Digitale gebouwsystemen moeten weerbaar zijn tegen cyberaanvallen
De wereld raakt steeds meer digitaal verbonden en cyberaanvallen nemen toe. Ook de objecten van het Rijksvastgoedbedrijf (RVB) zijn doelwit. Als adviseur cybersecurity versterkt Rinke Andriessen de beveiliging van gebouwsystemen: ‘De digitale wereld verandert constant. Risico’s moeten we voorblijven.’
Rijksvastgoed hangt vol met sensoren, brandmelders, beveiligingssystemen en beheerinstallaties. Door de toenemende digitalisering zijn al deze elementen steeds meer met elkaar en met de buitenwereld verbonden. Dit brengt kansen met zich mee, maar ook risico’s. Hackers tonen steeds meer interesse in technologieën in rijksgebouwen. Met cyberaanvallen proberen zij systemen plat te leggen en informatie te stelen. Deze digitale aanvallen zijn onzichtbaar, totdat ze slagen en grote schade aanrichten aan werkprocessen. Daarom investeert het Rijksvastgoedbedrijf (RVB) in een goede bescherming tegen internetinbraak. Als adviseur cybersecurity van het RVB is Rinke Andriessen dagelijks bezig met het versterken en uitbouwen van de digitale bescherming van de systemen in alle rijksgebouwen. Andriessen: ‘Cybersecurity raakt tegenwoordig alles en het ontbreekt vaak aan bewustzijn van mogelijke gevaren. Digitale dreiging lijkt onzichtbaar, maar dagelijks staan de media er vol van.’
Inbreken en uitbreken
Cyberaanvallen brengen niet alleen de digitale veiligheid van gegevens in gevaar. Digitale inbraken kunnen zelfs omslaan tot fysieke gevaren voor mensen die werken op locatie. ‘Zo wil je niet dat iemand op afstand een ontruiming in gang kan zetten, dat je geen controle meer hebt over de koeling in een datacenter of dat er met camerabeelden online wordt meegekeken’, geeft Andriessen als voorbeelden. ‘Ook zijn de te beschermen belangen bij elke gebruiker anders. Bij kantoren wil je dat mensen niet inbreken, bij gevangenissen wil je juist dat mensen niet uitbreken.’
Digitale tweeling
Door technische ontwikkelingen werkt alles steeds meer digitaal. Gebouwbeheersystemen die eerst alleen lokaal werkten, werken nu vaak met een digitale tweeling in de cloud. Dat levert enorme innovaties op die een paar decennia geleden onmogelijk leken. Zo maken kunstmatige intelligentie en weersverwachtingen simulaties die zorgen dat het gebouw beschikt over het beste klimaatprogramma voor morgen. In dat geval vindt beheer via automatische besturing in de cloud plaats. Andriessen: ‘Dat is een van de vele goede ontwikkelingen. We besparen daarmee namelijk energie en we verbeteren het comfort.’ Ook zorgt digitalisering voor een centrale uitvoering van het beheer van meerdere locaties. Andriessen: ‘Doordat we systemen op afstand besturen en monitoren, kunnen we snel en efficiënt reageren op verstoringen. Daarvoor is digitaliseren erg handig. De digitale wereld verandert constant en als overheid wil je mee met de tijd. Risico’s moeten we voorblijven.’
Systemen gelijktrekken
De grote diversiteit aan gebouwen, de uiteenlopende technologieën van gebouwsystemen en de verschillende gebruikers met verschillende belangen die beschermt moeten worden, maakt het werk van Andriessen complex. Om toch complete eisen te stellen aan deze grote verscheidenheid, maakte Andriessen samen met collega’s een cybersecurity raamwerk die wordt meegegeven aan elk project. ‘Daarmee vertalen we het kader voor de hele overheid, de Baseline Informatiebeveiliging Overheid (BIO), naar de specifieke context van vastgoed en voldoen we aan gemaakte afspraken’, legt Andriessen uit.
Maar alleen het raamwerk is nog niet voldoende. ‘Beheer van gebouwsystemen is ingewikkeld. Een raam wassen kan iedereen, maar een geavanceerde, digitale installatie actueel houden, vraagt om specialisten’, verklaart Andriessen. ‘Het is voor onszelf en voor de markt gemakkelijker als we nadenken over het gelijktrekken van ontwerpen, protocollen en netwerken.’ Om zo alles beter beheersbaar en overzichtelijk te houden, is er een aanpak nodig die minder per pand kijkt. ‘Dat kan door daar rekening mee te houden bij inkoop- en contractmanagement’, vindt Andriessen. In contractvormen staan ontwerp en realisatie vaak te veel apart van beheer. ‘Wat betreft cybersecurity kun je die twee niet meer los van elkaar zien,’ onderbouwt Andriessen. ‘Bovendien verwachten we in 2027 The European Cyber Resilience Act die verplicht om tijdens de hele levensduur van apparaten updates uit te voeren. Daarmee blijft de beveiliging actueel, maar dat vraagt wat van ons beheer. Goede afspraken aan de voorkant maken het beheer makkelijker.’
Piet Schreuderpenning
Als blijk van verdienste voor zijn inzet, ontving Andriessen de Piet Schreuderpenning. De penning is bij het RVB in het leven geroepen om beveiligingsadviseurs met vernieuwende ideeën de waardering te geven die ze verdienen. Andriessen was er stil van toen bleek dat hij de penning in ontvangst mocht nemen. ‘Dit is veel te veel eer. Er werken veel mensen om mij heen en samen staan we pas aan het begin. De eerste stappen om alle systemen bij elkaar te brengen is gezet, maar we moeten elkaar blijven uitdagen om de eindstreep te halen.’
Meer interesse?
Lees hoe onze ICT- en data-specialisten meenemen naar de toekomst op Werken Voor Nederland.