What the hack, cybersecurity in de bouw en civiele techniek

ICT speelt een steeds grotere rol in de bouw en GWW, waardoor zowel productieprocessen als projecten er afhankelijker van worden. Elke ICT-toepassing is echter kwetsbaar voor cyberaanvallen, met mogelijk disruptieve gevolgen. Tijdens het virtuele Stumico-event ‘What the hack’ werd duidelijk welke gevaren er allemaal op de loer liggen en hoe organisaties zich daartegen kunnen beschermen. Als praktijkvoorbeeld is onder andere het calamiteitenplan cybercrisis van Rijkswaterstaat gepresenteerd.

Bewustzijn en alertheid vergroten

Volgens Wouter Parent, ethisch hacker en cyber risico analist van WeSecureIT is het niet een kwestie van of we gehackt kunnen worden, maar wanneer en hoe groot de gevolgen zijn. Hij vertelde als eerste gastexpert hoe hackers denken en werken en hoe ransomware, phishing, vishing en CEO fraude werken. Uit de cyberaanval die logistiek dienstverlener Maersk in Rotterdam ruim 200 miljoen euro heeft gekost wordt duidelijk dat de impact groot kan zijn. Ook de aanvallen op de Universiteit Maastricht en gemeente Hof van Twente zijn bekende succesvoorbeelden. Verder toonde het stilleggen van oliepijpleidingen in de VS aan dat ook goed beveiligde infrastructuur kwetsbaar is voor een cyberaanval. Behalve hackers die uit financiële motieven bedrijven en invloedrijke mensen afpersen zijn er volgens Parent ook hackers in overheidsdienst die kwetsbaarheden in andere landen proberen te vinden en te misbruiken. Daarom is niet alleen preventie belangrijk maar ook de wijze waarop een organisatie en haar medewerkers omgaan met een cyberaanval. Een belangrijk advies voor betere preventie en verdediging is het vergroten van ieders bewustzijn en alertheid dat een cyberaanval kan plaatsvinden en wat de mogelijke gevolgen zijn.  

Risicoanalyse

Parent verhoogde het bewustzijn voor cyberaanvallen bij alle deelnemende Stumico-leden met praktische voorbeelden. Bijvoorbeeld de cyberrisico’s gerelateerd aan thuiswerken en het toenemend gebruik van (gratis) cloudservices. Providers die grote hoeveelheden data voor klanten beheren, denk aan dropbox en emaildiensten maar ook wetransfer, zijn vanzelfsprekend interessante doelwitten voor hackers. Zeker als deze diensten via een gratis account worden gebruikt moet men zichzelf afvragen wat daartegenover staat. Datzelfde geldt voor alle gratis toegankelijke WiFi-netwerken. Een tweede belangrijk advies is een risicoanalyse te maken van welke onderdelen van de ICT-infrastuctuur welke kwetsbaarheden kunnen hebben en hoe deze zo goed mogelijk te beschermen. Bijvoorbeeld door beveiligde VPN-verbindingen, multi-factor authenticatie en encryptietechnieken te gebruiken. Weeg bij de risicoanalyse ook af wat de kosten zijn voor meer beveiliging versus de mogelijke schade van een cyberaanval of datadiefstal. Uit het recente nieuws dat de FBI bijna 64 van de 75 betaalde bitcoins aan losgeld voor de cyberaanval op Colonial Pipeline weer heeft teruggepakt blijkt dat (ethische) hackers tot veel in staat zijn.

Perspectief maakindustrie en bouwsector

De tweede gastexpert was Liesbeth Holterman, strategisch adviseur cybersecurity centrum maakindustrie van Novel-T. Zij belichtte cybersecurity vanuit het perspectief van de maakindustrie en de bouw en deelde de resultaten van een onderzoek onder 40 bedrijven in Overijssel. Daaruit blijkt dat:

• ICT-beheer vaak is uitbesteed
• Patchen blijft aandachtspunt
• Back-up wordt vaak vergeten
• Digitalisering productieomgeving nog in de kinderschoenen
• Opportunistische aanvallen leiden tot incidenten
• Weinig afspraken in de supply chain

Verder blijft ondanks alle investeringen in security-oplossingen de mens nog vaak een zwakke schakel. Daarom pleit Holterman voor training van de medewerkers, duidelijke rollen en verantwoordelijkheden, het delen van ervaringen met elkaar en meer afstemming in de keten en in bouwteams.

Crisismanagement Rijkswaterstaat

Als laatste expert vertelde Tessa Mulders, adviseur crisismanagement bij Rijkswaterstaat, hoe haar werkgever omgaat met een cybercrisis. Crisismanagement is bij Rijkswaterstaat de taak van een landelijke afdeling die onder Verkeer- en Watermanagement valt, met accounthouders die deel uitmaken van het landelijke onderdeel Centrale Informatie Voorziening (CIV). Rijkswaterstaat heeft uiteraard een calamiteitenplan cybercrisis en scenario’s om mogelijke oorzaken, bronnen, geraakte systemen en infrastructuur te analyseren. Daarin wordt onderscheid gemaakt tussen niet-moedwillig technisch of menselijk falen en moedwillige hacks, spionage en terrorisme. Als er een calamiteit gebeurt wordt dat gemeld door het Security Operations Center van de Centrale Informatie Voorziening, dat de infrastructuur monitort. Vervolgens komt dan afhankelijk van allerlei criteria het Computer Emergency Response Team (CERT) en een crisisteam CIV in actie. Indien nodig wordt daarna in een 2de fase opgeschaald naar een landelijk Crisisteam Rijkswaterstaat (CT RWS) en in een 3de fase naar een Corporate Crisisteam (CCT). Hoewel ook bij Rijkswaterstaat een cyberaanval niet altijd te voorkomen is, zijn ze er goed op voorbereid!