Het hoogheemraadschap van Rijnland heeft als eerste waterschap het certificaat volgens de norm IEC 62443 verworven. Het gaat om de procesautomatisering van waterzuiveringen en rioolgemalen, die nu voldoet aan deze internationale standaard voor cybersecurity binnen de operationele technologie. De bedoeling is om de komende jaren ook de andere vitale processen te certificeren.
De certificering is het sluitstuk van de renovatie van de 22 afvalwaterzuiveringsinstallaties en 80 persgemalen voor rioolwater van het hoogheemraadschap van Rijnland. Deze zijn vanaf 2013 allemaal vernieuwd op basis van de architectuur van de beveiligingstandaard IEC 62443. “Het belangrijkste vanuit securityperspectief is het handhaven van een veilige en stabiele situatie”, zegt Hans Smit, adviseur informatiebeveiliging procesautomatisering bij Rijnland. “Procesautomatisering is daarvoor voorwaarde nummer één.”
Hans Smit
De operationele processen bevatten verschillende van elkaar gescheiden lagen. Ook worden de awzi’s en rioolgemalen tegenwoordig op dezelfde manier van afstand bestuurd. Daarvoor is een centrale proceskamer op het hoofdkantoor van Rijnland ingericht. Smit: “Een enorme verandering want vroeger draaide een zuivering zelfstandig. Alle ICT-medewerkers die zijn betrokken bij procesautomatisering, zijn nu in één team ondergebracht.”
Waarborg van kwaliteit
Volgens Smit is de certificeringsprocedure een waarborg voor de kwaliteit van de renovatie. “Wij willen met het certificaat laten zien dat alle processen op orde zijn. Waar we vroeger een voldoende voor cybersecurity scoorden, durf ik nu wel te zeggen dat we op een goed of nog beter niveau zitten. Dat is ook belangrijk naar de omgeving toe. Al zijn we nooit volledig ‘waterdicht’.”
De IEC 62443 heeft vier beveiligingsniveaus, van nog relatief licht tot uitzonderlijk zwaar. Het hangt af van de vitaliteit van het object welke securitymaatregelen voor procesautomatisering nodig zijn. “Voor onze waterzuiveringen en rioolgemalen gaat het om niveau 2. Hierin is een breed palet aan digitale en fysieke maatregelen meegenomen. Er zijn onder meer harde eisen voor de toegangscontrole, het alarmsysteem en de aanwezigheidslijsten.”
-advertentie-
Weeffoutjes eruit gehaald
Rijnland heeft bij het behalen van dit niveau samengewerkt met het bedrijf Hudson Cybertec, vertelt Smit. “We hebben getest of het ontwerp voor de procesautomatisering voldoet aan de norm en weeffoutjes eruit gehaald. Bijvoorbeeld een alarmmelding die niet wordt gesignaleerd. Dat was best tijdrovend.”
Essentieel is dat het systeem niet van buitenaf beïnvloedbaar is, voegt Smit eraan toe. “De voordeur moet op slot zijn, zowel digitaal als fysiek. We hebben goed gekeken of er niet door een fout in het ontwerp per ongeluk een verbinding met het internet is.” In de watersector is het normaal dat er bij een onderhoudscontract van geleverde apparatuur een verbinding met de leverancier aanwezig is. “Zulke lijntjes naar buiten wilden we niet. Alle informatie gaat eerst door ons eigen netwerk heen en dan pas naar een leverancier.”
Strenge audit
Rijnland doorstond met succes de toets, die eind februari is uitgevoerd door een auditor van het certificeringsinstituut TÜV Nederland. Die beoordeelde gedurende een week het operationele proces op twee locaties: een waterzuiveringsinstallatie en een watertransportlocatie. Dat gebeurde aan de hand van een checklist met 82 controles.
Smit omschrijft de audit als streng maar rechtvaardig. “In tegenstelling tot de ISO-norm heeft elke controle een eigen definitie van wat dit precies inhoudt, bijvoorbeeld een verbinding van een bepaalde kwaliteit. Dat biedt enerzijds duidelijkheid maar anderzijds weinig ruimte voor interpretatie. Je kunt er niet over onderhandelen.” Het verwerven van het certificaat is geen eenmalige exercitie, benadrukt Smit. “Ons systeem wordt jaarlijks gecontroleerd en elke drie jaar volgt er een hercertificering.”
Het hoogheemraadschap van Rijnland streeft ernaar om alle vitale bedrijfsonderdelen te certificeren. “Dat doen we blok voor blok. Wij zijn wel een jaar of vijf verder, voordat we alle blokken onder handen hebben genomen. Mede omdat we rekening moeten houden met de vervangingstermijn van installaties.”
Voorloper
Rijnland is een voorloper bij de vernieuwing van procesautomatisering en de certificering daarvan. De andere waterschappen zitten middenin de renovatie of beginnen eraan, vertelt Smit. “We werken bij de informatiebeveiliging goed samen in de werkgroepen van het Waterschapshuis. Mijn tip? Haal kennis binnen over de norm IEC 62443 en besluit dan hoe hoog je de lat bij cybersecurity legt, gebaseerd op een risicoanalyse. Onze installaties staan voor andere waterschappen open. Kom kijken naar onze beveiliging en haal er de punten uit die voor je eigen waterschap nodig zijn.”
MEER INFORMATIE
Rijnland over primeur met cybersecurity
Hudson Cybertec over het certificaat
