Security in vitale infrastructuur

Transcriptie

1 Security in vitale infrastructuur Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 1

2 Uitgave Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Project Bescherming vitale infrastructuur Postbus EA Den Haag DTP en print Grafische en Multimediale Diensten BZK Aan deze publicatie kunnen geen rechten worden ontleend. Vermenigvuldigen van informatie uit deze publicatie is toegestaan, mits deze uitgave als bron wordt vermeld. Juni /3122-GMD13 2

3 Bouwstenen voor beleid Inleiding In deze flyer worden de bouwstenen aangereikt voor het securitybeleid in de vitale infrastructuur. Deze bouwstenen fungeren als handreiking voor partijen, die werk willen maken van securitybeleid. Hiertoe rekenen we koepel- en branche - organisaties, vak departemen ten, beheerders en eigenaren van de vitale infrastructuur, maar ook alle voor security relevante stakeholders, waaronder kennisleveranciers, kennisinstellingen, onafhankelijke deskundigen uit de securitysector en/of crisispartners. Bescherming vitale infrastructuur De vitale infrastructuur bestaat uit al die processen, producten en diensten die essentieel zijn voor de Nederlandse samenleving. Deze vitale infrastructuur kan verstoord raken of uitvallen als gevolg van natuurrampen, technisch, organisatorisch of menselijk falen, maar ook als gevolg van moedwillig menselijk handelen, van vandalisme tot criminele handelingen en terrorisme. Het is in het belang van onze nationale veiligheid, dat de vitale infrastructuur weerbaar(der) wordt ten aanzien van dergelijke verstoringen. Extra inspanningen noodzakelijk Het effect van één moed willige verstoring kan dusdanig groot zijn, dat extra bescherming van de vitale infrastructuur nodig is. Zelfs als de kans dat een dergelijke verstoring zich voordoet laag is. De milleniumwisseling en de aanslagen in de Verenigde Staten in september 2001 hebben ons van dergelijke risico s bewust gemaakt. In 2004/2005 zijn in alle vitale sectoren risico-analyses uitgevoerd en als rapportage aangeboden aan de Tweede Kamer. De uitkomst van deze sectorale analyses is dat er op het gebied van security extra inspanningen noodzakelijk zijn. 3

4 Security verhoogt weerbaarheid Bij security gaat het om het (preventief) weerstand bieden aan moedwillige verstoring. Dit moedwillige of opzettelijke karakter is bepalend voor het onderscheid tussen security en safety. Bij safety gaat het om het (zoveel mogelijk) voorkomen van ongewenste gebeurtenissen als gevolg van natuurlijke anomalieën of rampen, technisch, organisatorisch of menselijk falen. Een structurele beheersing van risico s, security- danwel safety gerelateerd, draagt bij aan de continuïteit van de vitale infrastructuur. Méér dan bullen en spullen Bij moedwillige verstoring denken we vaak aan een kwaadwillende derde, die met goed hekwerk en sloten buiten de poort is te houden. Maar een verstoring kan ook van binnenuit komen of betrekking hebben op de ICT-infrastructuur; met ontwrichting als oogmerk, financieel gewin of bedrijfsspionage. De motieven en middelen kunnen per dader of delict verschillen. Daarnaast kan een verstoring beoogd zijn, maar ook het gevolg zijn van een ander incident. Denk aan een koperdiefstal met gevolgen voor de brand veiligheid. Dat maakt dat security méér is dan een goede beveiliging van de bullen en spullen. Bouwstenen Om een beleidscyclus voor security in te kunnen richten, zijn er vijf bouwstenen nodig: bewustwording, beeldvorming, analyse en beoordeling, planning en uitvoering, evaluatie en bijstelling. Elke bouwsteen vertegenwoordigt een stap in de ontwikkeling en uitvoering van securitybeleid. 4

5 Bewustwording Hoe worden we ons bewust van de mogelijke dreigingen en risico s voor de continuïteit van vitale objecttypen, netwerken of ketens? Via de media, via alertering of risico signalering, door informatiedeling, of op basis van onderzoek of incidentregistratie? risicobewustzijn vormt de basis voor de ontwikkeling van securitybeleid. Beeldvorming Welke interne en externe dreigingstypen zijn denkbaar, met welke motieven? In de fysieke omgeving of in de ICT-infra structuur? En wanneer kan een moedwillige verstoring van de vitale infra structuur gewonden of doden, economische, publieke of milieuschade tot gevolg hebben? de uitvoering van een dreigingsanalyse geeft inzicht in het dreigingsbeeld. scenario-ontwikkeling maakt gezamenlijke beeldvorming mogelijk. 5

6 Analyse en beoordeling Hoe groot is kans maal effect? Noodzaakt de aard van de dreigingen of de inschatting van de risico s tot een vergroting van de weerbaarheid? Welke maatregelen en -voorzieningen zijn reeds getroffen, om vitale objecttypen, netwerken of ketens te beschermen? De uitvoering van een risicobeoordeling geeft inzicht in de mate van weerbaarheid. Planvorming en uitvoering Wat kan meer, beter of anders? Welke extra maatregelen zouden aanvullend te nemen zijn? Wegen de kosten op tegen de baten? Een beleidsplan maakt het mogelijk om prioriteiten te stellen en de juiste maatregelen of voorzieningen te treffen. Evaluatie en bijstelling Hoe wordt getoetst of de getroffen maatregelen of voorzieningen daadwerkelijk doelmatig en effectief zijn? Hoe vaak wordt het securitybeleid geactualiseerd? Een (regelmatige) evaluatie maakt de bijstelling van beleid mogelijk. Sectorbeleid op maat Niet ieder dreigingstype is voor iedere sector even relevant. Per dreigingstype kan de risico-inschatting per sector een ander beeld opleveren of kan het belang van safety prevaleren boven security. Ook verschillen sectoren in de wijze van regulering. Daarom vraagt security om sectorbeleid op maat. De praktijk laat hier al goede voorbeelden van zien. In de sectoren nucleair, luchtvaart en havens ligt van oudsher een zwaar accent op wet- en regelgeving. In de telecomsector en in de financiële sector is er sprake van een combinatie van wet- en regelgeving en zelfregulering. In de drinkwatersector geven de waterbedrijven invulling aan het goed huisvaderschap. Dit securitybeleid houdt voor specifieke locaties in: beveiliging boven basisniveau. In de olie en (petro-) chemische industrie vormen convenantafspraken de basis voor een structurele publiek-private samenwerking. 6

7 Convenant Olie en (petro-)chemische industrie vitaal security De Olie en (petro-) chemische industrie en de overheid hebben op 27 mei 2008 in een convenant afspraken gemaakt over de bescherming van de sector tegen kwaadwillenden. De (petro-) chemische bedrijven kunnen een mogelijk doelwit van kwaadwillenden zijn om een incident te veroorzaken waardoor veel slachtoffers kunnen vallen of de leverings zekerheid van olie en olieproducten in gevaar komt. De belangrijkste afspraken in het convenant zijn: invoeren (binnen een jaar) of verder ontwikkelen van een Security Management Systeem bij de bedrijven met als onderdelen: een vastgesteld securitybeleid, risico-identificatie en - analyse, beveiligingsmaatregelen en - voorzieningen en afspraken over de interne en externe beveiligingsorganisatie; gezamenlijk opstellen van standaard scenario s die worden opgenomen in de Security Management Systemen en waar passende maatregelen op worden genomen; gezamenlijke stimulatie van bedrijven, die een A-locatie hebben of zijn, om zich aan te sluiten bij het Alerteringssysteem Terrorismebestrijding (ATb) van de Nationaal Coördinator Terrorismebestrijding (NCTb); verdergaande informatie-uitwisseling tussen de sectoren en overheid. Winst van security management Op bedrijfsniveau is security een managementverantwoordelijkheid. Security management kan worden beschouwd als een integraal onderdeel van het continuïteits- of risico management van vitale organisaties. Een goed Security Management Systeem helpt schade voorkomen, beperkt de kosten van gehele of gedeeltelijke uitval, herstel en/of aansprakelijk heid en draagt bij aan het vertrouwen van de klant. Dit vraagt om een verankering van het securitybeleid op het hoogste managementniveau in de organisatie. Daarnaast is het kennen van de eigen crisispartners (publiek en privaat) essentieel. Ten tijde van een crisis kunnen goede beveiligingsafspraken het verschil uitmaken tussen winst en verlies. 7

8 Informatiedeling Elk moment kunnen zich nieuwe dreigingen aandienen, zoals bijvoorbeeld het risico van hacktivisme voor de continuïteit van bedrijfsprocessystemen. Daarom maakt de nationale overheid het delen van dreigingsinformatie met de vitale sectoren mogelijk, waarbij de vertrouwelijk heid van deze (wederzijdse) infor matie - deling op basis van protocolafspraken wordt geborgd. Voor terrorismegerelateerde dreigingen geschiedt dit via het Alerterings systeem Terrorisme bestrijding (ATb) en voor cybercrime binnen het Informatie knooppunt Cybercrime (IKC) en via GOVCERT.NL, de waarschuwingsdienst van het Computer Emergency Respons Team van en voor de Nederlandse overheid. Ook het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) brengt partijen op reguliere basis bij elkaar om informatie en kennis over specifieke security thema s te delen. Ondersteuning Bij de implementatie van het securitybeleid kunnen de departementen, de beheerders van de vitale infrastructuur en de relevante kennispartners gebruik maken van de adviesfunctie van het NAVI. Het NAVI bundelt (internationale) kennis en expertise over security ten behoeve van de vitale infrastructuur, voert (sectorale) dreigings- en risico analyses uit, biedt beveiligings concepten voor bepaalde objecttypen aan, kan second opinions uitvoeren en stelt beheerders in samenwerking met de NCTb in staat om beveiligingsafspraken te maken met de decentrale overheden in de eigen regio. Daarnaast heeft het NAVI producten die de beheerders en eigenaren van de vitale infrastructuur kunnen helpen (onderdelen) van een Security Management Systeem te implementeren. Voor meer informatie: Juni