Toekomst van de Nederlandse infrastructuur has been saved
Article
Toekomst van de Nederlandse infrastructuur
Security by design en governance verdienen meer aandacht
Nu steeds meer fysieke objecten connected raken, nemen de uitdaging in cyberveiligheid toe. Nieuw onderzoek onderstreept dat security by design een must is en dat vraagt om een nieuw Nederlands perspectief op governance.
Go directly to
- Bescherming is dus een must
- Zowel fysiek als digitaal veilig
- Centrum van de besluitvorming
- Civieltechnische én IT-engineers
- Veranderende rol overheid
In een wereld waarin alles met elkaar verbonden raakt, verschuift puur ‘fysieke’ infrastructuur (zoals wegen, bruggen en elektriciteit) steeds verder naar ‘fysiek-digitale’ infrastructuur. Kunstmatige intelligentie, cloud computing en cyber security geven infrastructuur-denken zijn nieuwe vorm, blijkt uit het eerder dit jaar verschenen onderzoek The Future of Infrastructure, waarin leiders op het gebied van infrastructuur bevraagd zijn naar hun plannen en verwachtingen. Verwachtingen die mede gevormd worden door de groeiende aandacht voor het milieu en brede sociale voordelen.
Bescherming is dus een must
Naarmate de overheid richting een meer digitale infrastructuur verschuift, wordt cyberrisico een punt van zorg. Ongeveer driekwart (76 procent) van de wereldwijde infrastructuurleiders verwacht de komende drie jaar meer aandacht voor gegevensbeveiliging. En dat mag geen verrassing zijn, want het aantal aanvalsvectoren groeit exponentieel doordat meer onderdelen verbonden worden met het internet. Deze verzamelen namelijk niet alleen de altijd al veel gewilde persoonsdata, maar ook asset data die interessant kan zijn voor commerciële doeleinden. Denk aan verkeersbewegingen om beter routes te voorspellen in een navigatiesysteem. Bescherming is dus een must.
Daarnaast is er ook de fysieke veiligheid. Het is bij testen op fysieke veiligheid gebleken dat er zwakheden naar boven kunnen komen, waardoor ongewenste of onbedoelde activiteiten mogelijk worden. Denk bijvoorbeeld aan het openen van sluizen of gemalen. Dit maakt dat goed nadenken over segmentering essentieel is. Moet een kantoorautomatiseringssysteem wel gekoppeld worden aan operationele systemen? Een keuze waar aan de voorkant van het hele infra-ontwikkelproces nagedacht dient te worden. In andere woorden: er is security by design nodig. Vanaf het begin rekening houden met cyber security en het niet pas achteraf testen, want dan loop je er tegenaan dat de manier van bouwen al enkele jaren oud is terwijl de manier waarop aanvallen plaatsvinden zich ondertussen heeft doorontwikkeld.
Zowel fysiek als digitaal veilig
Vroegtijdig de juiste keuzes maken kan alleen als hier in de contractering ook rekening mee wordt gehouden. Dat een opdrachtgever tegen een aannemer durft te zeggen dat hij moet kunnen aantonen dat in zijn ontwerpmethodiek zowel fysieke als digitale veiligheid is meegenomen. Zodat de opdrachtnemer bij oplevering een third party memo kan overleggen dat alles op veiligheid getest is. En dat de opdrachtgever periodiek zelf kan testen wat er gebouwd wordt.
Dat maakt dat cyber security voor een groot deel een governance-vraagstuk is. De risico’s nemen toe en als de verantwoordelijkheden niet op de juiste manier worden vastgelegd en vernieuwd, groeit de kans dat opdrachtnemers de opdracht teruggeven. Inkopers en engineers openen hun ogen daar gelukkig steeds meer voor, maar er zijn zeker nog stappen te zetten.
Centrum van de besluitvorming
Vaak zien we nog dat IT niet vanaf de start van een infra-project een plek aan tafel heeft. Vanuit de historie logisch maar gezien de risico’s zou IT in het centrum van de besluitvorming moeten zitten en daarmee voldoende doorzettingsmacht kunnen generen indien nodig. Als het huidige model niet kantelt, dan loopt Nederland niet alleen tegen risico’s aan, maar mist het ook investeringskansen. Met ontwikkelingen als Mobility-as-a-service (MaaS) en zelfs Tunnel-as-a-service (TaaS) ontstaan namelijk kansen voor nieuwe verdienmodellen – die gelijktijdig inspelen op verduurzaming, inclusiviteit en andere maatschappelijke behoeften.
Een belangrijk besef is echter dat er niet alleen gekeken moet worden naar nieuwbouwprojecten. Ook bestaande infrastructuur staat in contact met het internet en daarvan is niet altijd duidelijk om welke onderdelen het dan gaat. Waar assetmanagement in recentere tijden tot in detail is vastgelegd, geldt er voor systemen uit bijvoorbeeld de jaren tachtig een enorme legacy en zijn zaken niet of niet goed vastgelegd. Zeker bij vitale infrastructuur moet dit met terugwerkende kracht in kaart gebracht worden.
Civieltechnische én IT-engineers
Interessant is dat respondenten in eerder genoemd onderzoek (The Future of Infrastructure) een tekort aan talent als een groter obstakel voor het uitvoeren van infrastructuurprojecten zien dan budgetbeperkingen of regelgevende belemmeringen. Ook wij zien dat er naast civieltechnische engineers ook meer goede IT-engineers nodig zijn. Dat vraagt om investeringen.
Tegelijkertijd moeten opdrachtgevers er voor waken dat zij in hun marktvraag niet te veel de details in gaat, maar functionele eisen stellen. Dat maakt een model als MaaS ook zo interessant: het helpt te denken in termen van leveringszekerheid en dienstverleningseisen. Je hebt mensen met kennis nodig in je organisatie, maar ook weer niet alle expertise. Die kun je ook elders halen. Dat vinden we in ons land, dat te kampen heeft met het not invented here-syndroom, nog wel eens lastig.
Veranderende rol overheid
Belangrijk is ook dat de overheid goed nadenkt over de rol die zij heeft in het digitaliserende infra-domein en hoe zij die invult. Afwachten lijkt een risicovolle strategie om grip te houden op infrastructuur. Standaarden ontwikkelen, regelgeving over datagebruik en toegankelijkheid zijn bijvoorbeeld zaken die lastig alleen aan de markt kunnen worden overgelaten. Om een parallel te trekken: voor de infrastructuur van elektriciteit hebben we Tennet, een overheidsbedrijf, om grip te houden op de hoofdinfrastructuur.
Naar de toekomst toe wordt dit alleen maar urgenter. Om autonoom vervoer als voorbeeld te nemen: wie monitort nu of er ingebroken is op de software van deelvervoer? Beleg je dit bij de RDW, bij een Ministerie of een nieuw agentschap? Momenteel wordt daar nog niet over nagedacht, maar het is denkbaar dat je als overheid een hele vloot auto’s stil wilt kunnen zetten omdat die onveilig is. We weten dat het eraan komt, maar op van wie of op welke manier is nog niet bekend.
Digitale randvoorwaarden stellen
Daarom is het belangrijk om nu alvast terug te vertalen wat we zouden moeten doen. Welke minimale grip heb je nu nodig? Welke basisinfrastructuur is een must? Om bij het voorbeeld van autonoom vervoer te blijven: gemeenten hebben de neiging om in plannen vooral alvast parkeerplaatsen weg te halen, terwijl dat op het laatst nog kan. Digitale randvoorwaarden moeten juist nu al gesteld worden.
In andere landen zien we dat al wel gebeuren. Zo is Singapore goed in back casting: een stip op de horizon vijftig jaar verder zetten, inclusief het budget dat voor die looptijd geldt. Om daarmee complete delen van steden op een state of the art IT-systeem neer te zetten, dat resilent is tegen vrijwel alles. Daar is uiteraard enorm veel geld voor nodig en een veel centraler gestuurde overheid, maar geeft wel aan wat kan werken.
Hervormen van de prikkels
Overheden zijn het best gepositioneerd om kritieke infrastructuurrisico’s te begrijpen en programma's te ontwikkelen om de grote verscheidenheid aan cyberbedreigingen waarmee ze kunnen worden geconfronteerd te helpen verminderen en effectief te reageren. Om hierin succesvol te zijn, moeten zij echter de vaardigheden, cultuur en mentaliteit cultiveren voor publiek-private samenwerking.
Aangezien er geen stakeholder is die het probleem in zijn eentje kan aanpakken, is vooruitgang alleen mogelijk als we stakeholders stimuleren om samen te werken. Het hervormen van de prikkels van een hele industrie kan moeilijk zijn, maar het is mogelijk. We hebben de veiligheid van onze vitale infrastructuur als drijfveer.
