Afgeschermde overheidsnetwerken voor vitale publieke diensten
Om veilig met internet te kunnen werken, maken overheden gebruik van eigen besloten netwerken. Rondom het gebruik, de veiligheid en de toekomst van deze netwerken moeten keuzes worden gemaakt. Theo van Diepen (Chief Information Security Officer Logius), Jeroen Gaiser (cybersecurityadviseur Rijkswaterstaat) en Sandor de Coninck (Chief Technology Officer/Chief Information Security Officer Rijkswaterstaat) houden zich hier dagelijks mee bezig. 'Onze overheidsdiensten moeten beschikbaar en betrouwbaar blijven.'
Wanneer je over de snelweg rijdt, word je, zonder het te beseffen, in de berm gepasseerd door enorme hoeveelheden data met de snelheid van het licht. Langs onze rijkswegen en kanalen ligt in de grond namelijk een glasvezelnetwerk van om en nabij 4500 kilometer. Sandor de Coninck van Rijkswaterstaat vertelt hoe dat zo is gekomen: 'Vanaf de eeuwwisseling heeft Rijkswaterstaat verder geïnvesteerd in zijn Verkeers Informatie- en Communicatienetwerk (VIC). Dat is de basis voor ons huidige glasvezelnetwerk. Eerst gebruikten we het vooral voor het verkeersmanagement en geleidelijk kwam er steeds meer bij, zoals bijvoorbeeld op afstand te bedienen bruggen.'
Dat je zoiets maar beter niet via het openbare internet kunt doen, is eenvoudig te begrijpen. Jeroen Gaiser (Rijkswaterstaat): 'Het gaat om vitale infrastructuur. Bij grote verstoringen op het internet blijft ons eigen, afgeschermde netwerk gewoon functioneren. Je wilt immers niet dat je voor de bediening van kunstwerken als bruggen, keringen of tunnels, afhankelijk bent van het internet.'
Coördinerend adviseur cybersecurity Jeroen Gaiser werkt bij het Security Center van de Dienst Centrale Informatievoorziening van Rijkswaterstaat, waar hij bestuurlijke vragen over cybersecurity beantwoordt.
www.linkedin.com/in/jeroengaiser
Ringenarchitectuur
Klaar ben je dan nog niet. Want als een glasvezelkabel beschadigt, ben je de verbinding kwijt. 'Bij graafwerkzaamheden langs de weg is zo'n draadje zo kapot, ook al liggen ze beschermd in een buismantel' vertelt De Coninck. 'Voor de veiligheid werken we daarom altijd met een ringenarchitectuur, zodat het signaal linksom kan, als het rechtsom niet lukt.' Extra routes in het netwerk zijn óók van groot belang voor de momenten waarop er opeens veel meer behoefte is aan datatransport. 'Denk aan de COVID-maatregel dat iedereen vanuit huis moest gaan werken. Op vrijdag hadden we bij Rijkswaterstaat nog 1500 telewerkers en de maandag erop werkten 8500 medewerkers vanuit huis. Dat is als een DDoS-aanval! Het is ons gelukt om ons hierop voor te bereiden, het netwerk was voldoende robuust.'
Soms gebeurt het dat een kruis boven de weg het niet doet of dat apparatuur in een tunnel geen reactie geeft. De Coninck: 'Om een parallelweg in het netwerk te maken, kopen we dan soms een stukje netwerk in uit de markt. Daarvoor hebben we een contract lopen met marktpartijen waarin vooraf het veiligheidsniveau is afgesproken.'
Sandor de Coninck is Chief Technology Officer (CTO) en Chief Information Security Officer (CISO) bij Rijkswaterstaat. Hiervoor was hij onder meer werkzaam bij Divisie ICT van de Nationale Politie en bij Defensie.
Samenwerking binnen de overheid
Rijkswaterstaat ontvangt andersom ook wel verzoeken van anderen om gebruik te maken van haar netwerk. 'SURF, een samenwerkingsverband van onderwijsinstellingen, wilde een verbinding van Den Helder naar Leeuwarden. De kortste weg is dan langs de Afsluitdijk, waar wij een glasvezelnetwerk hebben liggen. En voor RIVM hebben we onlangs een verbinding geregeld zodat zij data met de GGD'en kunnen uitwisselen.'
Het Rijkswaterstaatnetwerk staat niet op zichzelf maar is op zijn beurt verbonden met een overheidsnetwerk. Daar weet Theo van Diepen, Chief Information Security Officer bij Logius, alles van. Logius is de uitvoeringsdienst van het ministerie van Binnenlandse Zaken/Digitale Overheid, en vooral bekend van DigiD en MijnOverheid.
Voormalig netwerkarchitect Theo van Diepen werkt sinds 2008 bij Logius, waar hij sinds 2018 Chief Information Security Officer (CISO) is. Logius is de uitvoeringsdienst van het ministerie van BZK/Digitale Overheid.
www.linkedin.com/in/theovandiepen
Het besloten overheidsnetwerk Diginetwerk
Van Diepen - van origine netwerkarchitect - legt uit: 'alle overheidsdiensten werken met een besloten netwerk. Naast het netwerk van Rijkswaterstaat is er bijvoorbeeld de Haagse Ring, Gemnet, Suwinet en er zijn veel meer netwerken. Deze netwerken zijn onderling gekoppeld door middel van een afsprakenstelsel dat we Diginetwerk noemen. Zo kunnen overheidsorganisaties onderling gegevens uitwisselen. Er is een kleine 200 overheidsdiensten aangesloten. Logius beheert dit afsprakenstelsel.'
Digitale identiteit
Op het internet moet je voor bepaalde diensten kunnen aantonen wie je bent, een digitaal paspoort als het ware. Hier speelt DigiD een grote rol. Door DigiD kunnen burgers in de digitale wereld aantonen dat zij zijn wie ze zijn. Dit biedt een vertrouwensbasis om als digitaal persoon zaken te doen op dezelfde wijze als fysiek zou kunnen. Deze dienst bruikbaar, veilig en vertrouwd houden is een belangrijke taak voor Nederland.
'De overheidsnetwerken zijn onderling gekoppeld door middel van een afsprakenstelsel dat we Diginetwerk noemen.'
Zichtbaar in het landschap
Soms wordt de virtuele wereld fysiek zichtbaar. Voor het rijksoverheidsnetwerk zijn de vier Overheids Data Centers (ODC's) in Groningen, Apeldoorn, Amsterdam en Rijswijk zulke tastbare plekken. Twee ODC's zijn van de rijksoverheid zelf en twee ODC's zijn commercieel. Van Diepen: 'In het ODC waar zowel Rijkswaterstaat als Logius de dienstverlening heeft staan, huren we ruimte, dus vierkante meters, en stroom voor onze systeemkasten. Die staan daar in een aparte kooi met een apart toegangsbeleid. De overheidsdeelnemers binnen het ODC zijn zelf verantwoordelijk voor de spullen in de datacenters. Vanuit dit ODC bouwen we onze digitale dienstverlening helemaal op.'
Gaiser vult aan: 'Naast de diensten van deze datacenters in Nederland gebruikt Rijkswaterstaat ook wel clouddiensten, dat wil zeggen: hardware, software en data die op een netwerk van computers (cloud) elders beschikbaar zijn. Tenminste, als dat kosteneffectief is en volgens de regelgeving zoals de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG) gebeurt. Het betreffende datacenter moet bovendien binnen de Europese Economische Ruimte staan, omdat daar Europese privacywetgeving geborgd is.' Van Diepen: 'We zijn ook druk bezig om op een veilige manier clouddiensten te kunnen ontsluiten via Diginetwerk.'
'5G biedt veel kansen voor innovaties als zelfrijdende auto's, Augmented Reality, autonome schepen en drones.'
Draadloos internet
Het huidige internet kan over beperkte afstanden ook zonder kabel. Gaiser: 'Eerder werd het 4G netwerk uitgerold, bedoeld voor draadloos internet op de consumentenmarkt. Veel zendmasten staan langs de snelwegen, je wilt op snelwegen ook goede dekking hebben. De volgende stap is de uitrol van het 5G-netwerk. De snelheid en betrouwbaarheid hiervan zal in de praktijk voor consumenten met mobiel internet niet veel anders zijn dan bij 4G, maar het biedt veel kansen voor innovaties. Denk aan zelfrijdende auto's, Augmented Reality, autonome schepen en drones.'
Hoe zit het dan met cybersecurity? 'Signalen die door de lucht gaan zijn makkelijker te onderscheppen dan via een kabel. Iedereen met een antenne kan erbij. Cybersecurity is een belangrijk aandachtspunt bij de ontwikkeling van dit soort nieuwe diensten.'
Toekomstperspectief
Daarmee komen we bij een van de grootste uitdagingen van de komende jaren. Gaiser: 'We merken dat de cyberdreigingen via internet serieuzer worden. Denk aan ransomware, hackers en DDoS. Rijkswaterstaat heeft daarom een Security Center ingericht met eigen personeel.' Ook staat er een nieuwe cybersecurity-strategie in de steigers met onder meer aandacht voor versterken van de detectiecapaciteit, Security by design en risicobewustzijn bij de medewerkers.
Van Diepen besluit: 'De vraag hoe we in de toekomst het internet gaan gebruiken hangt af van de stabiliteit en de beschikbaarheid. Hoe zal het dreigingsbeeld zich verder gaan ontwikkelen? Op welke manier hebben we als Rijk straks besloten netwerken nodig? Clouddienstverlening biedt bijvoorbeeld veel kansen maar ook nieuwe vraagstukken rondom cybersecurity. Kortom: veel issues om over na te denken. Af en toe moeten we een pas op de plaats maken, om vandaaruit weer een flinke stap vooruit te zetten.'
Door Erna Ovaa
Delen
Inhoudsopgave
Welke ontwikkelingen spelen er nog meer in de samenleving? Korte artikelen die onze aandacht vragen.
Verdiep je verder
Duik in deze beschrijving van de overkoepelende architectuur van het Afsprakenstelsel Diginetwerk