Het zal niemand zijn ontgaan: de dreiging van cyberaanvallen wordt de laatste jaren steeds groter. De Europese Commissie is al enkele jaren bezig om het cybersecuritybeleid in Europa te verstevigen. Ook decentrale overheden zijn steeds vaker slachtoffer van cybercriminaliteit. Bij waterschappen blijkt zelfs dat het aantal cyberaanvallen jaarlijks gemakkelijk in de miljoenen kan lopen.
Kenniscentrum Europa decentraal ging daarom in gesprek met Albert van As en Rob de Lange. Beiden zijn zij werkzaam bij het Programma Informatieveiligheid & Privacy van het Waterschapshuis. Het Waterschapshuis is de uitvoeringsorganisatie voor de 21 waterschappen op het gebied van Informatie en Communicatie Technologie (ICT). Hoe kijken zij tegen het huidige cybersecuritybeleid aan? Wat is de rol van Europa hierin? En wat willen zij andere decentrale overheden meegeven om weerbaar te worden tegen cyberaanvallen?
Wat is nu precies cybersecurity? Cybersecurity is een verzamelnaam voor de verschillende soorten handelingen die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals malware, hacking of phising mails.
We horen de laatste tijd in het nieuws veel over cyberaanvallen. Hebben jullie dit zelf wel eens van dichtbij meegemaakt?
De Lange begint: “Een tijdje geleden hadden de waterschappen te maken met ‘het Citrix incident’. Het Amerikaanse softwarebedrijf Citrix meldde dat een aantal van hun producten kwetsbaar waren en dat dit grote gevolgen kan hebben als er een hack plaatsvindt. Het Computer Emergency Response Team (hierna: CERT) heeft toen alle publieke organisaties die werken met Citrix gewaarschuwd en geadviseerd om het lek te dichten. De genomen maatregelen waren echter niet voldoende en onze systemen werden toen even uit de lucht gehaald. Dit was heel onhandig en dringend voor ons, omdat een stuk dienstverlening dan ineens niet aanwezig is.”
“Je merkt op zo’n cruciaal moment dat de crisisorganisatie open gaat”, vult Van As aan. “Het was achteraf gelukkig niet zo heftig dat dijken zouden doorbreken of dat sluizen open zouden worden gezet, maar we moesten wel echt dringend ingrijpen. Rob was nauw betrokken bij het CERT, dus hij ging met andere overheden in gesprek om de zaken te monitoren en om de risico’s te reduceren. Als Waterschapshuis zijn we inmiddels gelukkig zo georganiseerd dat we bij dat soort dreigingen eigenlijk heel goed en snel in beweging komen. Naast dit incident dat ons als sector heeft geraakt, heeft intussen ook ieder waterschap individueel wel te maken gehad met cyberaanvallen zoals ransomware en mailspoofing, waarbij criminelen e-mailberichten namaken met een vervalst afzenderadres. Het is ondertussen malafide ‘business as usual’.”
Het klinkt alsof de waterschappen bij dit soort crisismomenten als een geoliede machine te werk gaan. Werken jullie hierbij ook samen met bijvoorbeeld het Rijk of gemeenten?
“Je ziet inderdaad dat er op nationaal niveau ook veel samenwerking plaatsvindt”, vertelt Van As. “Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) hebben we bijvoorbeeld al een paar jaar een intergouvernementeel overleg waar alle Nederlandse decentrale overheden elkaar periodiek treffen over cyberveiligheid. Dat zorgt voor een wisselwerking tussen het Rijk en decentrale overheden. Naast deze aanpak vanuit BZK is er vanuit de overheid bij het Ministerie van Justitie en Veiligheid ook veel aandacht voor een overheidsbrede aanpak ten behoeve van cybersecurity. Als watersector zien we dit echter graag wat meer gebundeld en niet verspreid over verschillende ministeries.”
Van As vervolgt: “Verder zijn we vanuit de waterschappen een wat innigere relatie aan het opbouwen met Rijkswaterstaat. CERT is bijvoorbeeld samen met Rijkswaterstaat opgericht. Ten slotte zijn er nog andere initiatieven zoals Waterketen Partners of het Bestuursakkoord Water. We werken dus al heel veel samen met het Rijk en decentrale overheden”.
De Lange knikt bevestigend: “Ja, en dit is ook noodzakelijk. De primaire dienstverlening is voor een waterschap van het grootste belang. Het op peil houden van de digitale weerbaarheid van de geautomatiseerde procesvoering van deze dienstverlening kent dan ook een hoge prioriteit bij Waterschappen. Daarom hebben we samen met Rijkswaterstaat gewerkt aan de Cybersecurity Implementatierichtlijn. Hiermee wordt voor organisaties echt een praktische toepassing gegeven voor de cybersecurity aanpak van procesautomatisering, om ervoor te zorgen dat het fysiek digitale stuk nog steviger wordt.”
Cybersecurity houdt ook niet op bij de grenzen van een land. Dit stelt responscapaciteit dus niet alleen op nationaal niveau op de proef maar ook tussen landen gezamenlijk. Hoe beïnvloedt de huidige Europese regelgeving momenteel jullie cybersecurity-beleid?
“De invloed van Europa is eigenlijk nog niet zo merkbaar voor ons”, legt De Lange uit. “Wij kennen op het gebied van cybersecurity geen Europese bepaling waar wij wetmatig aan moeten voldoen. In Nederland hebben we de Wet Beveiliging Netwerk- en Informatiesystemen, dit is een implementatie van de Europese NIS-richtlijn. Daar moet je aan voldoen als vitale dienstverlener. Rijkswaterstaat valt hier bijvoorbeeld onder maar zowel gemeenten als waterschappen niet. De verwachting is echter wel dat dit komend jaar nog zal veranderen voor de waterschappen. Dan gelden de regels ook voor ons.”
Van As sluit zich daarbij aan: “Onze aanpak beperkt zich voornamelijk tot het nationale niveau. Omdat wij geen vitale dienstverlener zijn, was de noodzaak tot nu toe ook minder groot om goed op de hoogte te zijn van Europese wetgeving. Doordat dit binnenkort zal veranderen, wordt het voor ons ook relevanter om te weten wat er op Europees niveau aan wetgeving bestaat.”
Wat verwachten jullie van de impact van de NIS2-richtlijn, wanneer de waterschappen straks als vitale dienst worden aangemerkt?
“We proberen momenteel al om dit soort richtlijnen in een normering te bevatten”, zegt De Lange. “Het Waterschapshuis volgt bijvoorbeeld de Baseline Informatiebeveiliging Overheid (BIO). Dit is een gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. Dit is helder en veilig. Ondanks dat het niet verplicht is om dit te volgen zie je toch dat iedereen zich hier al aan houdt. Als overheid wil je immers een gedegen organisatie zijn. Als de waterschappen straks worden aangemerkt als vitale dienstverlener gaat er echter wel het een en ander veranderen, zeker na implementatie van de NIS2-richtlijn. We legden eerst onszelf de verplichting op om een normenkader te volgen, dus impliciet, maar straks zullen we echt strikt de Europese verplichtingen moeten volgen.
Er is daarom een impactanalyse uitgevoerd voor het Rijk, de gemeenten en de waterschappen wat het voor ons betekent als we al die Europese richtlijnen doorvoeren. Deze impactanalyse wordt binnenkort gepresenteerd. Dan wordt besloten hoe we dit vervolgens gaan oppakken. Dit soort richtlijnen moeten natuurlijk uitvoerbaar zijn voor ons, maar de capaciteit is beperkt.”
Op het gebied van privacy is er een gezamenlijke Europese aanpak: de Algemene Verordening Gegevensbescherming. Zou er zoiets ook moeten komen voor cybersecurity, naast de al bestaande Europese wetgeving?
De Lange legt uit: “Je ziet op dit moment dat de aanpak in Europa vooral om initiatieven draait: niks is nog bindend of vastgelegd. Bij ENISA (het Europees Agentschap voor Cybersecurity) klop je bijvoorbeeld aan als je een probleem hebt en advies van anderen wilt krijgen. Heel vrijblijvend, maar in crisistijd hebben we wel echt een snellere Europese respons nodig. Daarbij hoort ook onderling vertrouwen. Helaas zien wij tot dusver nog geen nuttige initiatieven die dit écht van de grond krijgen. Een duidelijke verordening zoals bij de AVG zou hier wel aan kunnen bijdragen. Kanttekening daarbij is dat dit heel moeilijk te bewerkstelligen is in de cyberwereld: wat vandaag nieuw is, is morgen alweer oud. Zulke inhoudelijke dingen in wetgeving verankeren is daarom vaak niet mogelijk, omdat het te snel weer verandert. Hierdoor merk je dat er in de verschillende EU-lidstaten sprake is van een uiteenlopende uitleg en toepassing van de regelgeving. Dat geeft een gekke wisselwerking, en bemoeilijkt de internationale samenwerking op het gebied van cybersecurity.”
“Het is ook lastig om hiervoor Europese regels op te leggen, omdat de vraag rijst wie er uiteindelijk verantwoordelijk is voor de cyberveiligheid?” aldus Van As. “Bij de AVG ligt de verantwoordelijkheid natuurlijk gewoon bij degene die de persoonsgegevens verwerkt, maar voor cybersecurity zou je de verantwoordelijkheid dan moeten leggen bij de leveranciers van producten.”
Het is dus niet eenvoudig om het cybersecuritybeleid in Europa te verstevigen. Wat zouden jullie tot slot aan decentrale overheden willen mee geven wat zij op dit moment zelf kunnen doen om weerbaar te worden tegen cyberaanvallen?
“Bij het Waterschapshuis zijn we gestart met de Leerlijn Digitale Transformatie”, vertelt Van As. “We merken namelijk dat het lastig kan zijn voor mensen om te begrijpen wat de gevolgen zijn van een digitale crisis en hoe zij zich hier het beste op kunnen voorbereiden. Bij fysieke crisisoefeningen gaat dit een stuk beter, maar we merken dat crisismanagement tijdens een cyberaanval echt een ander verhaal is. Dat komt omdat er dan iemand anders aan de knoppen zit. Daarom raden wij aan om ook te oefenen met een cyberaanval. Dit is met name interessant voor het bestuur van een organisatie. Met de Leerlijn organiseren we onder andere workshops en stellen we een handreiking op om het zo concreet mogelijk te maken voor bestuurders.”
“Het is heel belangrijk om cybersecurity ook toe te passen op strategisch niveau”, vindt De Lange. “De markt is op dit moment helaas heel dun bezaaid: professionals die op dit vakgebied inhoudelijk iets toe kunnen voegen zijn zeldzaam. Dat is voor overheden niet ideaal. Ontwikkeling van kennis in de breedste zin van het woord bij ambtenaren is dus zeer noodzakelijk.”
Met dank aan
Albert van As en Rob de Lange, Programma Informatieveiligheid en Privacy bij het Waterschapshuis
