De energiesector staat onder toenemende druk. Internationale spanningen en digitale dreigingen maken duidelijk dat bescherming van energiesystemen geen vanzelfsprekendheid meer is. Cybersecurity in de energiesector raakt niet alleen IT, maar ook maatschappelijke continuĂŻteit. Tijdens het Nationaal Congres Bescherming Energiesystemen staat deze opgave centraal, met Lucinda Sterk als dagvoorzitter.
Lucinda Sterk begon haar loopbaan als journalist en werkte daarna bijna tien jaar voor de Rijksoverheid. Bij het Nationaal Crisiscentrum hield zij zich bezig met crisiscommunicatie in een periode met veel ingrijpende incidenten. “Dat was een tijd waarin er ontzettend veel gebeurde”, vertelt ze. Die ervaring vormde de basis voor haar latere werk in veiligheid en cybersecurity. De MH17-ramp betekende een persoonlijk en professioneel kantelpunt. “De beelden en het werk hakte er zo in dat ik wist: dit wil ik niet meer blijven doen”.
Volgens Lucinda is de dreiging voor energiesystemen uiterst concreet. In landen als Oekraïne en Polen worden energiecentrales doelbewust aangevallen. “Wat dat voor gevolgen heeft voor mensen, is enorm heftig”, zegt ze. Die voorbeelden laten zien dat energieinfrastructuur een strategisch doelwit is geworden. Ook Nederland bevindt zich in een andere realiteit dan voorheen. “Bij Defensie en de NAVO spraken ze van de grey zone: het is geen oorlog, maar ook geen vrede”. Dat vraagt om structurele aandacht voor cybersecurity in de energiesector, waarbij voorbereiding en weerbaarheid centraal staan.
Cybersecurity in de energiesector gaat verder dan digitale systemen alleen. Energieinfrastructuur bestaat uit een combinatie van IT, OT en fysieke objecten. Transformatorhuisjes, energielijnen en havengebieden vormen samen een fijnmazig netwerk. Verstoringen kunnen daardoor snel grote gevolgen hebben. “Het gaat niet alleen om digitale veiligheid, maar ook om fysieke veiligheid”, benadrukt Lucinda. Juist in een dichtbevolkt land als Nederland maakt die combinatie de impact van incidenten extra groot.
Een belangrijk aandachtspunt binnen de energiesector zijn operationele technologieën. Veel OT-systemen draaien al jarenlang stabiel en zijn nooit ontworpen met cybersecurity als uitgangspunt. “Ze doen gewoon wat ze moeten doen, en juist daarom blijven ze vaak ongemoeid”, legt Lucinda uit. Die stabiliteit kan echter misleidend zijn. Onderdelen zijn soms verouderd, moeilijk vervangbaar of deels verbonden met het internet. Daarom begint weerbaarheid bij inzicht. “Je moet weten welke systemen je hebt en waar de afhankelijkheden zitten”.
Hoe groot de gevolgen van ketenafhankelijkheid kunnen zijn, bleek in 2017. Maersk in de Rotterdamse haven werd toen getroffen door een cyberaanval die eigenlijk op Oekraïne was gericht. “Maersk was geen doelwit, maar bijvangst”, zegt Lucinda. De rederij gebruikte, net als duizenden andere organisaties, een Oekraïens boekhoudprogramma. De malware verspreide zich via dit programma en raakte zo niet alleen Oekraïense doelen, maar indirect ook veel daarbuiten. Dit voorbeeld laat zien dat organisaties kwetsbaar kunnen zijn zonder dat zij zelf direct worden aangevallen. “Je weet vaak niet eens waar je allemaal van afhankelijk bent”, stelt Lucinda. Juist daarom is keteninzicht essentieel.
Langdurige uitval van energievoorzieningen is geen ondenkbaar scenario meer. De overheid bereidt burgers hierop voor met de oproep om zich 72 uur te kunnen redden. “Dat zegt eigenlijk alles over hoe kwetsbaar we zijn geworden”, aldus Lucinda. Volgens haar vraagt dit om een andere mindset. “We hebben in een tijd geleefd waarin alles vanzelfsprekend was. Dat het licht altijd aangaat, is dat niet meer”. Bewustwording is daarmee een belangrijk onderdeel van cybersecurity in de energiesector.
Cyberdreigingen komen steeds vaker van professionele, staatsgesponsorde groepen. Deze zogenoemde APT’s of BEARs opereren doelgericht en met grote middelen. “Ze laten zien wat ze kunnen en dat ze macht hebben over systemen”, legt Lucinda uit. Vervolging is in de praktijk nauwelijks mogelijk. “Ze worden beschermd door overheden, waardoor je ze niet zomaar kunt oppakken”. Dat maakt preventie en samenwerking des te belangrijker.
Samenwerking binnen de energiesector is noodzakelijk, maar niet vanzelfsprekend. Organisaties moeten informatie delen over kwetsbaarheden, terwijl ze tegelijkertijd hun systemen willen beschermen. “In cybersecurity draait alles om vertrouwen”, zegt Lucinda. Er bestaan al samenwerkingsverbanden, zoals het Nationaal Detectie Netwerk en sectorale CERT’s. Deze initiatieven werken alleen als partijen bereid zijn kennis te delen en elkaar te vertrouwen.
Vertrouwen ontstaat niet uitsluitend via technische kanalen. Persoonlijk contact speelt een cruciale rol. “Je moet elkaar in de ogen hebben gekeken en weten wie je tegenover je hebt”, benadrukt Lucinda. Evenementen zoals het Nationaal Congres Bescherming Energiesystemen maken dat mogelijk. Ze brengen professionals samen die elkaar normaal gesproken niet spreken, maar wel van elkaar afhankelijk zijn. Het congres richt zich op professionals met strategische verantwoordelijkheid. Met name CTO’s, CISO’s en bestuurders spelen een sleutelrol. “Zij moeten weten wat er speelt en tegen welke dreigingen we vechten”, aldus Lucinda. Cybersecurity in de energiesector vraagt om keuzes op bestuurlijk niveau, niet alleen om technische oplossingen.
Cybersecurity in de energiesector draait om inzicht, bewustwording en samenwerking. De dreigingen zijn reëel en de impact van verstoringen kan groot zijn. Zoals Lucinda het samenvat: “Het is niet meer vanzelfsprekend dat alles altijd blijft draaien”. Juist daarom is het noodzakelijk dat organisaties samen optrekken en investeren in vertrouwen en weerbaarheid. Wil je meer weten over het programma van het congres? Vraag dan de brochure aan.
Altijd op de hoogte blijven?
Ontvang exclusieve tips en trends direct in je inbox.
