Een cyberaanval die de toevoer van ons drinkwater bedreigt. Het lijkt onmogelijk, maar het kan gebeuren. Hoe houd je de cybersecurity van een waterleidingbedrijf op peil? Nivo-consultant Jeroen Veraart hielp een drinkwaterleverancier met het vinden van de juiste partij via een aanbesteding.
Iedere dag onbeperkt schoon water uit de kraan, dat vinden we heel vanzelfsprekend. Toch is het een flinke uitdaging om nu en in de toekomst schoon drinkwater te garanderen. Drinkwaterleveranciers leveren drinkwater aan particulieren, bedrijven en instellingen in heel Nederland. Zoals in iedere sector zijn deze bedrijven steeds afhankelijker van technologie. Om cyberdreigingen vóór te zijn, wilde het waterbedrijf een security operations center (SOC) inschakelen.
Omgeving 24/7 monitoren
Het werk van een SOC kun je vergelijken met de beveiliging van een pand, legt Jeroen uit. ‘Je huurt dan een bedrijf in dat sensoren en camera’s plaatst en de omgeving monitort. Gaat er een alarm af, dan komt de beveiligingspartij. In de digitale wereld werkt het eigenlijk hetzelfde. Alle digitale events en logging binnen een omgeving komen binnen in een centrale oplossing binnen en worden 24/7 gemonitord. Is er een hackpoging? Zijn er gekke verkeersstromen? Gaat er data naar buiten? Dan kan het digitale beveiligingsbedrijf hierop reageren. Vooral grote bedrijven maken vaak gebruik van een SOC-dienstverlener.’
Europese aanbesteding
Omdat waterbedrijven semi-overheidspartij zijn, was het bedrijf verplicht om de SOC-dienstverlening Europees aan te besteden. Dat is verplicht boven een bepaald bedrag. En om de juiste kandidaat te vinden, was het belangrijk dat de cybersecuritybehoefte in de aanbestedingsteksten goed omschreven werd. Daarvoor kwam waterbedrijf bij Nivo terecht. Jeroen: ‘Mijn taak was om in die aanbesteding de best mogelijke partij naar boven te brengen. Ik was er om te adviseren over de inhoud. Waar moet je op letten in de aanbesteding? Wat is belangrijk en wat niet?’
Om die vragen te kunnen beantwoorden, moest Jeroen meer te weten komen over deze organisatie, over wat er beveiligd moest worden en hoe. Dat hij meer dan twintig jaar ervaring heeft als security-consultant, kwam hem daarbij goed van pas. ‘Ik ken deze wereld vanuit grote en kleine organisaties die securitybedrijven inhuren, maar ook vanuit die securitybedrijven zelf omdat ik aan beide kanten werkzaam ben geweest’
Het is daarbij volgens Jeroen gevaarlijk om alleen naar de technologie te kijken. ‘Security draait om mensen, processen én technologie. Ik heb om te beginnen dan ook veel research gedaan en veel stakeholders geïnterviewd.’
Appels met peren vergelijken
Een belangrijke voorwaarde was dat de te kiezen partij de beveiliging aankon van zowel de kantooromgeving (IT) als de operationele omgeving (OT). Dat had volgens Jeroen behoorlijke consequenties. ‘Een industriële omgeving veilig houden, is iets heel anders dan een kantooromgeving. Beide stellen andere eisen en hebben ook hun eigen specifieke normeringen voor kwaliteit. We moesten in de aanbesteding op zoek naar een partij die beide aankon.’
Een andere uitdaging was dat de SOC-markt nog relatief onvolwassen is. ‘Iedereen heeft zijn eigen dienstverlening en geeft er zijn eigen naam aan. Dat maakt de zaken soms heel complex. Je moet oppassen dat je geen appels met peren gaat vergelijken. Bovendien moet je zorgen dat altijd duidelijk is wie verantwoordelijk is voor de respons na detectie van een kwetsbaarheid.’
Na een marktverkenning, die bestond uit gesprekken met een vijftal aanbieders, hielp Jeroen bij het opstellen van de documenten voor de Europese aanbesteding. Vervolgens werd de aanbesteding op het Europese portaal geplaatst. Een team van medewerkers, onder meer mensen van de interne inkoop- en security-afdeling, hebben uiteindelijk ieder een onafhankelijke beoordeling gedaan. Op basis van gesprekken is ten slotte een partij gekozen.
Informatie vanuit alle invalshoeken
"Het adviseren bij deze uitbesteding is mij op het lijf geschreven", vertelt Jeroen. "Hoewel ik een heel technische achtergrond heb, heb ik in de loop van de jaren veel ervaring opgedaan met primaire bedrijfsprocessen en hier veel interesse in ontwikkeld. Ik vind het leuk om alle informatie van alle invalshoeken te verzamelen. En dat je bij de mensen uit de business aan tafel zit. Reken maar dat die kritisch zijn. Bij security geef je veel geld uit en moet je er voor zorgen dat de meerwaarde zichtbaar of zelf meetbaar kan worden gemaakt. Gelukkig wordt cybersecurity steeds serieuzer genomen."