cybersecurity strategie - cob

Cybersecurity Strategie ……

voor droge voeten!!!

Sandor de Coninck

CTO & CISO Rijkswaterstaat

RWS Ongeclassificeerd

http://corporate.intranet.rws.nl/content/media/3afa5a9e-0256-476d-a90c-6eec7a739b3d/cyber security strategie rws 1.0 def (incl. leeswijzer pag.1).pdf



Rijkswaterstaat I-beveiliging

2 Cybersecurity strategie RWS ONGECLASSIFICEERD

RWS NETWERKEN



RWS NETWERKEN

Geven uitvoering aan de doelen van Rijkswaterstaat:

• droge voeten, voldoende en schoon water

• vlot en veilig verkeer over wegen en vaarwegen

• verbindende informatievoorziening

• slagvaardig crisismanagement

Hoofdwatersysteem Hoofdvaarwegennetwerk Hoofdwegennetwerk

Crisismanagement

Informatievoorziening

http://corporate.intranet.rws.nl/Organisatie/Processen/Verkeer_en_Watermanagement/Inrichting_proces/Proces_Watermanagement/

http://corporate.intranet.rws.nl/Organisatie/Processen/Verkeer_en_Watermanagement/Inrichting_proces/Proces_Scheepvaartverkeermanagement/

http://corporate.intranet.rws.nl/Organisatie/Processen/Verkeer_en_Watermanagement/Inrichting_proces/Proces_Wegverkeersmanagement/

http://corporate.intranet.rws.nl/Organisatie/Processen/Slagvaardig_Crisismanagement/



Leefomgeving

Digitale infrastructuur

Voldoende schoon water

Waterveiligheid

Mobiliteit

RWS koers 2020



RWS i-Visie & i-Strategie



??? Is cyber security… belangrijk voor RWS???

• Mensenlevens

• Economische schade

• Imagoschade

Kortom:

beveiliging infrastructuur is cruciaal!



Het gebeurde echt ! ….in 2012 gemaal Veere !!! feb. 2012 door Bas Bareman

Nieuws - De SCADA-systemen van rioleringspompen en gemalen van de gemeente Veere blijken slecht beveiligd. Hackers kunnen de systemen manipuleren vanuit huis. De gemeente is geschrokken.

2012 Algemene Reken Kamer audit.

2013 programma analyse objecten.

2013 ruim 2800 maatregelen benoemd.

2014 start programma Beveiligd Werken RWS.

Gekozen aanpak …oorzaak en gevolg

REACTIE !!! .... en gevolg !!!

http://webwereld.nl/auteur/bas-bareman

http://webwereld.nl/auteur/bas-bareman

http://20jaareenvandaag.eenvandaag.nl/index.php/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slecht_beveiligd



Gekozen aanpak …mitigatie strategie

Geaccepteerd

Risico Niveau

Blijvend Acceptabel Restrisico

Tijdelijk

Acceptabel

Restrisico

Bestaand Risico Niveau

Tijd

Start 2014

M1

M2

M3

0

%

2016 2017 2015


10 Cybersecurity strategie RWS ONGECLASSIFICEERD 17-10-201611 april

2013

Beschikbaarheid maatschappelijk Vitaal Proces Waterkeren

Dijkkringen

Waterkeringen

Risicogebieden

Gekozen aanpak Prioriteit 1



2013

Zeevaart Luchtvaart

Mainports

Spoor

Weg

Vaarweg

Beschikbaarheid Transportketens op Inter- & Nationaal niveau

Gekozen aanpak Prioriteit 2



Risico afweging tussen techniek en mens

Plan A: De reguliere situatie Techniek ontlast mensen, zo efficiënt mogelijk

Plan B: De terugvaloptie, als Plan A faalt Zo min mogelijk afhankelijk van techniek.

Sterk afhankelijk van mensen en de kennis bij mensen

Restrisico’s: Als ook Plan B faalt Voor het management acceptabel gezien impact en/of kans

Gekozen aanpak …risico afweging proces



2013

Beoordelen & Beslissen

Inwinnen & Valideren Ingrijpen, Informeren & Alarmeren

De weginspecteur komt niet op tijd op bestemming, trage afhandeling

Protocol wordt niet gevolgd

Verkeersborden zijn niet op tijd of onvoldoende duidelijk

Restrisico’s Keten

Werkplek

Verkeerscentrale Rekencentrum

Verkeersinformatienetwerk

R6

Camerabediening

Camera’s R1

R2 R3 Wegkantsysteem

Matrixbord

Verkeersmanagementsoftware

R4

R5 Plan A

Schouwen weginspecteur ter plaatse

Telefonie

Beoordelen Neerzetten verkeersborden bij spitsstrook Plan B

R7

Gekozen aanpak …voorbeeld risicoafweging



Gekozen aanpak overheids “compliance”

Wet bescherming persoonsgegevens

Voorschrift informatiebeveiliging Rijksdienst

Baseline Informatiebeveiliging Rijksdienst

Meldplicht Cybersecurity

Wet datalekken .......

Risicoafweging: is basisniveau voldoende voor RWS ?

Basisniveau’s plus dreigingsprofiel

R R

R



Baseline Informatiebeveiliging Rijksdienst etc.

Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat

Gekozen aanpak baseline naar executie

aanvullende securitymaatregelen objecten RWS

Beveiligen IA

Beveiligen kritieke IV

Beveiligen generieke IV

Vertrouwelijke gegevens

Programma Beveiligd Werken RWS



Systematisch objecten langsgaan om te beveiligen!

• Vaste teams

• Per object totale aanpak

• Cyber Security Implementatie Richtlijn

Programma BWR …beveiligen IA

Beveiligen van industriële automatisering specifiek

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=ukgwKL9_Y1dXSM&tbnid=15HaQI-L9Bh3QM:&ved=0CAUQjRw&url=http://verkeersland.be/sitemap.php&ei=T9xoUrDdJ6j50gWatIDACA&bvm=bv.55123115,d.bGE&psig=AFQjCNG9qxM9elh-IHzFR9ygm5CTHxlJ6w&ust=1382690211120



Beveiligen

Informatievoorziening en ICT op baseline niveau

VIR, BIR en CSIR etc.

Infra bouwstenen(OS’en, virtualisatie, etc.)

Netwerkcomponenten(bekabeling, routers, switches, etc.)

Technische bouwstenen(middleware)

Applicatie

Informatievoorzieningsproces (ITIL, BiSL, ASL)

RWS Bedrijfsvoeringsproces (HR, inkoop)

Volledige lijst BIR-normen

Sub-set relevante normen

Sub-set relevante BIR-normen


BIR Tactisch Normenkader Gebruikersproces

Gebruikers BIR-compliant

dienstSub-set

BIR

-no

rmen

Sub-set normen

Sub-set


Programma BWR … beveiligen IV/ICT keten



Gegevensclassificatie

Informatie-klasse

Classificatie Maatregel

RWS-O Ongeclassificeerd Mag iedereen hebben en weten, dus mag op internet, intranet, aan de muur, op je bureau, in je gmail etc

RWS-I RWS Bedrijfsinformatie

Alleen voor wie het moet weten om te kunnen werken, (“need to Know!”). Versturen & opslaan in/met RWS middelen.

RWS-II Departementaal Vertrouwelijk

Echt beschermen tegen diefstal, dus achter slot, of versleuteld (encrypted) opslaan, niet op je bureau laten liggen etc.

+

voorbeeldgedrag hulp

= succes

Programma BWR …vertrouwelijke gegevens



1e lijn 2e lijn 3e lijn

CISO – office en Security operating center

Lijnorganisatie

Risicoanalyse en

Treffen maatregelen

Beheersdoelen

en risicostrategie Controleren

Audit dienst

Rekenkamer

• Informatie Beveiligings Organisatie & CISO functie geformaliseerd door bestuur RWS

• Cyber Security Strategie 1.0 vastgesteld met roadmap en uitvoeringsplan in jaarplan IV proces RWS

Programma BWR …naar Borging!!!



Jaarlijks plan voor Risicoanalyse op Kritieke systemen en objecten

Implementeren uitvoeren/werking en Bewaken (lijn/programma)

Evalueren en verbeteren

Toetsen, toezicht en In Control- Verklaring

plan

do

check

act

Te beschermen belangen

Beheerde Informatiebeveiliging

Ministerie van Infrastructuur en Milieu

Ketenpartners

Wet bescherming persoonsgegevens

Voorschrift informatiebeveiliging Rijksdienst

Baseline Informatiebeveiliging Rijksdienst

Meldplicht Cybersecurity

Wet datalekken etc.

Belanghebbenden

CIO/CISO

Risicostrategie bestuur (3 x per jaar)

Informatie Beveiliging …Borging!!!



Cyber Security visie



De Informatievoorziening en industriële automatisering van RWS, haar klanten en ketenpartners beschermen tegen:

• Cybercrime • Misbruik • Technische uitval • Fouten

Cyber Security missie



Nederland veiliger maken door:

• Leveren secure producten en diensten • Samenwerken met security (keten)partners • Voorzien in expertrol ICS/SCADA security tbv BV-NL • Deelname aan het Nationaal Respons Netwerk en Nat. Detectie Netwerk • Preventief opsporen van cyber aanvallen

Cyber Security ambitie



Cyber Security strategie

Hoe en in welke volgorde we onze doelen gaan bereiken !!!



Geen details over security problemen

Gebruik van vergrote tekst voor snellezen

Begrijpelijk voor niet-techneuten en niet-RWS-ers

CLASSIFICEREN

Classificeren is het bepalen van vertrouwelijkheid van informatie. Classificeren maakt het beter mogelijk om informatie tijdens het verwerkingsproces te beschermen. Rijkswaterstaat streeft naar 100% classificeren van informatie vanaf 2016.

Binnen Rijkswaterstaat hebben we te maken met vertrouwelijkheid in het belang van de overheid en vertrouwelijkheid in het belang van privé personen (persoonsgegevens).

De classificatie geeft de mate van vertrouwelijkheid van de informatie weer en bepaalt hoe met de informatie moet worden omgegaan. Medewerkers moeten het zich eigen maken om als eerste stap bij het maken van een nieuw document een classificatie toe te kennen.

Door informatie te classificeren, wordt duidelijk welke informatie moet worden beschermd tegen ongewenste inzage en welke niet. De RWS Ongeclassificeerdeinformatie kan gemakkelijker worden gedeeld in samenwerkingsverbanden en kan via minder beveiligde verbindingen worden gecommuniceerd, dan hoger geclassificeerde informatie.

In 2014 konden Rijkswaterstaat medewerkers zichzelf vertrouwd maken met de classificaties voor vertrouwelijkheid via de instructie vertrouwelijkheid.

In 2015 stelt Rijkswaterstaat zijn medewerkers verplicht om informatie en gegevens op de juiste wijze te classificeren.

In 2015 begint het management met het aanspreken van medewerkers die zich niet aan de richtlijnen houden.

* Persoonsgegevens zoals naam, adres, woonplaats, telefoonnr.

**Persoonsgegevens zoals medische gegevens, BSN, etc.


RWS Bedrijfsinformatie

WBP-A*

Departementaal Vertrouwelijk

WBP-B**

30RWS Ongeclassificeerd

Links naar achtergrondinformatie voor geïnteresseerden

Cyber Security strategie …makkelijk leesbaar



Opbouw in thema’s

INHOUD

Werken met risicomanagement

Missie Kritieke Ketens

Innovaties in de ketens

Digitale dienstverlening

Werken bij Rijkswaterstaat

Veilig samenwerken

Security architectuur

Security processen

Monitoring, audit en ingrijpen

1 2 3Pagina’s 3-7

Veilig vitaal Veilige interactie Integrale aanpak

Pagina’s 22-35 Pagina’s 8-21 Pagina’s 36-56

2

Aanleiding

0


Security organisatie en processen

Thema’s Programma Beveiligd Werken Rijkswaterstaat

“Nieuwe” thema’s

Cyber Security strategie …opbouw in thema’s



Werken met risicomanagement

Missie Kritieke Ketens

Innovaties in de ketens

Digitale dienstverlening

Werken bij Rijkswaterstaat

Veilig samenwerken

Impact op mensenlevens

Impact op financiën en imago

Veilig vitaal Veilige interactie

Cyber Security strategie …Risico thema’s



Enterprise Security architectuur

Cyber Security strategie …integrale aanpak Integrale aanpak

http://rro.sourceforge.net/



Security management Security by design

Security in ITIL-processen

Cyber Security strategie …integrale aanpak

Integrale aanpak




Component testen Software implementatie

REALI - SATIE:

In Bedrijfs - stelling

TMP

TeMP

SDP

SSS - VO

SSDD - VO

STP SAT

IRS - VO

SSS - DO

SSDD - DO IRS - DO

SRS - DO

SDD - DO IDD - DO

SSS

SSDD IRS

SRS

SDD IDD

STD iFAT

STP iFAT

STP iSAT

STD FAT

STP FAT

STD iSAT

STP SIT

STD SIT

STD SAT

STR FAT

STR iFAT

STR iSAT

STR SAT

STR SIT

Deel - systeem

Deel - systeem

STR comp .

Technisch Systeem in fabriek

Technisch Systeem on site

Functionerend integraal technisch

Systeem on site

Werkend systeem in

operationele context

Operationeel systeem in

gebruik en in beheer in RWS

Definieren project

Definieren systeem

Specificeren systeem

Systeem ontwerp

PMP

SES

OS MS

Technisch ontwerp

Detail ontwerp

K ES Veiligh . Risico’s

Veiligh . Plan

Functionele baseline

Technische baseline

Realisatie/bouw baseline

eisen ( requirements ) baseline

Project baseline

business baseline

componenten baseline

deelsysteem baseline

fabriek baseline

site baseline

Functioneel systeem baseline

Operationeel systeem baseline

Machinev. dossier

Inkopen componenten PAT

comp .

Realiseren componenten

Oplever dossier

Handlei - dingen .

SSS

SSDD IRS

SRS

SDD

IDD

Incidenten Problems Changes.

REALI - SATIE Uit -

voering

Project Plan

WWA fase

Producten

Systeem (deel)

Document

mijlpaal / baseline

REALI - SATIE :

Definitief Ontwerp

REALI - SATIE :

Voor Ontwerp

REALI - SATIE : Uitvoerings

Ontwerp

ONTWIK - KELING Contract voorbe - reiding

ONTWIK - KELING

Plan uitwerking

Markt: Realisatie en V&V RWS: SCB en RWS - V&V

RWS: Ontwikkeling, Realisatie en Exploitatie

EXPLOI - TATIE Gebruik,

Beheer en

Onderhoud

OCD.

CDR

PDR

S DR IFAT

S AT

SIT

ISAT

ONTWIK - KELING:

Inrichten project

MIRT 3 Uit - voeringsbesluit

MIRT 2 Voorkeursbesluit Gate 3

Gate 4

Oplevering ON

Ingebruikname

Bouw en aanschaf componenten

Bouw

Integreren componenten

Integreren deelsystemen

Integreren on site

Ac - cep -

tatie

VERKEN - NING

BC Definieren opdracht Op -

dracht Voorkeurs - variant

SRA

SRR

Dialoog

V&V plan

FAT

OCD. Faaldel . PMS

CMDB

Kad

Classificatie

Systeemeisen

CSIR CS Beveiligingsplan


PROCES Vernieuwing

& exploitatie

Integrale aanpak



Vertaling Baseline informatiebeveiliging Rijksdienst naar Cybersecurity

CS Bijlagen

DBFM

RWS contracteisen proces

D&C

PC

Basisspecificaties - LTS - LBS - DVM - Etc.

RWS contracteisen systeem

SCB

Rijkskader BIR

NCSC

RWS vertaling BIR

15 maart 2016


Integrale aanpak



Proceseisen

Systeemeisen

Baseline Informatiebeveiliging

Rijk (BIR)

CS Bijlagen


Gemeenten (BIG)

ISO

27001 /

27002

Interprovinciale Baseline

Informatiebeveiliging (IBI)


Waterschappen (BIWA)

15 maart 2016

Cyber Security strategie …integrale aanpak DE KETEN PARTNERS

Integrale aanpak




Security by design functie

Ontwikkelt en levert beveiliging in

producten en diensten

Security proces besturingsfunctie

Geeft richting, organiseert en bestuurt

security

24/7

REDUNDANT

Integrale aanpak




CISO …communicatie

cybersecurity strategie - cob

Documents