Digitalisering en dataveiligheid

Vitens beheert een vitale infrastructuur van de drinkwatervoorziening voor Nederland. Een steeds groter deel van deze infrastructuur wordt digitaal aangestuurd. Digitale veiligheidsincidenten vormen een grote dreiging voor het 24/7 leveren van betrouwbaar drinkwater. Daarom zetten we vol in op de veiligheid van onze systemen, data, productielocaties, kantoren en (klant)gegevens.

Dataveiligheid

De toenemende digitalisering van onze operatie en organisatie vraagt om steeds betere bescherming tegen cybercriminelen en cyberaanvallen. Als aangewezen essentiële dienst (AED) volgt Vitens de richtlijnen uit de Wet beveiliging netwerk- en informatiesystemen. Om onze organisatie weerbaar te maken tegen nieuwe dreigingen en kwetsbaarheden rondom cybersecurity, moeten we de noodzakelijke resources in huis halen. De aandacht voor dit onderwerp blijft binnen Vitens dan ook onverminderd groot.

Calamiteiten
Cybersecurity betreft de beveiliging van elektronische gegevens, systemen, netwerken, computers, mobiele apparaten en servers van Vitens. Om te rapporteren over en te sturen op het risico van schadelijke aanvallen meten we 2 KPI’s:

  • ICT Prio1 calamiteiten

Bij ICT Prio1 calamiteiten gaat het om toevallige verstoringen, bijvoorbeeld door technische problemen. Een verstoring geldt als Prio1 calamiteit wanneer deze invloed heeft op een primair bedrijfsproces, zoals de productie, distributie of facturering van drinkwater, en minstens 50 gebruikers er last van hebben.

  • ICT Prio1 cybersecurity-calamiteiten

Bij ICT Prio1 cybersecurity-calamiteiten gaat het om moedwillige en kwaadwillende verstoringen, zoals sabotage door een hacker. Zo’n cybersecurity-calamiteit vormt een bedreiging voor bijvoorbeeld de beschikbaarheid of vertrouwelijkheid van informatie of geleverde diensten voor de drinkwatervoorziening.

Resultaten

 

Doelstelling 2023

Resultaat 2023

Resultaat 2022

ICT Prio1 calamiteiten                               

<10

9

5

 

Doelstelling 2023

Resultaat 2023

Resultaat 2022

ICT Prio1 cybersecurity-calamiteiten

0

0

0

Initiatieven 2023

  • De digitale architectuur werd gemoderniseerd, bijvoorbeeld door veiligheidsaspecten al in het ontwerp mee te nemen bij een aanpassing of innovatie. Een speciaal security-team ziet erop toe dat dit ook gebeurt.

  • Voortdurend zijn verbeterprocessen op het gebied van cybersecurity uitgevoerd. Een groep van ethische hackers controleerde periodiek of deze verbeterprocessen ook daadwerkelijk veilig genoeg zijn of toch nog ‘lekken’ vertonen.

  • De veiligheidsoperatie is verder geprofessionaliseerd. Bijvoorbeeld door het samenbrengen van veiligheidsexperts binnen een afdeling die 24/7 beschikbaar zijn. Daarnaast worden preventieve risicobeheersmaatregelen niet meer uitsluitend door het security-team opgepakt, maar – conform het Vitens Security Framework – ook door de primair verantwoordelijke afdelingen. Hierdoor wordt het risico op zo veel mogelijk plaatsen beheerst.

  • We maakten medewerkers attent op veiligheidsrisico’s, onder meer met de Vitens Veilig week, een bewustwordingscampagne rondom phishing en via het Bewust veilig platform.

  • Het permanent blijven trainen op de omgang met kleine en grote cyberincidenten. Dit doen we bijvoorbeeld door jaarlijkse deelname aan ISIDOOR, een grootschalige cyberoefening. Vitens doorstond deze oefening in 2023 wederom goed.

Vooruitblik

  • De belangrijkste doelstelling is om het huidige stabiele niveau van cybersecurity voort te zetten. Dat doen we aan de hand van dezelfde maatregelen en initiatieven als in 2023.

Digitalisering

Digitalisering en automatisering dragen bij aan betere kwaliteit en leveringszekerheid van drinkwater en het gemak, de betrouwbaarheid en duurzaamheid waarmee we onze werkzaamheden kunnen uitvoeren. Ook zorgt het voor efficiëntere communicatie met en naar onze klanten, zoals het doorgeven van de waterstand of de afhandeling van klachten. Binnen Vitens lopen op het gebied van digitalisering van de productie diverse projecten rond datagestuurde operationele beslissingen. Ook zijn we bezig met het ontwikkelen van een volledig nieuwe standaard voor procesautomatisering. Als het gaat om bedrijfsvoering en klantafhandeling is Vitens in de transformatie met SAP bezig alle processen te herzien.

Initiatieven 2023

  • De volledige uitrol van het glasvezelnetwerk naar onze productielocaties werd afgerond.

  • In 2023 schreven we het programmaplan voor de vervanging van onze procesautomatisering naar één uniforme en veilige standaard. De aanbesteding hiervoor werd tevens opgestart.

  • Uniforme gebiedssturing werd verder uitgerold. In 2023 is het besturingsgebied Utrecht-West in bedrijf gesteld. Met uniforme gebiedssturing kan de vraag beter voorspeld worden. Dit resulteert onder meer in minder handmatige ingrepen, minder energieverbruik, minder slijtage en een hogere waterkwaliteit. 

  • In 2023 maakten we de Digitale Tweeling Distributie (DTD) van onze productie- en distributie-infrastructuur beschikbaar in Friesland en op een paar plekken in Overijssel en Gelderland. Deze digitale kaarten van onze infrastructuur helpen (nieuw) personeel adequate beslissingen te nemen bij bijvoorbeeld onderhoud. Dit is van belang om kennis van personeel dat met pensioen gaat te borgen. 

  • Onze klantenservice- en facturatieomgeving is in het kader van de transformatie met SAP in 2023 geheel vervangen. Hiermee is ook het programma SAP & Transformatie afgerond. De transformatie loopt nog door, maar resterende projecten worden in de lopende organisatie opgepakt.

Vooruitblik

  • We gaan de Digitale Tweeling Distributie verder uitrollen naar ons volledige voorzieningsgebied.

  • De nieuwe standaard voor procesautomatisering wordt eerst in gebruik genomen op een pilotlocatie: de Ceintuurbaan in Deventer. In 2024 wordt deze pilot opgestart.

  • Met de inzet van kunstmatige intelligentie (AI) worden bedrijfsvoeringsapplicaties – waar mogelijk – verder autonoom gemaakt.

  • Het programma SAP & Transformatie heeft veel geld, tijd en energie gevraagd van onze organisatie. Vanaf 2024 ligt de focus nog nadrukkelijker op de baten die het systeem kan en moet opleveren.

  • Er is nog een aantal SAP-projecten die in 2024 doorlopen, namelijk de (door)ontwikkeling van processen gericht op klant en facturatie, aansluitingen, beheer en onderhoud (ondergronds), HR en droogteschade.

Fysieke veiligheid
Vitens investeert via het Programma Beveiliging in de verbetering en vernieuwing van de fysieke beveiliging. Het grootste deel van de investeringen richt zich op het vervangen en uniformeren van verouderde systemen, zoals inbraak en toegangsbeheer van de diverse rechtsvoorgangers van Vitens. Doel is in 2025 zo veel als mogelijk overal eenzelfde beveiligingsniveau te hebben en alles aan te sturen vanuit één centraal security managementsysteem.

Binnen Vitens kennen we de 'Vitens Security Stresstest'. Hierin onderzoeken we gedurende het jaar hoe het staat met:

  • de bekendheid van securityrisico’s en ons eigen handelen daarin;

  • in hoeverre de beveiligingsmiddelen op orde zijn;

  • hoe we als organisatie bestand zijn tegen mystery guests en daadwerkelijke indringers (inbraak, insluiting) op Vitens locaties.

Deze onderzoeken geven ons waardevolle informatie over de sterkte van de hele beveiligingsketen, inclusief de mens. Zo werd afgelopen jaren zichtbaar dat de scherpte en alertheid van medewerkers toeneemt.

De stresstest biedt meetbare indicatoren waarmee de effectiviteit van het beveiligingsbeleid en -processen in de loop van de tijd kan worden geëvalueerd. Deze indicatoren helpen zwakke punten te identificeren en bij te sturen door verbeteringen in de securityorganisatie. Na 2 jaar monitoring komt in 2024 meer de nadruk te liggen op verbetering van het proces. Zo gaan we het beheer van de toegangsbeveiliging automatiseren en wordt het incidentmanagement verbeterd.