Experts eensgezind over Top 11 cyberdreigingen

Adry Salomé

‘Laat management en bestuursleden in een crisisteam oefenen met de gevolgen van een cyberaanval. Laat ze een keer worstelen en zweten met besluiten nemen als een waterschap door een hack volledig is platgegooid; echt invoelen dat er nog werk aan de winkel is. Dat vergroot de bewustwording”, oppert Adry Salomé, projectmanager bij Hoogheemraadschap Schieland en de Krimpenerwaard en ‘linking pin’ tussen IT en business voor beveiliging van de procesautomatisering. Want sommige organisaties denken dat de soep niet zo heet gegeten wordt, hoort hij van collega’s. Verzachtend: “De juiste mensen hebben elkaar soms gewoon nog niet goed genoeg gevonden.”

Dreigingsbeelden

Dat laatste ligt ondertussen anders bij de cyberspecialisten en risicomanagers. Zij treffen elkaar inmiddels geregeld. Op twee bijeenkomsten van het platform ‘Risico’s beheersen doe je samen’ gingen zij onder begeleiding van het Nationaal Cyber Security Centrum (NCSC) aan de slag met dreigingsbeelden: hoe kan een digitale aanval de waterschappen treffen? Vorig jaar juli werden scenario’s in kaart gebracht, in december de waarschijnlijkheid. Ook Rijkswaterstaat dacht mee.

Reëel

Bart van den Berg is coördinerend specialist binnen de afdeling operatie van het NCSC, het landelijk expertisecentrum. Hij begeleidde de twee bijeenkomsten. Volgens Van den Berg bestaat er “een reële dreiging voor verstorende digitale aanvallen op vitale processen, ook richting waterschappen”. Vanuit operationele technologie – de specialisten – zit er veel energie op en wordt er goed over nagedacht, merkt hij. “Dat is een klein clubje mensen. Zij zijn verantwoordelijk voor een heel belangrijk onderdeel. Maar cybersecurity is niet alleen een zaak van een aantal experts. Het is een organisatie brede aangelegenheid, het ligt ook op de bestuurstafel. Dat is straks ook de strekking van nieuwe Europese wetgeving (NIS2).”

Cluedo

In de workshop Dreigingsbeeld stelde Van den Berg vorig jaar zomer samen met zo’n 60 deelnemers dreigingsscenario’s op voor waterschappen. Welk type actor zou waterschappen willen treffen, met welk type digitale aanval, op welke systemen en wat zou het effect daarvan zijn voor Nederland? “Een soort Cluedo”, vergelijkt hij. Van den Berg: “Aan de hand van die verschillende bouwstenen zijn met de groep scenario’s gemaakt. Het waren goede discussies. Door een open benadering stimuleren we de dialoog en kennisdeling tussen waterschappen en tussen disciplines binnen de waterschappen.”

Consensus

Het heeft meerwaarde om dit samen te doen, zegt Van den Berg. “Iedereen heeft een beeld hoe een digitale dreiging de watersector kan treffen, maar het gaat erom dat we een gezamenlijk beeld krijgen. Consensus krijgen: hier zijn we het allemaal over eens. Het NCSC heeft kennis van cyberdreigingen in het algemeen. Wij brengen kennis van buiten naar binnen. Onze specialisten schuiven dienstverlenend aan om kennis te delen. De kennis over de watersector zit in de groep. Daarmee heb je een fantastische match.”

Waarschijnlijkheid

In een vervolgsessie, eind 2023, bekeek de groep de scenario’s op waarschijnlijkheid en impact. Hoe groot is de kans dat dit gebeurt en wat is dan het gevolg? De ‘weighted ranking’ leidde tot een gezamenlijke top 11. Van den Berg: “We hebben de top-risico’s expliciet gemaakt en daaraan maatregelen gekoppeld. Dat is uitgewerkt in een gemeenschappelijk document. Het helpt operationeel medewerkers om het verhaal over te brengen. Je kunt laten zien waar de uitdagingen liggen: ‘hier zijn we het als experts over eens en ook het NCSC heeft meegedacht’. Het gaat er vooral om dat bestuurders en management de risico’s snappen en erover nadenken.”

Kloof

Volgens projectmanager Adry Salomé van HHSK helpen de resultaten om de urgentie tastbaar en begrijpelijk te maken voor bestuurders en directies. Hij ziet een kloof tussen de IT-specialisten en ‘de business’. Salomé: “IT-specialisten denken wezenlijk anders over het oplossen van problemen dan het bestuur en management. En door de specifieke kennis en het jargon begrijpen ze elkaar niet altijd goed. Besturen en directies moeten beperkte middelen ook verdelen. Als er dan niet iets serieus misgaat, zie je de noodzaak misschien niet direct.”

Toonaangevend

Het platform ‘Risico’s beheersen doe je samen’ is volgens hem de afgelopen jaren in kennis en ervaring uitgegroeid tot een toonaangevend platform over cybersecurity binnen de sector. Salomé: “Het netwerk en het delen van kennis levert veel nieuwe inzichten op. Het dossier is voor een enkel waterschap te groot om te behappen. Het platform is cruciaal om dat met elkaar goed te blijven doen. De laatste workshops hebben nog een keer heel ondubbelzinnig duidelijk gemaakt hoe belangrijk het is wat wij doen. Het NCSC kijkt vanuit de professionele security naar bedrijfsvoering en organisaties en zet je op sporen waar je zelf niet direct aan denkt. Dat is heel leerzaam.”

De goede dingen doen

Salomé gunt bestuurders en directies eenzelfde platform als de cyberexperts. Salomé: “Organiseer dat ook op management en bestuursniveau. Het zou goed zijn als bestuurders van waterschappen en Rijkswaterstaat elkaar hierover ontmoeten in een netwerk. Elkaar steunen en helpen om een soort van gedeeld bewustzijn te laten ontstaan. Of laat mensen eens oefenen in een crisisteam”, tipt hij.

Volgens Van den Berg hebben de cyberexperts nu een concreet verhaal ondersteund door collega’s richting bestuurders en management. Van den Berg: “Dat is een waardevolle basis om de goede dingen te doen.” Salomé: “De individuele waterschappen en Rijkswaterstaat moeten dat effectief gaan invullen en de nodige maatregelen treffen. Er is werk aan de winkel.”