Wat als de camera’s in een tunnel uitvallen door een hack? Of als systemen niet meer met elkaar communiceren, terwijl verkeer stilvalt in een 6,6 kilometer lange tunnel?

Als de Westerscheldetunnel dicht is, moet verkeer een uur omrijden via Antwerpen. Dan staat Zeeland vast.

Als beheerder van een cruciale verbinding valt de Westerscheldetunnel onder de NIS2-richtlijn. De tunnel is essentieel voor de bereikbaarheid van Zeeland en valt daarmee onder de categorie vitale infrastructuur. 

Die verplichting was de aanleiding om op een andere manier met informatiebeveiliging aan de slag te gaan. In eerste instantie lag de focus op IT, omdat daar al beleid en maatregelen voor waren ingericht. Al snel werd tijdens het traject duidelijk dat ook de systemen die de tunnel aansturen hierin meegenomen moesten worden. Het gaat om tientallen systemen die continu met elkaar samenwerken, van camera’s en ventilatie tot signalering en hulpposten.

“Wat in onze situatie bijzonder is, is dat we begonnen met het idee dat het een IT-project was, maar er heel snel achter kwamen dat het IT én OT is”, aldus Leo Wolterman, manager bedrijfsvoering, verantwoordelijke ICT en momenteel interim-directeur bij Westerscheldetunnel.

Daarmee veranderde ook de omvang van het vraagstuk. Naast de kantooromgeving moesten ook de systemen die de tunnel beschikbaar en veilig houden onderdeel worden van de scope.

Van IT-project naar gezamenlijke aanpak

Toen duidelijk werd dat het vraagstuk verder ging dan alleen IT, moesten de eisen uit de NIS2-richtlijn breder worden vertaald naar de praktijk van de Westerscheldetunnel en de systemen die daarbij horen.

Zoals Leo Wolterman aangeeft, ligt de verantwoordelijkheid voor een groot deel van die systemen bij de aannemer. De focus ligt daar traditioneel op beschikbaarheid: systemen moeten werken, camera’s moeten beeld geven en installaties moeten blijven draaien. Tegelijkertijd is er steeds meer aandacht voor cybersecurity. De systemen moeten beschermd worden tegen verstoringen en aanvallen.

Zodoende veranderde ook de opzet van het traject. De aannemer werd betrokken als actieve deelnemer in het project en werkte mee aan de invulling van maatregelen, procedures en werkwijzen.

“Normaal zouden dit allemaal losse projecten zijn, maar hier hebben we het gewoon met elkaar gedaan.”

Volgens Leo zat de kracht van Van Voorst Consult vooral in het meebewegen met die ontwikkeling van het traject:

“Ze zagen het niet als: Dit is klant A en we maken een kopie voor klant B. Maar als: Het is een bijzondere klant en we maken hier echt een klantspecifieke implementatie van.”

Ook tussen de betrokken specialisten ontstond intensieve samenwerking. Lambert, senior adviseur bij Van Voorst Consult, werkte daarbij nauw samen met een specialist van de aannemer die landelijk bezig was met CSIR-implementaties binnen tunnelomgevingen. Volgens Leo vonden ze elkaar daarin snel, juist omdat het voor beide kanten raakvlakken had met hun eigen vakgebied.

Die flexibiliteit en samenwerking waren volgens hem een belangrijk onderdeel van het traject:
“We zijn heel blij met Van Voorst, want zij konden dat aan. Ze zijn daar heel flexibel in geweest.”

Vanuit de risicoanalyse en de eerste sessies is stap voor stap gewerkt aan het opzetten van een ISMS. Daarbij vormden bestaande maatregelen het vertrekpunt. Binnen de kantooromgeving waren al verschillende zaken goed ingericht, bijvoorbeeld rondom toegangsbeveiliging, beleid en technische maatregelen.

Lambert startte het traject met een kennismakingssessie over NIS2 en een gesprek over wensen en verwachtingen binnen de organisatie. Kort daarna volgde een risicoanalyse met het volledige MT, waarmee informatiebeveiliging direct breder op de agenda kwam te staan. Vervolgens zijn de eerste onderdelen van het ISMS opgezet en samen verder uitgewerkt voor de praktijk van de tunnelorganisatie.

Volgens Lambert was er inhoudelijk al veel geregeld binnen de organisatie, alleen waren maatregelen, verantwoordelijkheden en procedures niet overal centraal vastgelegd. Ook de aantoonbaarheid en monitoring konden verder worden verbeterd.

Het implementatietraject heeft geholpen om bestaande maatregelen scherper vast te leggen en actiever te monitoren. Daardoor werd duidelijker welke afspraken gelden, wie waarvoor verantwoordelijk is en hoe processen worden opgevolgd.

Zoals Leo aangeeft:

“De filosofie was voor de tunnelsystemen vooral: we zitten niet aan het internet (we blijven ervan af). We waren vooral gefixeerd op het beschikbaar houden van de systemen.”

Tijdens het traject is daarom gekeken naar welke maatregelen wél mogelijk waren, zonder de beschikbaarheid van de tunnel in gevaar te brengen. Dat betekende bijvoorbeeld het verbeteren van procedures, het aanscherpen van toegangsrechten en het beter vastleggen van verantwoordelijkheden.

Daarnaast zijn ook nieuwe onderdelen toegevoegd aan het ISMS, waaronder een Business Continuity Plan en een Incident Response Plan.

Eén handboek voor NIS2 en tunnelinfrastructuur

Het (organisatie)handboek vormt de basis van het ISMS en sluit aan op zowel de NIS2-richtlijn als de CSIR-richtlijnen van Rijkswaterstaat.

Waar NIS2 zich richt op informatiebeveiliging en digitale weerbaarheid, zijn de CSIR-richtlijnen specifiek opgesteld voor infrastructuur en tunnelsystemen. De CSIR is afgeleid vanuit de BIO (Baseline Informatiebeveiliging Overheid) en aangevuld met beheersmaatregelen uit de industriestandaard IEC 62443 om dekkend te zijn voor de beveiliging van procesautomatisering. Daarbij gaat het bijvoorbeeld om toegangsbeheer, verantwoordelijkheden, procedures en de beveiliging van systemen die direct invloed hebben op de beschikbaarheid van de tunnel.

Volgens Leo was juist die combinatie belangrijk voor het traject: 

“Dus we voldoen aan NIS2, dat hebben we inmiddels ook laten auditen. We hebben het handboek opgezet, het ISMS. Maar de aannemer heeft meegeholpen, omdat er ook CSIR-richtlijnen bestaan.”

De Sluiskiltunnel is al van Rijkswaterstaat maar wordt op dit moment beheerd door de WST. In 2033 wordt ook de Westerscheldetunnel overgedragen naar Rijkswaterstaat. Tot die tijd blijft de organisatie verantwoordelijk voor beheer, onderhoud en beschikbaarheid van de tunnelsystemen.

In die periode blijft informatiebeveiliging een vast onderdeel van het beheer. Het doel is om de tunnels over te dragen met aantoonbaar ingerichte processen en systemen die aansluiten op de geldende richtlijnen voor infrastructuur en cybersecurity.

Volgens Leo blijft het ISMS zich de komende jaren verder ontwikkelen:

“We hebben twee tunnels in beheer. Bij de Sluiskiltunnel is de CSIR-richtlijn verplicht aan de aannemer opgelegd. Voor de Westerscheldetunnel gaan wij dat later dit jaar doen. Op die manier kunnen we in 2033 twee tunnels opleveren met bewijs dat ze voldoen aan de CSIR-richtlijn.”

De organisatie blijft werken met periodieke audits, nieuwe versies van het handboek en verdere uitbreiding van trainingen en oefeningen.

Ook de samenwerking met Van Voorst Consult loopt door. Lambert ondersteunt onder meer in de rol van interne auditor, waarbij audits worden uitgevoerd, bevindingen worden vastgelegd en verbeterpunten worden opgevolgd. Volgens hem ligt de waarde van die samenwerking juist in het continu blijven verbeteren.

Interne audits vormen daarbij een uitstekend instrument om dieper in te gaan op de implementatie van maatregelen en samen te zoeken naar verbeteringen. In de praktijk functioneren gesprekken hierover ook als sparring- en adviessessies binnen de organisatie, wat bijdraagt aan een groter draagvlak.

“Daarbij werken we volgens de ISO-systematiek, waarin continu verbeteren volgens de Plan-Do-Check-Act-cyclus volledig is geïntegreerd”, aldus Lambert.

Informatiebeveiliging in een omgeving die altijd moet draaien

Met de implementatie van het ISMS is de basis gelegd. De aandacht ligt nu op het verder trainen van de organisatie en het toepassen van de werkwijze in de praktijk.

Volgens Leo vraagt dat om een andere manier van denken dan bij traditionele tunnelincidenten. De organisatie is gewend om te handelen bij ongevallen en verstoringen in de tunnel, alleen scenario’s rondom IT en OT zijn relatief nieuw en waren niet helemaal uitgewerkt.

“Een ongeval in een tunnel zit  in ons DNA, want dat trainen we ook met de hele organisatie. Voor IT- of OT-incidenten is dit echt nieuw. Dus hier moeten we inderdaad iedereen (en andere mensen) bij betrekken.”

Dat betekent bijvoorbeeld oefenen met scenario’s rondom cyberaanvallen, het werken met oefenkaarten en het trainen van medewerkers die tijdens incidenten een rol hebben. Daarbij gaat het om techniek, processen en communicatie: wie moet je bellen, welke stappen volg je en hoe schaal je op bij een incident?

Volgens Lambert is deze voorbereiding essentieel. Cyberincidenten komen steeds vaker voor en organisaties binnen de vitale infrastructuur moeten voorbereid zijn op situaties waarin systemen of processen worden geraakt. Door te werken volgens de NIS2-richtlijn is de Westerscheldetunnel daar beter op ingericht.

Tegelijkertijd speelt dit alles in een organisatie die dagelijks onder hoge druk opereert. Naast het reguliere beheer werkt de Westerscheldetunnel momenteel aan een omvangrijke hersteloperatie door een scheur in de tunnel, waarbij één tunnelbuis langdurig wordt afgesloten. Dat vraagt veel van de organisatie en maakt het plannen van trainingen en oefeningen complexer.

Het doel is dat werken met het handboek, oefenkaarten en cyberprocedures net zo vanzelfsprekend wordt als handelen bij een tunnelincident.

Bij Van Voorst Consult ondersteunen we organisaties bij certificering, informatiebeveiliging en het praktisch inrichten van managementsystemen die aansluiten op de dagelijkse praktijk.

In trajecten zoals bij de Westerscheldetunnel brengen we verschillende richtlijnen, normen en technische omgevingen samen in één werkbare aanpak. Van IT-omgevingen tot OT- en tunnelsystemen.

Daarbij kijken we niet alleen naar beleid en aantoonbaarheid, maar vooral naar hoe processen, verantwoordelijkheden en maatregelen in de praktijk blijven werken binnen organisaties die continu in bedrijf moeten blijven.

Ook na implementatie blijven we betrokken via interne audits, begeleiding en periodieke verbetertrajecten. Zo blijft informatiebeveiliging niet beperkt tot een handboek, maar onderdeel van de dagelijkse werkwijze.