Cybersecurity

Als genoemde cyberdreiging gelijk blijft of toeneemt, zijn we, door toename van ons ‘digitaal oppervlak’, kwetsbaar voor een succesvolle cyberaanval, waardoor de drinkwatervoorziening kan worden verstoord, we kunnen worden afgeperst, of klantgegevens op straat terechtkomen.

Het cybersecurity-risico is een permanente factor geworden voor Vitens. Onze systemen en gegevens moeten goed beschermd zijn tegen invloeden van buitenaf en binnenuit. De afhankelijkheid van ICT en data wordt steeds groter en de bescherming hiervan wordt steeds belangrijker. Denk bijvoorbeeld aan de onderdelen van Vitens die de maatschappelijk vitale taak van het produceren en leveren van water verzorgen. Maar daarnaast ook aan de grote hoeveelheden klant- personeelsgegevens die Vitens verwerkt.

Risicobeheersing

  • Met een programmatische aanpak realiseert Vitens een inhaalslag op het gebied van cybersecurity, evenals in de optimalisatie van onze organisatie, processen en systemen. De voortgang van dit cybersecurityprogramma, inclusief de bijbehorende projecten, wordt beheerd door de Vitens Security Board (VSB).

  • Techniek: we hebben een permanente, multidisciplinaire taskforce opgezet die zich met voldoende tijd en aandacht richt op alle technische aanpassingen die voortkomen uit (penetratie)testen. Alle grote structurele verbeteringen daaruit zijn benoemd en opgenomen in het projectenportfolio voor 2022/2023. Voor 2024 gelden nog 2 projecten op de roadmap rond digitaal toegangsbeheer. Voor alle overige digitale projecten geldt dat ze secure-by-design moeten zijn.

  • Mensen: de sleutel tot verhoogde veiligheidsweerbaarheid ligt bij onze medewerkers. Daarom heeft Vitens ook het afgelopen jaar aanzienlijk geïnvesteerd in bewustwordingsactiviteiten, trainingen en oefeningen. Dit alles is gericht op het leren en beoordelen van de effectiviteit van Vitens in het weerstaan van deze dreigingen.

  • Processen: In 2022 zijn de business-continuïteits- en herstelplannen voltooid, en in het najaar van 2023 zijn deze door de Taskforce geüpdatet en verbeterd. Voor de situatie van het totaal verlies van alle systemen, is er een gedetailleerd draaiboek voor het Security Incident Respons Team. Ook het gehele management in de calamiteitenorganisatie is getraind op de coördinerende rol in het geval van een aanval. In 2021 heeft Vitens een intern IT General Controls (ITGC) stelsel ingericht. Dankzij dit stelsel zijn we in staat om periodieke controles van onze beveiligingsmaatregelen zelfstandig uit te voeren, zonder externe auditeur.

Risico-ontwikkeling
Het dreigingsniveau is de afgelopen periode constant gebleven. De digitale dreiging, waaronder phishing, ransomware, cybercriminaliteit en datalekken, is onverminderd hoog en permanent. De dreiging van statelijke actoren is daarbij (zeer) hoog. Aanvallen met gijzelsoftware worden steeds vaker ingezet met dubbele of zelfs drievoudige afpersing waardoor niet alleen de primair getroffen organisatie wordt afgeperst, maar ook de klanten, partners of leveranciers daarvan. De situatie rondom de oorlogen in Israël en Oekraïne heeft geleid tot een complex digitaal speelveld, waarvan de impact op Nederlandse organisaties beperkt, maar voorstelbaar is. Er zijn 2 grote voorbeelden gevonden van aanvalssoftware op procesautomatisering, die aan een statelijke actor geattribueerd worden.