Fabian Goijers werkt als analist bij het Security Operations Center (SOC) van Rijkswaterstaat. Samen met andere IT-specialisten zorgt hij voor de cyberverdediging van vitale Nederlandse infrastructuur zoals wegen, bruggen, keringen en sluizen.
'Gehackt word je sowieso wel'
Fabian Goijers
Cyber security analist - Rijkswaterstaat
Security Operations Center
Het SOC houdt landelijk objecten zoals sluizen en bruggen ‘live’ in de gaten. Informatie die uit data gegenereerd is door onder meer sensoren en firewalls komt samen in een SIEM (Security Information en Event Management) bij het SOC. Fabian en zijn collega's beoordelen vervolgens of de dreiging tot een ingreep moet leiden, of niet.
Enorme risico's
Fabian vindt zijn werk interessant omdat de cybersecurity van de Nederlandse infrastructuur om heel wezenlijke dingen gaat. Nederland heeft talloze bruggen, sluizen, keringen en andere objecten. Een hack van zo’n object kan enorme impact op de Nederlandse samenleving hebben. Wie de metingen van de waterstanden bijvoorbeeld manipuleert, zorgt ervoor dat schepen verkeerd geladen worden en niet onder de brug door kunnen. ‘Als een vijand het voor elkaar krijgt om onze sluizen op afstand open te zetten dan kun je je voorstellen dat de risico’s enorm zijn.’ Vroeger waren de objecten qua digitalisering eenvoudig en konden ze alleen ter plekke worden bediend. Tegenwoordig worden ze steeds vaker slim, en kunnen op afstand worden bediend. Dat is vooruitgang maar wel met een prijs: je moet je cybersecurity uitstekend op orde hebben.
‘Waar het om draait is dat je de hacks opmerkt, kunt volgen en ongedaan maakt’
Capaciteit stelen of firewall testen
Digitale inbrekers zien ze bij het SOC steeds vaker voorbijkomen. Fabian vertelt dat ze verschillende bedoelingen hebben. Sommige criminelen stropen computernetwerken af met de bedoeling capaciteit te stelen. Bijvoorbeeld voor het minen van bitcoins. Maar er zitten ook buitenlandse mogendheden tussen die zo nu en dan de zwaktes van de Nederlandse firewall testen. ’Waar die aanvallen vandaan komen is vaak onbekend, omdat je je vrij gemakkelijk kan voordoen als iemand uit een ander land.’
Monitoring en respons
Om een antwoord te hebben op de dagelijkse inbraakpogingen werkt het SOC zowel reactief als preventief. Iedere analist werkt met een eigen kennisbol. Zo’n kennisbol is een focusgebied, legt Fabian uit: ’Ik zit op monitoring en respons. Maar je hebt ook ethisch hackers, die pentesting doen. Pen staat voor penetratie. Hierbij kijken ze hoe ze onze verdediging toch kunnen binnendringen.’ Bij threat intelligence krijgen ze data binnen uit verschillende feeds en doen ze hier voorspellingen op. De andere 2 kennisbollen zijn forensics en ICS/SCADA (Industrial control systems/Supervisory Control and Data Acquisition).
Virusbesmetting
Het SOC werkt nauw samen met het Nationaal Cyber Security Center (NCSC), dat overheidspartijen helpt met het duiden van kwetsbaarheden, zegt Fabian. Maar op veel zaken gaat het SOC zelf af, zoals een virusbesmetting van een technische installatie: ‘Dan beslist ons computer emergency response team (CERT) wat te doen: mitigeren of het systeem als geheel meenemen en vervangen.’
Continu alert
Regelmatig draait Fabian een piketdienst. Hij wordt weleens ’s nachts uit z’n bed gebeld als de cybernood hoog is. Volgens hem is de samenwerking met collega’s heel belangrijk. Security is vaak een permanente wedloop tussen kwaadwillende digitale inbrekers en de securityspecialisten van Rijkwaterstaat. ‘Gehackt word je sowieso wel, de vraag is alleen wanneer. Waar het om draait is dat je die hacks opmerkt, kunt volgen en ongedaan maakt. Ons team is daarom continu alert en altijd bezig om de laatste ontwikkelingen te volgen.’
Rijkswaterstaat
Fabian heeft het idee dat hij bij het SOC met ‘the best en the brightest’ werkt. Heel gemotiveerde IT-specialisten die doorlopend van elkaar leren en elkaar scherp houden. ‘Ik ben weleens benaderd door andere diensten, maar zit bij Rijkswaterstaat toch het beste. Er zijn weinig organisaties waar zóveel gebeurt.’