“Hack bij Waterschap kan voor serieuze dreiging zorgen”

external-Waterschap-aa-en-maas

 

Cybercriminelen hebben het dagelijks gemunt op de waterschappen. Gelukkig (tot nu toe) zonder succes. Want je moet er niet aan denken: een polder die onder water loopt of een niet werkende stormvloedkering. Daarom heeft cyberveiligheid de hoogste prioriteit bij Piet Sennema, de secretaris-directeur van waterschap Aa en Maas. “We moeten er bovenop zitten.”

Potentieel doelwit

Waterschappen krijgen te maken met honderden cyberaanvallen per dag. En dat neemt volgens de secretaris-directeur alleen nog maar toe: “Het lijken er steeds meer te worden. Zo kregen we gisteravond tientallen phishingmails van mysterieuze e-mailadressen uit Azië. En hackers doen vele inlogpogingen om wachtwoorden te gokken. Helaas blijven die cybercriminelen zich ontwikkelen dus blijf je in een soort kat-en-muisspel zitten. Voor ons is het van groot belang ze altijd een stap voor te blijven. Als de zuivering bijvoorbeeld wordt gehackt, drijven de drollen door de straten. En ja, dan ben je te laat.”

Scan van de systemen

Met vergaande beveiligingsmaatregelen en de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO) werken de waterschappen aan een goede bescherming. Sennema: “Natuurlijk beschikken we over een digitaal pantser maar ook het CERT-WM (Computer Emergency Response Team Water Management) en Rijkswaterstaat scant onze systemen en waarschuwt bij gevaar. Verder laten wij ons jaarlijks door ethisch hackers aanvallen. Er zijn altijd verbeterpunten te vinden maar grote problemen zijn gelukkig nog niet aangetroffen. Dit najaar wordt ook een penetratietest uitgevoerd die potentiële zwakheden opspoort.”

Kennis uitwisselen

Van een kloof tussen het bestuur en de ICT-afdeling hier geen sprake. De secretaris-directeur van het Brabantse waterschap heeft dagelijks contact. En ook de andere overheidsorganisaties weten elkaar te vinden. Sennema: “Kennis delen en informatie uitwisselen is cruciaal bij cyberveiligheid. Als wij te maken krijgen met een specifiek probleem, laten we dat iedereen weten om een sneeuwbaleffect te creëren. Ik ben voor de verschillende waterschappen ook het aanspreekpunt op het gebied van informatieveiligheid en merk dat mijn collega’s het onderwerp hoog op de agenda hebben staan. Een paar jaar geleden was dat wel anders. We moeten loskomen van het idee dat de watersector problemen handmatig kan oplossen. Dus zijn we aan het oefenen met crisissituaties. Als het hard regent en snel 400 stuwen moeten worden dichtgedraaid, wat is dan het plan. En wat als de stroom wegvalt? “

Awareness

De secretaris-directeur heeft Jan Leijten, het hoofd van zijn ICT-afdeling naar het grootste veiligheidsprobleem gevraagd: “Van Jan kan awareness niet genoeg aandacht krijgen. Alles wat op twee benen rondloopt is een mogelijk gevaar dus krijgen onze 500 medewerkers regelmatig een digitale veiligheidscursus. We realiseren ons dat een fout snel is gemaakt want die phishingmails worden steeds beter. En detecteert ons systeem dat ze een te eenvoudig wachtwoord gebruiken, dan krijgen ze een melding om dit te veranderen. Om die aandacht niet te laten verslappen is er zelfs iemand in dienst die alleen maar met bewustwording bezig is. Door cursussen en maatregelen zoals tweestapsverificatie proberen we iedereen zo goed mogelijk te bewapenen.”

Meer aandacht

Dagelijks staan berichten in de media van succesvolle hackpogingen. Leermomenten voor Piet Sennema: “Ik loop met zulke krantenknipsels naar Jan en vraag of dat bij ons ook kan gebeuren. Wat kunnen wij van deze hack leren?  Je ziet gewoon door wereldwijde gebeurtenissen dat cybersecurity meer aandacht verdient. En je moet vooral niet denken dat je onkwetsbaar bent. Voorkomen is beter dan genezen dus het is goed om met elkaar te kijken hoe je de veiligheid kan verhogen. De Overheidsbrede Cyberoefening 2021 is een goede manier om dit te doen.”

Overheidsbrede Cyberoefening

Deelname aan de Overheidsbrede Cyberoefening is gratis en bedoeld voor bestuurders en overheidsprofessionals die te maken hebben met (cyber)veiligheid, ICT en crisisbeheersing. Dit jaar kunnen deelnemers vanuit het bedrijfsleven ook aansluiten. De oefening is opgezet aan de hand van een fictief scenario en gericht op business continuity. Deelnemers thuis reageren op een aantal dilemma’s die aan de crisistafel worden besproken en geven sturing aan de afhandeling van de crisis. Het scenario is na afloop van de oefening beschikbaar.

 

(dit artikel verscheen eerder op digitale overheid)

Lees ook
Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestd1

Cyberscams tijdens de feestdagen

Cyberscams tijdens de feestdagen

Nu het feestdagenseizoen nadert, breekt ook het seizoen voor cyberscams aan. Cybercriminelen profiteren van de vrijgevigheid van de mens tijdens deze dagen. Extra alertheid is daarom nog belangrijker. Hier is een vooruitblik op de trucs en trends die zich mogelijk verder ontwikkelen in het winterse dreigingslandschap.

Qualys neemt deel aan Microsoft Security Copilot Partner Private Preview

Qualys neemt deel aan Microsoft Security Copilot Partner Private Preview

Qualys neemt deel aan de Microsoft Security Copilot Partner Private Preview. Microsoft selecteerde Qualys vanwege de lange ervaring die het bedrijf heeft met de beveiligingsoplossingen, de medewerking die het verleent aan de ontwikkeling van nieuwe functionaliteit en de hechte relatie.