De klant
Vattenfall zorgt voor de energie van Nederland. Op zo’n 2 miljoen adressen leveren ze stroom, warmte, koude en gas. Bij mensen thuis, bij bedrijven en bij de overheid. Het hoofdkantoor staat in Amsterdam, maar ze werken ook in Groningen, Leeuwarden, Arnhem en Alkmaar. Vattenfall werkt hard aan hun ambitie: binnen één generatie fossielvrij.
Het Vattenfall Cybersecurity project voor de warmtenetten
De warmtenetten worden bestuurd door heel veel technische automatiseringssystemen (TA). Het cybersecurity project betreft het voorkomen van sabotage van deze operationele systemen. Daarnaast stelt de overheid eisen op het gebied van security aan de vitale infrastructuur. Hiermee draagt security bij aan de beschikbaarheid, de integriteit, de vertrouwelijkheid en de controleerbaarheid van de procesbesturing en informatievoorziening binnen de TA.
Het doel van het security project is uiteraard het veilig maken van de operationele technologie. In meer concrete zin is het projectdoel het bestaande informatiebeveiligingsbeleid van Vattenfall Business Unit (BU) Warmte NL vertalen naar de TA omgeving en alle assets binnen Vattenfall BU Warmte NL. De ISO27000 reeks is de standaard waar het gaat om informatiebeveiliging, die ook voor Vattenfall BU Warmte NL als uitgangspunt wordt genomen.
Bijdragen KienIA
KienIA heeft het project zowel procesmatig als inhoudelijk geleid. Hierbij is een risico gestuurde methode gehanteerd om invulling te geven aan alle normen, eisen en beleid rond cybersecurity. Dit beleid is vervolgens door vertaald naar praktisch uitvoerbare maatregelen in de praktijk.
Project resultaat
Het resultaat van dit project is een Informatie Security Management Systeem (ISMS) voor de TA, welke toepasbaar is voor alle assets binnen Vattenfall BU Warmte NL. Het is een pragmatische ISMS voor het beveiligen van de TA voor de lange termijn en toepasbaar voor het uitvoeren van projecten en het dagelijks beheer. Het geeft een specifieke invulling aan het Vattenfall Informatiebeveiligingsbeleid (conform ISO27001) en daarmee ook de Nederlandse wet- en regelgeving. Praktisch beschrijft het ISMS per type object de TA Security maatregelen waaraan het object dient te voldoen. Het complete ISMS legt de methode vast hoe wordt omgegaan met de beheersing van security-risico’s.