Om een veilige werking te garanderen van zijn gemalen en andere belangrijke systemen voor waterbeheer, zocht het waterschap Hunze en Aa’s een betrouwbare beveiligingsoplossing die het de volledige regie gaf. Het waterschap wilde de risico’s in zijn Scada-omgevingen tot een minimum beperken en zijn tien jaar oude omgeving met beveiligingstools van diverse leveranciers inruilen voor een centrale oplossing die zich kenmerkte door beheereenvoud. De oplossing werd gevonden bij Check Point.
Waterschap Hunze en Aa’s heeft de taak ervoor te zorgen dat inwoners van de regio Oost-Groningen en Noordoost-Drenthe kunnen beschikken over schoon en voldoende water. Het waterschap bouwt en onderhoudt daarnaast sterke dijken die bescherming bieden tegen overstromingen. Verder zorgt het waterschap ervoor dat de waterwegen in de regio goed bevaarbaar zijn. Dat is een hele opgave, omdat een groot deel van dit gebied zich onder zeeniveau bevindt. Hoogwater wordt regelmatig met behulp van gemalen afgevoerd naar de Waddenzee.
In deze kwetsbare omgeving is krachtige beveiliging van cruciaal belang voor het waterschap. Dat geldt met name voor zijn Supervisory control and data acquisition (Scada)-systemen. Een paar minuten downtime van het netwerk kan al snel de veiligheid en levens van mensen in de regio in gevaar brengen.
Betrouwbare oplossing nodig
Om een veilige werking te garanderen van zijn gemalen en andere belangrijke systemen voor waterbeheer, had het waterschap Hunze en Aa’s een betrouwbare beveiligingsoplossing nodig die het de volledige regie in handen gaf. Het waterschap wilde de risico’s in zijn Scada-omgevingen tot een minimum beperken en zijn tien jaar oude omgeving met beveiligingstools van diverse leveranciers inruilen voor een centrale oplossing die zich kenmerkte door beheereenvoud.
‘Het Team ICT is verantwoordelijk voor de kantoorautomatisering én de industriële procesautomatisering, met name het technisch beheer van de applicaties en verbindingen’, aldus Rudi Boets, hoofd van het Team ICT van het waterschap Hunze en Aa’s. ‘Wij zorgen ervoor dat de Scada-systemen via de lijnverbindingen hun gegevens naar het hoofdpostsysteem kunnen sturen. Door middel van visualisatie kunnen de beheerders de data vervolgens raadplegen.’
Het waterschap wilde ook zorg dragen voor verbeterde overeenstemming met de richtlijnen van de Baseline information security water board (Biwa). Deze Nederlandse unie van waterschappen heeft aanbevelingen opgesteld voor de beveiliging van de fysieke omgevingen en digitale informatie van nutsbedrijven.
Er stond veel op het spel, en het waterschap had een oplossing nodig die grondige bescherming bood tegen geavanceerde bedreigingen. ‘Stel je voor dat een grote pomp in onze gemalen ineens uitvalt’, zegt Boets. ‘Dan lopen we het risico dat een groot gebied onder water loopt. Dat kan tot levensgevaarlijke situaties en grote economische schade leiden.’
Integraal overzicht
Om de vereiste mate van inzicht in het netwerk en de beveiliging te verkrijgen, besloot het waterschap een totale upgrade van zijn netwerkomgeving uit te voeren. Na een evaluatie van diverse producten viel de keuze op Check Point 12400 NGTX-appliances met Sandblast zero-day protection. Deze oplossing biedt het waterschap verbeterd overzicht op de applicatiedata van zijn Scada-systemen. Check Point hielp de organisatie om de risico’s in zijn Scada-omgeving te minimaliseren en zijn verouderde security-tools te vervangen door één centraal beheerbaar cluster.
‘Tijdens de proof of concept-fase kwam de oplossing van Check Point als beste uit de bus waar het ging om het monitoren en inventariseren van het Scada-verkeer’, aldus René van Hes, systeem- en netwerkbeheerder bij waterschap Hunze en Aa’s.
Meer grip op zaken
De Check Point 12400-appliances vertegenwoordigen een integrale, geconsolideerde beveiligingsoplossing die kan worden afgenomen in de vorm van vijf Next generation security software blade-pakketten. De overstap van een verouderde omgeving met technologie van uiteenlopende leveranciers naar een geconsolideerde oplossing bood het waterschap meer grip op zijn netwerkomgeving.
‘We wilden een beveiligingsoplossing met een centrale beheermogelijkheid’, zegt Van Hes. ‘Die moest bovendien over meer functionaliteit beschikken dan onze bestaande oplossing. Bij onze uiteindelijke keuze hebben we uiteraard vooral gelet op hoe onze verschillende tools in één oplossing te combineren waren. De centrale beheermogelijkheid is bovendien heel duidelijk, wat ons werk een stuk eenvoudiger maakt.’
In het begin van de implementatiefase voerden Check Point en zijn partners een security checkup uit. Vervolgens testten zij de oplossing drie weken lang binnen het netwerk van het waterschap. Dit proces omvatte de activering van alle software blades en de cloud-oplossing Sandblast Threat Emulation Service om bescherming te bieden tegen zero day-aanvallen en onbekende malware. Sandblast biedt sandboxing-mogelijkheden voor het analyseren van bestanden op kwaadaardige code. Het waterschap kan zijn netwerk op deze manier beschermen tegen geavanceerde vormen van malware die in staat zijn om traditionele beveiligingsoplossingen zoals antivirusprogramma’s te omzeilen.
Consistente compliance
Waterschap Hunze en Aa’s zette de oplossing van Check Point in om een einde te maken aan zijn afhankelijkheid van legacy beveiligingssystemen. De nieuwe oplossing levert het gedetailleerde overzicht en de mate van controle die de organisatie nodig heeft, aangevuld met geavanceerde beveiligingsmechanismen die overeenstemming met de strikte normen van Biwa mogelijk maken. De oplossing biedt daarnaast optimale beveiliging voor de Scada-systemen van het waterschap.
‘Het centrale beheer biedt ons een kristalhelder inzicht in ons netwerkverkeer’, aldus Van Hes. Met zijn nieuwe beveiligingsoplossing heeft het waterschap er vertrouwen in dat het de bescherming kan bieden waar zijn gevoelige informatie om vraagt en kan voldoen aan de richtlijnen.
Het waterschap is duidelijk tevreden over de complete oplossing van Check Point. Het nieuwe platform biedt de prestaties en de beveiliging die de organisatie nodig heeft. Ook de samenwerking met het team van Check Point beviel goed, hetgeen bijdroeg aan een soepele en probleemloze implementatie.