De N.V. Nederlandse Gasunie (Gasunie) zorgt ervoor dat de gasvoorziening door het Nederlandse landelijke transportnet veilig, ongestoord en zo duurzaam mogelijk gebeurt. Zodat iedereen altijd en overal over gas kan beschikken. Klaas van Houten, Operational Security Lead & ICT Security Architect bij de N.V. Nederlandse Gasunie, vertelt over zijn uitdagingen op het terrein van digitale veiligheid.
Maayke van Remmen
Gasunie is eigenaar van de landelijke infrastructuur voor grootschalig transport en opslag van gas in Nederland en Noord-Duitsland. Op dit moment gaat daar voornamelijk aardgas doorheen. Dit zal met de energietransitie steeds verder verschuiven naar duurzaam groen gas en waterstof. Daarnaast werkt Gasunie mee aan de aanleg en het beheer van netwerken voor warmte en CO2.
Wat houdt de functie van Operational Security Lead bij Gasunie in?
“Ik houd me bezig met de dagelijkse securityzaken, zoals het afhandelen van security-incidenten, beantwoorden van ICT-securityvragen, begeleiden van security-onderzoeken en de afhandeling van change requests. Daarnaast vervul ik de rol van ICT Security Architect bij Gasunie. Dit behelst het reviewen van designs en het adviseren van verschillende delivery managers met betrekking tot vernieuwing, vertalen van functionele wensen in oplossingsrichtingen en het opstellen van een jaarlijkse roadmap.”
Hoe is de informatiebeveiliging opgezet in de organisatie?
De ICT Security Manager stelt het ICT-securitybeleid en de ICT beveiligingsmaatregelen op. Het Operational Security team is verantwoordelijk voor de dagelijkse gang van zaken, behandelt ICT Security incidenten, beoordeelt wijzigingen en adviseert de organisatie. Uiteindelijk zijn de team managers van de verschillende supportgroepen verantwoordelijk voor het toepassen van de juiste ICT beveiligingsmaatregelen om beschikbaarheid, integriteit en vertrouwelijkheid volgens afspraak te borgen. Binnen de verschillende supportgroepen hebben een aantal medewerkers ICT security als aandachtsgebied. De medewerkers fungeren als aanspreekpunt van de supportgroep en het Operational Security team.”
Wat zijn de uitdagingen op het gebied van digitale veiligheid?
“De grootste uitdaging is het balanceren van ICT security enerzijds en de beschikbaarheid van het gastransportnet anderzijds. Dit geldt vooral voor security patching, wat bij ons door middel van een standaardproces wordt doorgevoerd. Echter, een critical patch trekt zich niets aan van een standaardproces. Om dit onder controle te houden, voeren we met regelmaat risico-analyses uit. Op basis van deze analyse bepalen we samen met de verschillende supportgroepen per omgeving wat er gedaan moet worden om het risico te mitigeren tot een aanvaardbaar niveau. Daarbij hebben óók wij te maken met de digitale transformatie.
De uitdaging hierbij is om alle medewerkers secure aware te krijgen en te houden
De uitdaging hierbij is om alle medewerkers secure aware te krijgen en te houden. Het klikken op een link of het scannen van een QR-code is immers zo gedaan en dit kan in onze sector grote gevolgen hebben. We houden onze mensen scherp met een awareness programma, waarbij een verplichte security training gevolgd moet worden. Onderdeel daarvan is ook het uitvoeren van phishing campagnes en verzorgen we hack demo’s om aan te tonen hoe relatief eenvoudig het is om slachtoffer te worden van een digitale aanval. En we laten zien hoe je je hiertegen kunt wapenen. Ik ben blij en trots om te zien dat ICT security binnen de supportgroepen veel aandacht krijgt. Dit helpt vooral in situaties die snel aandacht verdienen, om goed en adequaat te handelen.”
Welke normenkaders gelden er voor de energiesector?
“Er zijn vele normenkaders voor de sector. Voor ICT Security Management maken wij de afgelopen vijf jaar gebruik van een ISO 27001 gecertificeerd ISMS (Information Security Management System). Daarnaast zijn onze maatregelen grotendeels gebaseerd op de ISO 27002 norm. Voor projecten gebruiken we een ‘secure scorecard’, gebaseerd op onze maatregelen, die afhankelijk van de BIV-code voorschrijft welke security-maatregelen moeten worden getroffen.”
Welke samenwerkingsverbanden gaat de Gasunie aan om de security binnen de sector naar een hoger niveau te brengen?
“Gasunie werkt samen met verschillende andere bedrijven binnen en buiten de energiesector. We leveren bijvoorbeeld een bijdrage aan de Energy-ISAC (Information Sharing and Analyse Centre), een initiatief van het Nationaal Cyber Security Centrum. Daarnaast leveren wij een bijdrage aan sectorspecifieke werkgroepen.”
Het elkaar waarschuwen voor bedreigingen heeft natuurlijk een versterkende werking op het gebied van security
Welke toegevoegde waarde zie je in deze samenwerkingsverbanden?
“Vooral het kunnen houden van ruggenspraak met andere partijen in dezelfde sector is voor ons van grote toegevoegde waarde. Dit geldt op momenten van acute situaties waarin snel en juist gehandeld moet worden, maar ook voor vragen rondom de security aspecten van ontwerpen en implementatie. Het is interessant en leerzaam om te zien hoe andere bedrijven met dezelfde vraagstukken omgaan en te zien hoe we van elkaar kunnen leren. Daarnaast heeft het elkaar waarschuwen voor bedreigingen natuurlijk een versterkende werking op het gebied van security.”
Maayke van Remmen werkt bij Secura
Gasunie wordt met het uitvoeren van security-onderzoeken in zowel het IT als OT landschap ondersteund door Secura. Gasunie heeft recent één van de projecten door middel van een attack tree sessie (Threat Modeling) laten uitvoeren. Hierbij worden verschillende groepen bij elkaar gebracht, waarbij men probeert te achterhalen wat nu de grootste bedreiging is. Vanuit dat oogpunt wordt bekeken wat er nodig is om deze bedreiging daadwerkelijk uit te voeren. De inzichten die hieruit voortkomen geven een goed beeld van de keten en wat de zwakke schakels in het proces zijn.