Digitale dijkverzwaring voor het waterschap

Waterschap Drents Overijsselse Delta

Het werkgebied van Drents Overijsselse Delta loopt van Assen tot Deventer en beslaat 7.001 kilometer aan rivieren, kanalen, wetering en sloten, 16 rioolwaterzuiveringen, 363 gemalen, 1.972 stuwen en ruim 1.000 kilometer aan dijken en kades.

NIS2 en BIO2

Het Nederlandse waterbeheer is van vitaal belang voor onze samenleving en economie. Waterschappen spelen een cruciale rol in het waarborgen van de waterveiligheid, het beheer van waterkwaliteit en de bescherming van onze natte infrastructuur. In dit digitale tijdperk zijn waterschappen echter ook blootgesteld aan toenemende cyberdreigingen. De Europese NIS2 (Network and Information Security) wetgeving en de daarvan afgeleide BIO2 (oktober 2024) zijn ontwikkeld om deze uitdagingen aan te pakken en de digitale weerbaarheid van essentieel aanbieders te versterken.

Bijdrage als Interim CISO

Na onvoorzien verloop in de CISO en ISO rol is het zaak om in korte tijd informatiebeveiliging als competentie op niveau te krijgen.

Beleidsontwikkeling: Robuust beleid ontwikkelen en implementeren dat voldoet aan de NIS2 vereisten.

Risicobeheer: Risicoanalyses om kwetsbaarheden te identificeren en te evalueren, en  maatregelen implementeren om deze risico’s te verminderen of te elimineren. Starten met continuïteit- uitwijk en herstel.

Incident Response: Het coördineren van de respons en herstelinspanningen om een operationele verstoring tot een minimum te beperken.

Bewustwording en Training: Ervoor zorgen dat het bestuur en medewerkers van het waterschap zich bewust zijn van de risico’s van cyberaanvallen.

Samenwerking: Ik werk samen met relevante overheidsinstanties, het Waterschapshuis en partners in de watersector om informatie en expertise uit te wisselen en de algehele cyberweerbaarheid van Waterschap Drents en Overijsselse Deltta te versterken.

Van actieplan naar een beheerst proces

Vroeg of laat krijgt iedere organisatie te maken met een cyber event van de buitencategorie. Voor Senzer was dat moment 9 maart 2021. Een ransomware aanval legde de organisatie lam. Gelukkig was een backup voorhanden en door adequaat handelen en ondersteuning van Northwave bleef de schade beperkt. Een omvangrijk actieplan is in de steigers gezet en tot uitvoering gebracht.

De vraag aan Takeshape: “Help ons het actieplan af te ronden en leidt de transitie naar een beheerst proces”.

Het actieplan hangt op de samenwerking met Northwave. Northwave verzorgt de Managed Detection en Response diensten voor Senzer. Het actieplan is medio 2023 afgerond en omgezet in een geplande beheerste meerjarige aanpak.

Focus – “Er is meer dan compliance”

Overheidsorganisaties zoals Senzer zijn onderhavig aan een streng compliance regime. De BIO, die wordt aangepast aan NIS2, zal meer verplichtend worden. Jaarlijkse externe audits zoals op het gebruik van de DigiD aansluiting en inzage in Suwinet zullen blijven doorgaan. Maar dit moet niet leiden tot het idee dat als de vinkjes zijn gehaald de organisatie ook daadwerkelijk veilig is.

De focus ligt daarom om het realistisch en continu in beeld hebben van de mate van informatieveiligheid en de risico’s (de security posture). Vervolgens die maatregelen nemen die de hoogste bijdrage leveren. De invoering van een ISMS moet bijdragen aan het overzicht en de werklast van het rapporteren sterk verminderen. In plaats van alles inzetten op het voorkomen van risico’s zal vooral aandacht worden besteed aan weerbaarheid en veerkracht van de organisatie.

Want een cyber event kan nooit met 100% zekerheid worden voorkomen.

Senzer – Gemeenschappelijke Regeling in Helmond en omgeving

Senzer voert de Participatiewet uit in opdracht van 7 gemeentes: Helmond, Laarbeek, Gemert-Bakel, Geldrop-Mierlo, Someren, Asten, Deurne met in totaal 250.000 inwoners. Er werken ruim 2000 mensen en Senzer is verantwoordelijk voor  de maatschappelijke participatie voor honderden mensen en inkomensondersteuning voor 4800 bijstandscliënten.

 

Advising Start Up - Lifelong Learning Portfolio

A veterinarian is a veterinarian? Not quite. Besides the fact that there are various specialisations in education, there are numerous follow-up courses that ensure further specialisation. However, everything that takes place after graduation is not centrally registered anywhere. Nor does an examination mark provide any insight into how skilled a professional is in an procedure. What if every graduated veterinarian could carry an online portfolio to have all this information together?

Contribution Takeshape: From POC to Platform

A first version of this online portfolio platform has been published and is slowly but surely being expanded. I was able to help the founders make a plan to scale from proof of concept to a fully-fledged IT platform. This sometimes involves technology, but often not. Small matters, such as the use of freeware, which is permitted in a personal sense but not in a commercial sense, is such an example.

  • Right of ownership of software
  • Copyright protection of source code
  • GDPR and Processor Agreement
  • Open source elements vs. licensing
  • Solid 2 factor authentication
  • Commercial model.

 

CISSP - Information Security Certificate obtained!

It is a regularly recurring discussion within organisations. When do you really know something? Organising information provision has become enormously complex. Clients cannot oversee this forest of three-letter abbreviations and have to rely on advice. I see too many professionals bluffing their way through the field based on 'a dose of common sense' and a smooth talk. I like to go one spade deeper. When a client asked me in 2019 if I could assist them in making their organisation ISO27001-proof, I replied; "yes, but". Yes, but I am going to pass the Certified Information Systems Security Professional exam first. I study for fun and this was a means to force myself to keep up. No sooner said than done. I registered at FOX-IT in Delft and followed the training from January to July. Lovely to immerse yourself in such an uber-geek organisation.

Een CISSP certificering is drie jaar geldig. Tijdens die drie jaar dient de professional aantoonbaar zijn of haar vak bij te houden door zelfstudie en training. Een CISSP certificaat is dus geen eenmalige prestatie, maar een bewijs van een leven lang leren.

Update (aug 2023): CISSP certificering verlengd tot augustus 2026