cybersecurity strategie - cob
TRANSCRIPT
Cybersecurity Strategie ……
voor droge voeten!!!
Sandor de Coninck
CTO & CISO Rijkswaterstaat
RWS Ongeclassificeerd
Rijkswaterstaat I-beveiliging
2 Cybersecurity strategie RWS ONGECLASSIFICEERD
RWS NETWERKEN
Rijkswaterstaat I-beveiliging
3 Cybersecurity strategie RWS ONGECLASSIFICEERD
RWS NETWERKEN
Geven uitvoering aan de doelen van Rijkswaterstaat:
• droge voeten, voldoende en schoon water
• vlot en veilig verkeer over wegen en vaarwegen
• verbindende informatievoorziening
• slagvaardig crisismanagement
Hoofdwatersysteem Hoofdvaarwegennetwerk Hoofdwegennetwerk
Crisismanagement
Informatievoorziening
Rijkswaterstaat I-beveiliging
4 Cybersecurity strategie RWS ONGECLASSIFICEERD
Leefomgeving
Digitale infrastructuur
Voldoende schoon water
Waterveiligheid
Mobiliteit
RWS koers 2020
Rijkswaterstaat I-beveiliging
5 Cybersecurity strategie RWS ONGECLASSIFICEERD
RWS i-Visie & i-Strategie
Rijkswaterstaat I-beveiliging
6 Cybersecurity strategie RWS ONGECLASSIFICEERD
RWS i-Visie & i-Strategie
Rijkswaterstaat I-beveiliging
7 Cybersecurity strategie RWS ONGECLASSIFICEERD
??? Is cyber security… belangrijk voor RWS???
• Mensenlevens
• Economische schade
• Imagoschade
Kortom:
beveiliging infrastructuur is cruciaal!
Rijkswaterstaat I-beveiliging
8 Cybersecurity strategie RWS ONGECLASSIFICEERD
Het gebeurde echt ! ….in 2012 gemaal Veere !!! feb. 2012 door Bas Bareman
Nieuws - De SCADA-systemen van rioleringspompen en gemalen van de gemeente Veere blijken slecht beveiligd. Hackers kunnen de systemen manipuleren vanuit huis. De gemeente is geschrokken.
2012 Algemene Reken Kamer audit.
2013 programma analyse objecten.
2013 ruim 2800 maatregelen benoemd.
2014 start programma Beveiligd Werken RWS.
Gekozen aanpak …oorzaak en gevolg
REACTIE !!! .... en gevolg !!!
Rijkswaterstaat I-beveiliging
9 Cybersecurity strategie RWS ONGECLASSIFICEERD
Gekozen aanpak …mitigatie strategie
Geaccepteerd
Risico Niveau
Blijvend Acceptabel Restrisico
Tijdelijk
Acceptabel
Restrisico
Bestaand Risico Niveau
Tijd
Start 2014
M1
M2
M3
0
%
2016 2017 2015
Rijkswaterstaat I-beveiliging
10 Cybersecurity strategie RWS ONGECLASSIFICEERD 17-10-201611 april
2013
Beschikbaarheid maatschappelijk Vitaal Proces Waterkeren
Dijkkringen
Waterkeringen
Risicogebieden
Gekozen aanpak Prioriteit 1
Rijkswaterstaat I-beveiliging
11 Cybersecurity strategie RWS ONGECLASSIFICEERD 17-10-201611 april
2013
Zeevaart Luchtvaart
Mainports
Spoor
Weg
Vaarweg
Beschikbaarheid Transportketens op Inter- & Nationaal niveau
Gekozen aanpak Prioriteit 2
Rijkswaterstaat I-beveiliging
12 Cybersecurity strategie RWS ONGECLASSIFICEERD
Risico afweging tussen techniek en mens
Plan A: De reguliere situatie Techniek ontlast mensen, zo efficiënt mogelijk
Plan B: De terugvaloptie, als Plan A faalt Zo min mogelijk afhankelijk van techniek.
Sterk afhankelijk van mensen en de kennis bij mensen
Restrisico’s: Als ook Plan B faalt Voor het management acceptabel gezien impact en/of kans
Gekozen aanpak …risico afweging proces
Rijkswaterstaat I-beveiliging
13 Cybersecurity strategie RWS ONGECLASSIFICEERD 17-10-201611 april
2013
Beoordelen & Beslissen
Inwinnen & Valideren Ingrijpen, Informeren & Alarmeren
De weginspecteur komt niet op tijd op bestemming, trage afhandeling
Protocol wordt niet gevolgd
Verkeersborden zijn niet op tijd of onvoldoende duidelijk
Restrisico’s Keten
Werkplek
Verkeerscentrale Rekencentrum
Verkeersinformatienetwerk
R6
Camerabediening
Camera’s R1
R2 R3 Wegkantsysteem
Matrixbord
Verkeersmanagementsoftware
R4
R5 Plan A
Schouwen weginspecteur ter plaatse
Telefonie
Beoordelen Neerzetten verkeersborden bij spitsstrook Plan B
R7
Gekozen aanpak …voorbeeld risicoafweging
Rijkswaterstaat I-beveiliging
14 Cybersecurity strategie RWS ONGECLASSIFICEERD
Gekozen aanpak overheids “compliance”
Wet bescherming persoonsgegevens
Voorschrift informatiebeveiliging Rijksdienst
Baseline Informatiebeveiliging Rijksdienst
Meldplicht Cybersecurity
Wet datalekken .......
Risicoafweging: is basisniveau voldoende voor RWS ?
Basisniveau’s plus dreigingsprofiel
R R
R
Rijkswaterstaat I-beveiliging
15 Cybersecurity strategie RWS ONGECLASSIFICEERD
Baseline Informatiebeveiliging Rijksdienst etc.
Cybersecurity Implementatierichtlijn Objecten Rijkswaterstaat
Gekozen aanpak baseline naar executie
aanvullende securitymaatregelen objecten RWS
Beveiligen IA
Beveiligen kritieke IV
Beveiligen generieke IV
Vertrouwelijke gegevens
Programma Beveiligd Werken RWS
Rijkswaterstaat I-beveiliging
16 Cybersecurity strategie RWS ONGECLASSIFICEERD
Systematisch objecten langsgaan om te beveiligen!
• Vaste teams
• Per object totale aanpak
• Cyber Security Implementatie Richtlijn
Programma BWR …beveiligen IA
Beveiligen van industriële automatisering specifiek
Rijkswaterstaat I-beveiliging
17 Cybersecurity strategie RWS ONGECLASSIFICEERD
Beveiligen
Informatievoorziening en ICT op baseline niveau
VIR, BIR en CSIR etc.
Infra bouwstenen(OS’en, virtualisatie, etc.)
Netwerkcomponenten(bekabeling, routers, switches, etc.)
Technische bouwstenen(middleware)
Applicatie
Informatievoorzieningsproces (ITIL, BiSL, ASL)
RWS Bedrijfsvoeringsproces (HR, inkoop)
Volledige lijst BIR-normen
Sub-set relevante normen
Sub-set relevante BIR-normen
Sub-set relevante BIR-normen
BIR Tactisch Normenkader Gebruikersproces
Gebruikers BIR-compliant
dienstSub-set
BIR
-no
rmen
Sub-set normen
Sub-set
Sub-set relevante BIR-normen
Programma BWR … beveiligen IV/ICT keten
Rijkswaterstaat I-beveiliging
18 Cybersecurity strategie RWS ONGECLASSIFICEERD
Gegevensclassificatie
Informatie-klasse
Classificatie Maatregel
RWS-O Ongeclassificeerd Mag iedereen hebben en weten, dus mag op internet, intranet, aan de muur, op je bureau, in je gmail etc
RWS-I RWS Bedrijfsinformatie
Alleen voor wie het moet weten om te kunnen werken, (“need to Know!”). Versturen & opslaan in/met RWS middelen.
RWS-II Departementaal Vertrouwelijk
Echt beschermen tegen diefstal, dus achter slot, of versleuteld (encrypted) opslaan, niet op je bureau laten liggen etc.
+
voorbeeldgedrag hulp
= succes
Programma BWR …vertrouwelijke gegevens
Rijkswaterstaat I-beveiliging
19 Cybersecurity strategie RWS ONGECLASSIFICEERD
1e lijn 2e lijn 3e lijn
CISO – office en Security operating center
Lijnorganisatie
Risicoanalyse en
Treffen maatregelen
Beheersdoelen
en risicostrategie Controleren
Audit dienst
Rekenkamer
• Informatie Beveiligings Organisatie & CISO functie geformaliseerd door bestuur RWS
• Cyber Security Strategie 1.0 vastgesteld met roadmap en uitvoeringsplan in jaarplan IV proces RWS
Programma BWR …naar Borging!!!
Rijkswaterstaat I-beveiliging
20 Cybersecurity strategie RWS ONGECLASSIFICEERD
Jaarlijks plan voor Risicoanalyse op Kritieke systemen en objecten
Implementeren uitvoeren/werking en Bewaken (lijn/programma)
Evalueren en verbeteren
Toetsen, toezicht en In Control- Verklaring
plan
do
check
act
Te beschermen belangen
Beheerde Informatiebeveiliging
Ministerie van Infrastructuur en Milieu
Ketenpartners
Wet bescherming persoonsgegevens
Voorschrift informatiebeveiliging Rijksdienst
Baseline Informatiebeveiliging Rijksdienst
Meldplicht Cybersecurity
Wet datalekken etc.
Belanghebbenden
CIO/CISO
Risicostrategie bestuur (3 x per jaar)
Informatie Beveiliging …Borging!!!
Rijkswaterstaat I-beveiliging
21 Cybersecurity strategie RWS ONGECLASSIFICEERD
Cyber Security visie
Rijkswaterstaat I-beveiliging
22 Cybersecurity strategie RWS ONGECLASSIFICEERD
De Informatievoorziening en industriële automatisering van RWS, haar klanten en ketenpartners beschermen tegen:
• Cybercrime • Misbruik • Technische uitval • Fouten
Cyber Security missie
Rijkswaterstaat I-beveiliging
23 Cybersecurity strategie RWS ONGECLASSIFICEERD
Nederland veiliger maken door:
• Leveren secure producten en diensten • Samenwerken met security (keten)partners • Voorzien in expertrol ICS/SCADA security tbv BV-NL • Deelname aan het Nationaal Respons Netwerk en Nat. Detectie Netwerk • Preventief opsporen van cyber aanvallen
Cyber Security ambitie
Rijkswaterstaat I-beveiliging
24 Cybersecurity strategie RWS ONGECLASSIFICEERD
Cyber Security strategie
Hoe en in welke volgorde we onze doelen gaan bereiken !!!
Rijkswaterstaat I-beveiliging
25 Cybersecurity strategie RWS ONGECLASSIFICEERD
Geen details over security problemen
Gebruik van vergrote tekst voor snellezen
Begrijpelijk voor niet-techneuten en niet-RWS-ers
CLASSIFICEREN
Classificeren is het bepalen van vertrouwelijkheid van informatie. Classificeren maakt het beter mogelijk om informatie tijdens het verwerkingsproces te beschermen. Rijkswaterstaat streeft naar 100% classificeren van informatie vanaf 2016.
Binnen Rijkswaterstaat hebben we te maken met vertrouwelijkheid in het belang van de overheid en vertrouwelijkheid in het belang van privé personen (persoonsgegevens).
De classificatie geeft de mate van vertrouwelijkheid van de informatie weer en bepaalt hoe met de informatie moet worden omgegaan. Medewerkers moeten het zich eigen maken om als eerste stap bij het maken van een nieuw document een classificatie toe te kennen.
Door informatie te classificeren, wordt duidelijk welke informatie moet worden beschermd tegen ongewenste inzage en welke niet. De RWS Ongeclassificeerdeinformatie kan gemakkelijker worden gedeeld in samenwerkingsverbanden en kan via minder beveiligde verbindingen worden gecommuniceerd, dan hoger geclassificeerde informatie.
In 2014 konden Rijkswaterstaat medewerkers zichzelf vertrouwd maken met de classificaties voor vertrouwelijkheid via de instructie vertrouwelijkheid.
In 2015 stelt Rijkswaterstaat zijn medewerkers verplicht om informatie en gegevens op de juiste wijze te classificeren.
In 2015 begint het management met het aanspreken van medewerkers die zich niet aan de richtlijnen houden.
* Persoonsgegevens zoals naam, adres, woonplaats, telefoonnr.
**Persoonsgegevens zoals medische gegevens, BSN, etc.
RWS Ongeclassificeerd
RWS Bedrijfsinformatie
WBP-A*
Departementaal Vertrouwelijk
WBP-B**
30RWS Ongeclassificeerd
Links naar achtergrondinformatie voor geïnteresseerden
Cyber Security strategie …makkelijk leesbaar
Rijkswaterstaat I-beveiliging
26 Cybersecurity strategie RWS ONGECLASSIFICEERD
Opbouw in thema’s
INHOUD
Werken met risicomanagement
Missie Kritieke Ketens
Innovaties in de ketens
Digitale dienstverlening
Werken bij Rijkswaterstaat
Veilig samenwerken
Security architectuur
Security processen
Monitoring, audit en ingrijpen
1 2 3Pagina’s 3-7
Veilig vitaal Veilige interactie Integrale aanpak
Pagina’s 22-35 Pagina’s 8-21 Pagina’s 36-56
2
Aanleiding
0
RWS Ongeclassificeerd
Security organisatie en processen
Thema’s Programma Beveiligd Werken Rijkswaterstaat
“Nieuwe” thema’s
Cyber Security strategie …opbouw in thema’s
Rijkswaterstaat I-beveiliging
27 Cybersecurity strategie RWS ONGECLASSIFICEERD
Werken met risicomanagement
Missie Kritieke Ketens
Innovaties in de ketens
Digitale dienstverlening
Werken bij Rijkswaterstaat
Veilig samenwerken
Impact op mensenlevens
Impact op financiën en imago
Veilig vitaal Veilige interactie
Cyber Security strategie …Risico thema’s
Rijkswaterstaat I-beveiliging
28 Cybersecurity strategie RWS ONGECLASSIFICEERD
Enterprise Security architectuur
Cyber Security strategie …integrale aanpak Integrale aanpak
Rijkswaterstaat I-beveiliging
29 Cybersecurity strategie RWS ONGECLASSIFICEERD
Security management Security by design
Security in ITIL-processen
Cyber Security strategie …integrale aanpak
Integrale aanpak
Rijkswaterstaat I-beveiliging
30 Cybersecurity strategie RWS ONGECLASSIFICEERD
Component testen Software implementatie
REALI - SATIE:
In Bedrijfs - stelling
TMP
TeMP
SDP
SSS - VO
SSDD - VO
STP SAT
IRS - VO
SSS - DO
SSDD - DO IRS - DO
SRS - DO
SDD - DO IDD - DO
SSS
SSDD IRS
SRS
SDD IDD
STD iFAT
STP iFAT
STP iSAT
STD FAT
STP FAT
STD iSAT
STP SIT
STD SIT
STD SAT
STR FAT
STR iFAT
STR iSAT
STR SAT
STR SIT
Deel - systeem
Deel - systeem
STR comp .
Technisch Systeem in fabriek
Technisch Systeem on site
Functionerend integraal technisch
Systeem on site
Werkend systeem in
operationele context
Operationeel systeem in
gebruik en in beheer in RWS
Definieren project
Definieren systeem
Specificeren systeem
Systeem ontwerp
PMP
SES
OS MS
Technisch ontwerp
Detail ontwerp
K ES Veiligh . Risico’s
Veiligh . Plan
Functionele baseline
Technische baseline
Realisatie/bouw baseline
eisen ( requirements ) baseline
Project baseline
business baseline
componenten baseline
deelsysteem baseline
fabriek baseline
site baseline
Functioneel systeem baseline
Operationeel systeem baseline
Machinev. dossier
Inkopen componenten PAT
comp .
Realiseren componenten
Oplever dossier
Handlei - dingen .
SSS
SSDD IRS
SRS
SDD
IDD
Incidenten Problems Changes.
REALI - SATIE Uit -
voering
Project Plan
WWA fase
Producten
Systeem (deel)
Document
mijlpaal / baseline
REALI - SATIE :
Definitief Ontwerp
REALI - SATIE :
Voor Ontwerp
REALI - SATIE : Uitvoerings
Ontwerp
ONTWIK - KELING Contract voorbe - reiding
ONTWIK - KELING
Plan uitwerking
Markt: Realisatie en V&V RWS: SCB en RWS - V&V
RWS: Ontwikkeling, Realisatie en Exploitatie
EXPLOI - TATIE Gebruik,
Beheer en
Onderhoud
OCD.
CDR
PDR
S DR IFAT
S AT
SIT
ISAT
ONTWIK - KELING:
Inrichten project
MIRT 3 Uit - voeringsbesluit
MIRT 2 Voorkeursbesluit Gate 3
Gate 4
Oplevering ON
Ingebruikname
Bouw en aanschaf componenten
Bouw
Integreren componenten
Integreren deelsystemen
Integreren on site
Ac - cep -
tatie
VERKEN - NING
BC Definieren opdracht Op -
dracht Voorkeurs - variant
SRA
SRR
Dialoog
V&V plan
FAT
OCD. Faaldel . PMS
CMDB
Kad
Classificatie
Systeemeisen
CSIR CS Beveiligingsplan
Cyber Security strategie …integrale aanpak
PROCES Vernieuwing
& exploitatie
Integrale aanpak
Rijkswaterstaat I-beveiliging
31 Cybersecurity strategie RWS ONGECLASSIFICEERD
Vertaling Baseline informatiebeveiliging Rijksdienst naar Cybersecurity
CS Bijlagen
DBFM
RWS contracteisen proces
D&C
PC
Basisspecificaties - LTS - LBS - DVM - Etc.
RWS contracteisen systeem
SCB
Rijkskader BIR
NCSC
RWS vertaling BIR
15 maart 2016
Cyber Security strategie …integrale aanpak
Integrale aanpak
Rijkswaterstaat I-beveiliging
32 Cybersecurity strategie RWS ONGECLASSIFICEERD
Proceseisen
Systeemeisen
Baseline Informatiebeveiliging
Rijk (BIR)
CS Bijlagen
Baseline Informatiebeveiliging
Gemeenten (BIG)
ISO
27001 /
27002
Interprovinciale Baseline
Informatiebeveiliging (IBI)
Baseline Informatiebeveiliging
Waterschappen (BIWA)
15 maart 2016
Cyber Security strategie …integrale aanpak DE KETEN PARTNERS
Integrale aanpak
Rijkswaterstaat I-beveiliging
33 Cybersecurity strategie RWS ONGECLASSIFICEERD
Cyber Security strategie …integrale aanpak
Security by design functie
Ontwikkelt en levert beveiliging in
producten en diensten
Security proces besturingsfunctie
Geeft richting, organiseert en bestuurt
security
24/7
REDUNDANT
Integrale aanpak
Rijkswaterstaat I-beveiliging
34 Cybersecurity strategie RWS ONGECLASSIFICEERD
CISO …communicatie