Onlangs is CSIR 3.0 uitgebracht. Deze Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat is veralgemeniseerd, zodat ook partijen als aannemingsbedrijven en waterschappen ermee aan de slag kunnen. De nieuwe richtlijn is in nauwe samenwerking met het werkveld opgesteld.
De oorspronkelijke richtlijn stamt uit 2013. Het is een vertaalslag van de bestaande norm BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO 27001 en ISO 27002, en de industriestandaard IEC 62443 (International Electrotechnical Commission) voor de beveiliging van industriële controlesystemen. De industriële automatisering kent een verwevenheid van it en industriële controlesystemen, waardoor het nodig is relevante onderdelen uit de BIO en IEC 62443 te combineren voor een passende groep van controls en beheersmaatregelen voor de beveiliging van die industriële automatisering.
De CSIR is in samenwerking met de branchevereniging Techniek Nederland ontwikkeld. Binnen de Werkgroep Cybersecurity van Rijkswaterstaat onder voorzitterschap van Turabi Yildirim, senior adviseur cybersecurity bij Rijkswaterstaat. De werkgroep komt op gezette tijden bij elkaar om securityvraagstukken uit de praktijk op managementniveau te bespreken. Yildirum stelt in een nieuwsbrief van Rijkswaterstaat dat we met elkaar cybersecurity-uitwerkingen ontwikkelen en die testen in de praktijk. ‘Waar nodig verbeteren we ze op onderdelen door ze te schakelen naar het tactische niveau en als het nodig is vervolgens naar het strategische.’
Die ketenbenadering vindt hij belangrijk. ‘Allereerst is hierdoor cyberbewustzijn en prioritering bij de verschillende lagen van alle betrokken organisaties. Met elkaar kun je zaken operationaliseren. Opdrachtgever en opdrachtnemer staan op gelijke voet, begrijpen elkaar en kunnen met elkaar communiceren. Met als resultaat kostenbesparing en een grote mate van effectiviteit.’
Door zelf het onderwerp ter hand te nemen, maakt Rijkswaterstaat zich niet afhankelijk van normerende instanties. ‘Wij kunnen zelf de ontwikkelingen vormgeven en werken daardoor meer proactief dan reactief.’
Vitale infrastructuur
Rijkswaterstaat beheert en onderhoudt vitale infrastructuur: waterkeringen, bruggen, sluizen, tunnels, wegen. ‘Bij misbruik of falen’, zegt Yildirim, ‘zijn de consequenties voor onze veiligheid groot; maatschappelijke ontwrichting, milieuschade, financiële schade of zelfs dodelijke slachtoffers. Maar we willen ook dat het werkbaar is. We hebben niks aan een goede richtlijn waar geen externe partij mee kan werken.’
Om die reden is de Werkgroep nog eens met de stofkam door CSIR 2.0 gegaan. De jongste versie is inhoudelijk hetzelfde gebleven, maar veralgemeniseerd. De meeste RWS-begrippen en verwijzingen naar security-producten en -diensten die het semi-overheidsorgaan gebruikt, zijn geschrapt. Daardoor is de richtlijn ook bruikbaar voor bijvoorbeeld waterschappen en aannemers. Inmiddels is CSIR 3.0 onderdeel van de Inkoopeisen Cybersecurity Wizard die op de webpagina van de BIO-overheid is op te halen. De wizard helpt eisenpakketten te selecteren die passen bij de producten/diensten die een overheidsdienst aanbesteedt.
Waterschappen
Gabor Verputten is blij met de nieuwe richtlijn. Hij is programma-lid informatieveiligheid en privacy, tevens chief information security officer van het Waterschapshuis, de regie- en uitvoeringsorganisatie voor de 21 waterschappen op het gebied van ict. ‘CSIR 2.0 bevatte specifieke onderdelen voor Rijkswaterstaat. Wij hebben een andere manier van beheer en daar hebben we de CSIR op aangepast. Hierdoor is het nu een fantastisch product voor iedereen die met industriële automatisering werkt.’
Doordat alle (semi)-overheidsorganisaties met één richtlijn werken, komt de noodzaak voor goede security beter over, meent Verputten. ‘Van asset owners tot productspecialisten en system integrators; iedereen is aangehaakt. Het is een bewustwordingscampagne. Je wilt toch dat het business as usual wordt.’ Hij licht toe dat de waterschappen bestaan uit doeners. ‘We proberen de waterschappen te helpen met een tool die ondersteunt bij per project toe te passen maatregelen. Als iemand de hele CSIR moet uitpluizen, haakt hij af.’
Hij noemt het een voordeel dat de richtlijn al getoetst is in de markt. ‘Hierdoor snappen marktpartijen precies wat we vragen, want door gebruik bij Rijkswaterstaat zijn ze eraan gewend. Dat scheelt tijd en energie.’ Die marktpartijen kunnen op dezelfde manier en zonder extra kosten de waterschappen, gemeenten en provincies bedienen.
Pragmatisch
Er is geen certificeringsprogramma gekoppeld aan de CSIR 3.0. Wel wordt de kwaliteit van de uitvoering bewaakt aan de hand van het Cybersecurity Beveiligingsplan. Dit is een verplicht onderdeel bij elke opdracht naar de markt. Het Cybersecurity Beveiligingsplan dient aan de hand van de PDCA-cyclus (Plan-Do-Check-Act) jaarlijks geëvalueerd en geactualiseerd te worden. Certificeringen zijn te generiek, vindt Yildirum, en het werken met Cybersecurity Beveiligingsplannen is pragmatischer, sluit beter aan op de eigen organisatorische en procesmatige inrichtingen en biedt meer mogelijkheden voor een risico gestuurde aanpak. ‘De betreffende objecten staan namelijk in het werkveld en niet in de gecontroleerde omgeving van de opdrachtgever, wat bij certificering vaak juist de scope is.’
Voor opdrachtnemers is er een workshop/training ontwikkeld door een externe partij, waarin opdrachtnemers leren hoe de CSIR toe te passen. De hoofdaannemers vanuit de branchevereniging Techniek Nederland hebben de nodige ervaring in het toepassen van de CSIR. Veelal hebben ze hier ook op corporate niveau cybersecurityteams voor opgezet die de uitvoerende projecten begeleiden. Binnen Rijkswaterstaat hebben we een eigen training van meerdere dagen om de collega’s die het betreft te trainen in het kunnen toepassen van de CSIR vanuit de opdrachtgeversrol. Deze training wordt verzorgd door het Corporate Learning Center van Rijkswaterstaat.
Wie aan de slag wil voor Rijkswaterstaat of een waterschap zal bij oplevering een Cybersecurity Beveiligingsplan moeten overleggen. Dit moet in overeenstemming zijn met CSIR 3.0.
