Skip to main content

blog

Onderzoek naar de digitale weerbaarheid van een waterschap

| Author: Michiel Kramer, Peter Castenmiller en Jense Wiersma - PBLQ

Organisaties in het publieke domein zijn in toenemende mate doelwit van digitale aanvallen. De verregaande afhankelijkheid van ICT-processen bij waterschappen maakt dat juist deze sector zeer kwetsbaar is voor de gevolgen van zo’n digitale aanval. PBLQ voerde een onderzoek uit naar de digitale weerbaarheid van een middelgroot waterschap, dat we hier om vertrouwelijkheidsredenen niet bij naam noemen.

De opdracht
De commissie Rekenkamer van het betreffende waterschap heeft PBLQ gevraagd te onderzoeken of besturingsprocessen, data en informatie bij het waterschap in veilige handen zijn en of de crisisorganisatie voldoende in staat is om een informatiebeveiligingsincident het hoofd te bieden.

Aanpak
PBLQ maakt bij onderzoeken binnen de context van rekenkamers bij voorkeur gebruik van een normenkader, dat bijdraagt aan het beoordelen van de verkregen informatie. Het voor dit onderzoek gebruikte normenkader is afgeleid van het NIST Framework for Improving Critical Infrastructure Cybersecurity, dat zich richt op een vijftal verschillende processen binnen informatiebeveiliging. Dit raamwerk richt zich op vijf belangrijke processen binnen de informatiebeveiliging; identificatie, bescherming, detectie, reactie en herstel.

Op basis van een uitgebreide documentenanalyse, diverse gesprekken met medewerkers van het waterschap en een gezamenlijke sessie met een aantal prikkelende stellingen, heeft PBLQ zich een beeld gevormd van de digitale weerbaarheid van het waterschap. Deze bevindingen zijn vervolgens aangevuld met een aantal digitale penetratietesten, die werden uitgevoerd door een daartoe gecertificeerde samenwerkingspartner van PBLQ.

Resultaat
Het onderzoek heeft een actueel beeld opgeleverd van de digitale weerbaarheid van het waterschap. Ook biedt het rapport handvatten om de informatiebeveiliging verder te verbeteren, zowel op technisch vlak als in de aansturing van de organisatie op het gebied van informatiebeveiliging en crisismanagement.