Waterschap Rijnland is verantwoordelijk voor het beheer van waterkwantiteit en waterkwaliteit voor ruim 1,4 miljoen inwoners in de regio Zuid‑Holland. Achter ogenschijnlijk eenvoudige processen zoals het op peil houden van waterstanden en het betrouwbaar functioneren van gemalen en sluizen, schuilt een complexe operationele technologie‑omgeving (OT) met tientallen besturingssystemen, sensoren en regelinstallaties. In 2022 werd uit meerdere inlichtingenrapporten duidelijk dat kritieke infrastructuur, waaronder waterschappen, steeds vaker doelwit werd van statelijke actoren en professioneel georganiseerde cybercriminelen. Waar OT‑systemen vroeger grotendeels geïsoleerd waren, waren ze inmiddels steeds vaker verbonden met IT‑netwerken voor remote beheer, data‑analyse en efficiencyverbeteringen.
De OT‑omgeving van Waterschap Rijnland omvat 87 SCADA‑locaties voor de aansturing van gemalen, pompstations en sluizen, circa 340 meetpunten voor waterstanden en waterkwaliteit, distributed control systems die automatische processen bewaken en een aanzienlijk aantal industriële besturingssystemen waarvan sommige meer dan twintig jaar oud zijn en geen moderne beveiligingsfuncties ondersteunen. De bestaande beveiligingssituatie bood onvoldoende bescherming tegen het actuele dreigingslandschap: beperkte zichtbaarheid in OT‑netwerkverkeer, verouderde systemen zonder patches, onduidelijke verantwoordelijkheidsverdeling tussen IT en OT en nauwelijks uitgewerkte incidentresponsprocedures voor OT‑scenario’s.
Tegelijkertijd nam de externe druk toe. De NIS2‑richtlijn verplicht vitale en essentiële aanbieders, waaronder waterschappen, om aantoonbaar robuuste maatregelen te treffen voor netwerk‑ en informatiesystemen. Internationale incidenten in water‑ en energiesectoren lieten zien dat OT‑aanvallen directe maatschappelijke impact kunnen hebben, variërend van verstoringen van de drinkwatervoorziening tot ernstige milieuschade. Het bestuur van Waterschap Rijnland besloot daarom tot een meerjarig OT‑beveiligingsprogramma met een duidelijke scope: structurele netwerksegmentatie tussen IT en OT, gespecialiseerde monitoring voor OT‑dreigingen, systematisch kwetsbaarheidsbeheer, uitgewerkte responsprocedures voor OT‑incidenten en heldere governance rond rollen, verantwoordelijkheden en besluitvorming.
Deze case study beschrijft hoe het waterschap stap voor stap de OT‑beveiliging heeft getransformeerd tot een volwassen, NIS2‑conforme omgeving. De nadruk ligt op praktische lessen voor andere Nederlandse waterschappen en beheerders van kritieke infrastructuur die voor dezelfde uitdaging staan: het veilig moderniseren van operationele technologie zonder de continuïteit van vitale processen in gevaar te brengen.
Scope: 87 SCADA‑locaties, circa 340 monitoringstations en meer dan 180 besturingssystemen zijn structureel beveiligd. Investering: ongeveer € 3,2 miljoen over drie jaar, inclusief netwerksegmentatie, gespecialiseerde monitoring en opleiding van personeel. Resultaten: 96% minder OT‑security‑incidenten, aantoonbare NIS2‑compliance, geen enkele geslaagde ransomware‑aanval op OT‑systemen, 99,94% operationele beschikbaarheid en naar schatting € 1,8 miljoen aan vermeden incident‑ en herstelkosten.
Implementeer waar mogelijk ook fysieke netwerksegmentatie voor kritieke OT‑systemen en vertrouw niet uitsluitend op logische firewalls en VLAN‑scheiding. In de initiële plannen ging Waterschap Rijnland uit van hoofdzakelijk logische segmentatie met VLANs en firewallregels tussen IT‑ en OT‑netwerken. Tijdens de security‑assessment werd duidelijk dat dit onvoldoende was: gedeelde bekabeling en switches creëerden ongewenste aanvalspaden en in dreigingsinformatie werden meerdere voorbeelden beschreven van aanvallers die VLAN‑scheiding wisten te omzeilen. Het programmateam koos er daarom bewust voor om de meest kritieke SCADA‑locaties fysiek te scheiden met dedicated glasvezelverbindingen, eigen switches uitsluitend voor OT‑verkeer, geïsoleerde beheernetwerken en losgekoppelde back‑upomgevingen. Deze fysieke segmentatie zorgde voor een extra verdedigingslaag: zelfs als een logische beveiligingsmaatregel wordt omzeild, blijven de meest kritieke systemen beschermd. De investering in extra infrastructuur was aanzienlijk, maar leidde tot een aantoonbaar kleinere aanvalsoppervlakte, eenvoudiger audits en een veel sterkere beveiligingspositie. De belangrijkste les: voor écht kritieke infrastructuur is fysieke segmentatie geen luxe, maar een verstandige strategische keuze.
Security assessment en architectuurontwerp
Inventarisatie van de OT‑omgeving en risicobeoordeling
De eerste fase van het programma bestond uit een grondige verkenning van de volledige OT‑omgeving. Het doel was om alle relevante assets, kwetsbaarheden en risico’s in kaart te brengen, zonder de continuïteit van de waterbeheerprocessen te verstoren. Het projectteam combineerde meerdere onderzoeksmethoden: passieve netwerkmonitoring om OT‑protocollen te analyseren zonder verkeer te blokkeren, geautomatiseerde asset‑inventarisatie die PLC’s, RTU’s en HMI‑systemen herkende, review van leveranciersdocumentatie om architecturen en afhankelijkheden te begrijpen, fysieke inspecties op afgelegen locaties en verdiepende gesprekken met operators en onderhoudsteams. Door deze informatiebronnen te combineren ontstond een realistisch beeld van de feitelijke situatie in het veld in plaats van een theoretisch ontwerpplaatje.
De uitkomsten waren confronterend. Ongeveer 64 procent van de OT‑systemen draaide op verouderde besturingssystemen waarvoor geen beveiligingsupdates meer beschikbaar waren. Op bijna een derde van de apparaten werden standaardwachtwoorden aangetroffen en veel locaties bleken onderdeel van een vlak netwerk waarin onbeperkte laterale verplaatsing mogelijk was zodra een aanvaller eenmaal toegang had. Centrale logging van OT‑apparatuur ontbrak vrijwel volledig, wat detectie en forensisch onderzoek bemoeilijkte. Daarnaast was de fysieke beveiliging op diverse onbemande buitenlocaties beperkt, terwijl daar wel apparatuur stond die direct invloed kon uitoefenen op waterstanden en waterkwaliteit. Incidentresponsprocedures voor OT‑scenario’s bleken in veel gevallen niet of slechts op hoofdlijnen vastgelegd.
Parallel aan de technische inventarisatie voerde het waterschap een gestructureerde risicobeoordeling uit. Daarbij werden verschillende scenario’s geanalyseerd, zoals een ransomware‑aanval die SCADA‑servers versleutelt en de besturing van gemalen verstoort, gerichte manipulatie van peilgegevens waardoor ongewenste waterstandswijzigingen ontstaan, misbruik van externe onderhoudstoegang door leveranciers en fysieke sabotage van meetstations. Voor elk scenario werd gekeken naar kans, impact, mogelijke veiligheidsrisico’s voor inwoners en milieu‑schade, alsmede naar financiële gevolgen zoals noodmaatregelen, herstelkosten, boetes en reputatieschade. De conclusie was helder: het bestaande risicoprofiel was voor een vitale infrastructuur onacceptabel en rechtvaardigde een substantiële meerjarige investering in OT‑beveiliging.
Toepassing van het Purdue‑model in de netwerkarchitectuur
Op basis van de risicoanalyse ontwierp het waterschap een nieuwe OT‑architectuur volgens het Purdue‑model voor industriële controlesystemen. Dit model brengt duidelijk gelaagdheid aan tussen veldapparatuur, besturingslagen en kantoor‑IT, en vormt daarmee een logisch vertrekpunt voor netwerksegmentatie. In de nieuwe architectuur werden sensoren, actuatoren en PLC’s op niveau 0 en 1 geplaatst binnen strikt afgeschermde segmenten die uitsluitend voor procesbesturing worden gebruikt. SCADA‑servers en HMI‑systemen op niveau 2 kregen een eigen segment waarin alleen de strikt noodzakelijke communicatie is toegestaan. Process‑historian‑systemen en engineeringswerkplekken werden ondergebracht in een operationele laag (niveau 3) die via een gecontroleerde DMZ communiceert met de reguliere kantoornetwerken (niveau 4 en 5).
De communicatie tussen de verschillende lagen verloopt uitsluitend via industriële firewalls met expliciete allow‑lists per protocol en per verbinding. Voor een aantal datastromen richting IT‑rapportages koos het waterschap voor éénrichtingsverbindingen via data‑diodes, zodat OT‑systemen wel informatie kunnen leveren maar niet op afstand zijn aan te sturen. Beheertoegang tot de OT‑omgeving verloopt via streng gecontroleerde jump servers met multi‑factor‑authenticatie en sessierecording, zodat misbruik sneller kan worden gedetecteerd en gereconstrueerd.
De implementatie van deze architectuur vond gefaseerd plaats. Allereerst werden de meest kritieke locaties aangepakt waar inundatie‑ of droogterisico’s het grootst zijn. Vervolgens volgden locaties met hoge economische en maatschappelijke impact en tot slot de kleinere objecten. Tijdens elke fase werd nauw samengewerkt met operationeel personeel om werkzaamheden te plannen binnen onderhoudsvensters en de impact op de continuïteit te minimaliseren. Voor oudere systemen zonder moderne netwerkopties moesten soms creatieve oplossingen worden bedacht, bijvoorbeeld door beschermende segmentatie rond een legacy‑systeem te bouwen in plaats van het systeem zelf aan te passen. Bij de meest kritieke installaties werd gekozen voor aanvullende fysieke segmentatie met dedicated glasvezel en gescheiden netwerkapparatuur, waardoor de weerbaarheid verder werd verhoogd.
OT‑monitoring en incidentrespons in de praktijk
Gespecialiseerde dreigingsdetectie voor OT‑omgevingen
Traditionele IT‑beveiligingstools zijn niet ontworpen voor industriële protocollen, procesprioriteiten en strikte beschikbaarheidseisen. Daarom koos Waterschap Rijnland voor een monitoringarchitectuur die specifiek is afgestemd op OT‑omgevingen. Kern hiervan zijn sensoren die OT‑verkeer passief analyseren en protocollen begrijpen zoals Modbus, DNP3 en IEC 61850. In plaats van alleen naar IP‑adressen en poorten te kijken, begrijpen deze oplossingen welke commando’s normaal zijn voor een bepaald proces en welke afwijkingen duiden op mogelijk misbruik of misconfiguratie. Door langere tijd normaal gedrag te observeren, ontstaat een basislijn; afwijkingen daarop worden automatisch gemarkeerd als potentieel beveiligingsincident.
Naast protocolanalyse werd een actuele asset‑inventaris opgebouwd die continu wordt bijgewerkt. Zodra een nieuw apparaat verbinding maakt met het OT‑netwerk, verschijnt dit automatisch in het overzicht en kan worden gecontroleerd of dit hoort bij een geplande wijziging. Kwetsbaarheden worden waar mogelijk passief in kaart gebracht, om te voorkomen dat actieve scans de stabiliteit van gevoelige systemen verstoren. Alle relevante OT‑meldingen worden doorgestuurd naar het centrale SIEM‑platform, zodat correlatie mogelijk is met IT‑gebeurtenissen, dreigingsinformatie en identity‑gegevens. Hierdoor ontstaat één integraal beeld van aanvallen die zowel IT‑ als OT‑componenten raken.
Specifiek voor het waterschap zijn meerdere use‑cases uitgewerkt. Zo genereert het systeem een waarschuwing bij ongeautoriseerde apparaatverbindingen, bijvoorbeeld wanneer een laptop in een veldkast wordt aangesloten die niet in de inventaris voorkomt. Ook worden afwijkende commando’s of ongebruikelijke sequenties in besturingsprotocollen gedetecteerd, zoals onverwachte frequentie van schakelopdrachten voor pompen of sluizen. Procesafwijkingen – bijvoorbeeld een plotselinge verandering van waterstand zonder bijbehorend commando – worden gekoppeld aan mogelijke manipulatie. Daarnaast controleert de monitoring of configuratiewijzigingen uitsluitend plaatsvinden binnen vooraf afgesproken onderhoudsvensters en of beheerdersactiviteiten passen bij hun normale werkpatroon.
De behandeling van meldingen is nadrukkelijk ingebed in bestaande operationele processen. Een klein team van OT‑securityspecialisten verzorgt de eerste triage en beoordeelt of een melding technisch en operationeel relevant is. Indien nodig wordt direct opgeschaald naar operators in de controlekamer, zodat de impact op veiligheid en continuïteit kan worden ingeschat. Voor elk type melding is vastgelegd wie welke beslissing mag nemen, welke systemen eventueel geïsoleerd mogen worden en wanneer handmatige bediening noodzakelijk is. Door deze vaste werkwijze neemt de belasting voor operationele teams af en blijft de focus op de werkelijk kritieke signalen.
Ingerichte incidentrespons en oefenen met realistische scenario’s
Omdat OT‑incidenten directe gevolgen kunnen hebben voor veiligheid, milieu en dienstverlening, heeft het waterschap aparte incidentresponsprocedures voor OT‑omgevingen opgesteld. Deze bouwen voort op het algemene incidentresponsproces, maar bevatten aanvullende stappen en beslismomenten. Zo wordt bij mogelijke procesmanipulatie altijd eerst beoordeeld of het veilig is om de installatie direct stil te leggen of in een veilige modus te zetten, voordat technische onderzoekshandelingen plaatsvinden. Voor ransomware‑scenario’s in OT‑omgevingen is vastgelegd hoe snel segmenten van het netwerk geïsoleerd moeten worden, hoe handmatige bediening wordt overgenomen en hoe wordt voorkomen dat besmette back‑ups worden teruggezet.
De procedures zijn niet alleen op papier uitgewerkt, maar worden regelmatig geoefend. In zogeheten tabletop‑oefeningen lopen vertegenwoordigers van IT‑security, OT‑operations, communicatie en management stap voor stap door een gesimuleerd scenario. Tijdens deze sessies wordt duidelijk waar verantwoordelijkheden nog onduidelijk zijn, welke beslissingen langer duren dan gewenst en waar informatie ontbreekt. Op basis daarvan worden draaiboeken aangepast en aanvullende afspraken gemaakt met externe partners, zoals leveranciers en crisisteams van andere overheden.
Naast tabletop‑sessies organiseert het waterschap periodiek technische oefeningen in een gescheiden testomgeving. Daarin wordt bijvoorbeeld een gesimuleerde aanval op een SCADA‑server uitgevoerd, waarbij het security‑ en OT‑team de volledige detectie‑ en herstelscenario’s doorloopt. De resultaten worden vergeleken met vooraf gedefinieerde doelstellingen, zoals detectietijd, beslissnelheid, volledigheid van logging en hersteltijd. Na afloop worden technische en organisatorische verbeteracties vastgelegd, variërend van aanpassingen in monitoringregels tot aanvullende training voor operators. Tot slot is er een structureel proces voor nacalculatie na echte incidenten: de oorzaak wordt diepgaand onderzocht, maatregelen worden opgevolgd en lessen worden actief gedeeld binnen het waterschap en, waar mogelijk, met andere waterschappen om de gezamenlijke weerbaarheid te vergroten.
De OT‑beveiligingstransformatie van Waterschap Rijnland laat zien dat het mogelijk is om kritieke infrastructuur op een professionele en aantoonbare manier te beschermen, mits OT‑security als volwaardig programma wordt benaderd en niet als verlengstuk van traditionele IT‑beveiliging. Doorslaggevend waren een duidelijk bestuurlijk mandaat, de bereidheid om meerdere jaren consistent te investeren en het expliciet vrijmaken van gespecialiseerde kennis, zowel intern als via strategische partners. Minstens zo belangrijk was de nauwe samenwerking met operationele teams, waardoor maatregelen realistisch bleven, onderhoudsvensters goed werden benut en veiligheid van medewerkers en omgeving altijd voorop stond.
Het programma leverde aantoonbare resultaten op: een sterke reductie van het risicoprofiel, NIS2‑conforme beveiligingsmaatregelen, betere zichtbaarheid in de OT‑omgeving en een duidelijke verkorting van detectie‑ en responstijden. De vermeden incident‑ en herstelkosten overstijgen de investeringen en het waterschap beschikt nu over een herhaalbaar raamwerk voor verdere verbeteringen. Belangrijke lessen zijn onder meer dat netwerksegmentatie de ruggengraat vormt van OT‑beveiliging, dat gespecialiseerde monitoring noodzakelijk is om OT‑specifieke dreigingen te herkennen en dat incidentrespons alleen goed werkt als security en operations als één team optreden.
Voor andere Nederlandse waterschappen en beheerders van kritieke infrastructuur biedt deze case study concrete handvatten. Begin met een eerlijke risicoanalyse van de huidige OT‑omgeving, vertaal deze naar een meerjarige roadmap en zorg dat governance, techniek en organisatie in balans blijven. Door geleidelijk, maar doelgericht te werken aan segmentatie, monitoring, respons en opleiding, ontstaat een veerkrachtige infrastructuur die beter bestand is tegen de steeds complexere cyberdreigingen en tegelijkertijd de continuïteit van essentiële waterbeheerprocessen waarborgt.