Als eerste waterschap in Nederland heeft het hoogheemraadschap van Rijnland een aantal operationele systemen gecertificeerd conform de IEC 62443, dé internationale standaard voor cybersecurity binnen de operationele technologie. Voor Rijnland is dit een goede stap in de richting van het robuuster en digitaal weerbaarder maken van de procesautomatisering voor waterzuivering en watertransport.
Pieter van Dijk, teamleider Procesautomatisering bij Rijnland: “Natuurlijk ben ik enorm trots dat Rijnland de toets t.a.v. de conformiteit met IEC 62443 heeft behaald. Dit was niet mogelijk geweest zonder de inzet van het projectteam vitalisering PA, medewerkers van het team Procesautomatisering en de samenwerking met Hudson Cybertec.”
Rijnland is in 2013 gestart met de vernieuwing van de procesautomatisering voor de afvalwater zuiveringsinstallaties en afvalwater transportgemalen. Daarbij is toen de keuze gemaakt voor het één voor één vervangen van hardware. Ook werd besloten een gestandaardiseerde software bibliotheek te ontwikkelen en een software generator te bouwen voor de gemalen. Voor de besturing op afstand werd tot slot een centrale proceskamer ingericht op het hoofdkantoor (CPK). Dit project is nu afgerond, terwijl de laatste transportgemalen worden omgebouwd. Het projectteam kan nu tevreden terugzien hoe alle actiepunten binnen gestelde tijd en budget zijn gerealiseerd.
Het team
Medio 2017 werd duidelijk dat voor het beheren van de procesautomatisering een moderniserings-, en professionaliseringsslag gemaakt moest worden. Alle medewerkers die werkzaam waren in de procesautomatisering werden hiervoor in één team ondergebracht. Beheerprocessen (met ITIL als kapstok) werden beschreven en ingericht. Er kwam een OTA (Ontwikkel, Test en Acceptie) omgeving. Bovendien bleek een uitbreiding van het team noodzakelijk met niet alleen extra FTE maar ook de benodigde competenties.
De beveiliging
Verder kwam het inzicht dat de procesautomatisering niet een hulpmiddel is, maar ook een asset die onmisbaar is in de aansturing en bediening van het primaire proces. Daarbij kwam ook de kwetsbaarheid van deze werkwijze om de hoek kijken. Zonder een goedlopende procesautomatisering komt het primaire proces namelijk tot stilstand of zal het eindproduct al snel niet aan de kwaliteitseisen voldoen. Informatiebeveiliging (cybersecurity) moet hierbij uitkomst bieden. Bij Rijnland is het team daarom versterkt met een Adviseur Informatiebeveiliging Procesautomatisering in de persoon van Hans Smit in goede samenwerking met Hudson Cybertec. “Digitalisering heeft voor ons veel voordelen” vertelt Smit, “maar we realiseren ons ook dat uitval van digitale middelen ons kwetsbaar maakt. Niet alleen de uitval van hardware maar ook cyberrisico’s worden meer en meer meegenomen in ons beleid. De BIO geeft ons richting om maatregelen te nemen op het gebied van procesautomatisering. Voor deze procesautomatisering hebben wij gekozen ons te conformeren aan dé internationale standaard voor cybersecurity binnen de operationele technologie, de IEC 62443, omdat de BIO in de huidige vorm onvoldoende houvast biedt voor procesautomatisering”.
Hudson Cybertec
Rijnland is bijgestaan door Hudson Cybertec, beide organisaties werken dan ook al jaren samen om de cybersecurity van Rijnland naar een hoger plan te brengen. Als cybersecurity specialist op gebied van de industriële automatisering heeft Hudson Cybertec een uitstekende reputatie als internationaal subject matter expert voor de IEC 62443. Met deze kennis en ervaring heeft de organisatie Rijnland geadviseerd en begeleid in het proces om onbezorgd het certificeringsproces met TÜV te doorlopen.
Marcel Jutte, Managing Director van Hudson Cybertec: “Het adequaat inrichten van een Cyber Security Management Systeem (CSMS) is niet alleen van belang bij Rijnland, maar zeker ook voor alle organisaties in de vitale infrastructuur die te maken hebben of krijgen met de Wet Beveiliging Netwerk- en Informatiesystemen, afgekort Wbni. De certificering van Rijnland is een belangrijke mijlpaal voor alle betrokkenen en we zijn zeer verheugd met het behaalde resultaat.”
TÜV Nederland
Om onafhankelijk te toetsen of Rijnland voldoet aan de IEC 62443 heeft Rijnland aan TÜV Nederland gevraagd het Certificeringtraject uit te voeren. Hiervoor heeft TÜV Nederland eind februari een audit uitgevoerd die erop gericht was om te toetsen of Rijnland voldeed aan de eisen binnen de IEC 62443 deel 3-3 (Eisen voor systeembeveiliging en beveiligingsniveau).
De IEC 62443 norm bestaat al ruim 10 jaar, maar Certificering op deze IEC standaard is relatief nieuw, zeker in Nederland. TÜV Nederland heeft het standpunt dat audits en assessments waar mogelijk onder accreditatie uitgevoerd worden, zodat de klant daardoor het bewijs heeft dat deze conform internationale regels verloopt, wat de waarde van het certificaat uiteraard verder verhoogt.
“TÜV Nederland is onderdeel van TÜV Nord en heeft IEC accreditatie. Mede daardoor zijn wij een absolute voorloper waar het gaat over onafhankelijk certificeren conform deze norm. Onze auditor heeft gedurende een week twee locaties (één waterzuiveringsinstallatie en één watertransportlocatie) beoordeeld of deze voldeden aan de norm. Wij kunnen vaststellen dat zij aangetoond hebben te voldoen aan de norm en de vereisten behorende bij het gestelde security level waardoor wij hen het bijbehorende IEC Certificaat kunnen overhandigen” aldus Vincent Schijven, Innovatiemanager bij TÜV Nederland.
Rijnland is met het behalen van het IEC 62443 certificaat een voorloper, zowel binnen de Unie van Waterschappen als in Nederland in het algemeen. Met de certificering wil Rijnland aantonen dat dit mogelijk is voor meer installaties binnen het waterschap en mogelijk ook voor andere waterschappen.
De IEC 62443 is binnen veel organisaties bekend en is dé standaard binnen de Procesautomatisering. Binnen de Wbni moet men aantoonbaar maatregelen nemen tegen cybersecurity risico’s en dan is een onafhankelijk certificering door TÜV Nederland een logische stap. Wij verwachten dat binnen nu en een jaar de meeste organisaties binnen de kritische infrastructuur deze zelfde stap genomen hebben. “Namens TÜV Nederland kan ik melden dat we trots zijn dat wij deze audit hebben mogen uitvoeren en natuurlijk willen we Rijnland feliciteren met het behaalde resultaat”.
HUDSON CYBERTEC