deze waardevolle informatie te beveiligen. Daarbij hebben we ook te maken met een digitale transformatie. Dit betekent niet alleen een verandering in de bedrijfsvoering, maar ook qua basisvaardigheden van de mensen. Deze kennis en vaardigheden moeten geborgd worden. Elke medewerker moet zich bewust zijn van hetgeen waarmee hij/zij bezig is en welke beveiligingsrisico’s dit mogelijk met zich meebrengt. En belangrijker: hij/zij moet hiernaar handelen. Bewustwording is de eerste stap, maar het bewust handelen is een grotere uitdaging voor de mens.”
Wat doe je om de risico’s onder controle te houden?
“We hebben het bij het waterschap over zo’n 625 FTE met allerlei verschillende disciplines, waarvan we houding en gedrag willen beïnvloeden. Dan heb je het over psychologie en dat is niet echt onderdeel van mijn vakgebied. Om deze ‘cultuurverandering’ tot stand te brengen, hebben we dan ook externe expertise nodig. We zijn daarom gestart met het SAFE programma van Secura. Het doel van dit programma is om een leerproces op gang te brengen. Gedurende het programma worden er verschillende metingen gehouden. Allereerst een nulmeting om het bewustzijnsniveau te peilen en daarna de zogeheten delta-metingen om te zien of en in hoeverre het gedrag veranderd is. We kijken dus niet alleen naar awareness, maar met name naar het gedrag van de medewerkers. Zodra de medewerker bewust bekwaam is, is het eenvoudiger om deze mee te krijgen en kun je technische maatregelen beter implementeren en borgen.”
Zijn er ontwikkelingen waarover je je zorgen maakt?
“Binnen de kantoorautomatisering is er de afgelopen jaren veel aandacht besteed aan de integriteit van gegevens. Maar tot op heden zijn de ICS/SCADA-systemen qua informatieveiligheid vaak buiten scope gebleven. Bij ICS/SCADA gaat het namelijk vooral om de continuïteit van de bedrijfsvoering, waarbij de gedachte is dat het systeem moet werken en er vooral geen risico’s moeten worden gelopen door het uitvoeren van bijvoorbeeld een test. Dit soort systemen hebben vaak een verwachte levensduur van zo’n 30 jaar en krijgen na 15 jaar een eerste revisie. Hier hebben ISC/SCADA-leveranciers nog een flinke inhaalslag te maken. We zullen met de hele industrie toe moeten werken naar een safety by design cultuur. Daar ligt een uitdaging.”
Maayke van Remmen. Maayke werkt bij Secura
Waterschap WDOD en Secura werken sinds 2012 samen. Eerst vanuit het waterschap Reest & Wieden en na de fusie in 2016 als Waterschap Drents Overijsselse Delta. In 2018 is de handtekening gezet voor het SAFE programma van Secura: Security Awareness For Everyone. Het doel van dit programma is om de beveiligingscultuur van het waterschap in de basis bij alle 650 medewerkers te versterken.
SAFE is een 2-jarig programma met aandacht voor de mens, processen en technologie. Vanuit een holistische benadering is er continue aandacht voor informatiebeveiliging. SAFE bestaat uit communicatie, toetsing en educatie en heeft een divers programma bestaande uit o.a. social engineering, phishing, medewerkeronderzoeken, roadshows, demonstraties, klassikale training en eLearning. De SAFE-benadering stelt organisaties in staat om medewerkers te toetsen en op te leiden, het informatiebeveiligingsbewustzijn op verschillende onderdelen te meten en te vergroten. Dit leidt ertoe dat het volwassenheidsniveau van informatiebeveiliging naar een hoger niveau zal gaan en daarmee de organisatie weerbaarder wordt tegen aanvallen van buitenaf.
