Overig: Bescherming vitale infrastructuur (1995 – heden)

 

Bescherming vitale infrastructuur (1995 – heden)

 
TNO heeft een grote rol gespeeld bij de beleidsvoorbereiding voor de overheid op de dossiers bescherming van de Nederlandse vitale infrastructuur (Critical Infrastructure Protection of te wel CIP) en bescherming van de Nederlandse vitale informatie-infrastructuur (Critical Information Infrastructure Protection of te wel CIIP). Daarnaast is veel baanbrekend onderzoek op CIP/CIIP-gebied verricht voor de Europese Unie. Beide onderwerpen zijn gerelateerd en liepen door elkaar. Voor de leesbaarheid worden beide onderwerpen hieronder vanaf circa 2004 apart behandeld.

Midden jaren ’90 werd door het Fysisch en Elektronisch Laboratorium TNO (FEL-TNO) onderzoek verricht naar Cyber Warfare en Information Operations. Het sterk toenemende gebruik en onderlinge afhankelijkheden van informatie- en communicatietechnologie (ICT), ook in voor Defensie en de samenleving cruciale functies, gaf kansen maar ook risico: informatie als doel, middel en wapen.
Na de millenniumovergang en de potentiële problemen door de ‘Y2K bug’ wekte het onze verbazing dat de samenleving verder ging met ‘business as usual’ daar waar het risico van ICT-verstoring steeds groter werd. Dit vormde de aanleiding tot de TNO werkzaamheden rond de kwetsbaarheid van ICT.

Infodrome en Kwetsbaarheid op Internet

In het voorjaar 2000 ontwikkelde TNO voor het overheidsprogramma Infodrome een discussiestuk met als titel ‘Bitbreuk’ (Engelse versie ‘In Bits and Pieces‘) over ICT-verstoring en de samenleving. Infodrome beoogde een voorzet te geven voor de mogelijk rol van de overheid in de informatiesamenleving.
Als uitvloeisel van deze discussie onderzochten Stratix en FEL-TNO tussen juli en februari 2001 de kwetsbaarheid op Internet (KWINT) voor de overheid.
Naar aanleiding van het Stratix/TNO KWINT-rapport besloot Nederland als eerste land op de wereld om het Internet als vitale infrastructuur te beschouwen (beleidsnota). Daarnaast werd in juli 2001 het KWINT-programma gestart onder de publiek-private vlag van ECP.NL. Een van de KWINT-aanbevelingen was het oprichten van een nationaal werkend computer emergency response team (CERT). Op 4 juni 2002 werd CERT-R(ijks)O(verheid) opgericht. De afkorting RO gaf echter verwarring met de ISO twee letter code (ISO alpha-2) RO voor Roemenië. CERT-RO werd daarom al snel omgedoopt tot GovCERT.nl.

Het KWINT-rapport zorgde in mei 2001 voor de motie Wijn in de Tweede Kamer waarin de (tweede) minister van Binnenlandse Zaken gevraagd werd om de bredere ICT-kwetsbaarheid te onderzoeken.  Bij gebrek aan geld werd die motie niet uitgevoerd.

Start Bescherming Vitale Infrastructuur

Enkele maanden na 11/09 kwam de rijksoverheid met een actieplan counterterrorisme. Actielijn 10 betrof onderzoek naar de vitale infrastructuur van Nederland inclusief ICT met de focus op processen in plaats van objecten. Men was er op 11/09 achter gekomen dat alle plannen ter bescherming van vitale objecten nog dateerden uit de koude oorlogsperiode en niet onderhouden waren. Daarnaast was in die periode de privatisering en deregulatie van sectoren als energie, telecom en het spoor op stoom gekomen.
TNO kreeg in 2002 de opdracht om een quick-scan (rapport) uit te voeren; een eerste fase van de overheidsaanpak. We dachten door te kunnen bouwen op millenniuminventarisaties, maar die bleken niet goed gearchiveerd te zijn: het probleem was tenslotte met een sisser afgelopen. Het quick-scan rapport, gebaseerd op informatie vanuit alle ministeries, identificeerde tien vitale sectoren en 31 vitale producten en diensten. Daar zware chemische en nucleaire incidenten een groot beslag kunnen leggen op andere vitale infrastructuren, zijn die later als risicofactor toegevoegd. 

Een van de quick-scan resultaten (2003)
Een van de quick-scan resultaten (2003)

Nationaal en internationaal

KWINT en de Quick-scan trokken aandacht van andere Europese landen die na 11/09 met dezelfde vragen worstelden. Binnen de EU kwam het onderwerp vitale infrastructuurbescherming geleidelijk aan op de research- en beleidsagenda’s te staan. TNO Waalsdorp werkt sinds die tijd aan het voorfront van de ontwikkelingen zowel voor de Nederlandse overheid als de Europese Unie. Ook werd kennisoverdracht aan andere landen gewerkt.

Voor de bescherming van de vitale informatie-infrastructuur wordt verwezen naar de CIIP-pagina.
Hieronder volgen beschrijvingen van een aantal van onze CIP-projecten:

  • Het EU FP5 project Analysis & Assessment for Critical Infrastructure Protection (ACIP) van medio 2002 tot medio 2003.
  • BSIK/Next Generation Infrastructures programma TU Delft (2004 – 2008): analyse van vitale infrastructuurafhankelijkheden en het risico van cascade-uitval.  Een publicatie is: Van Eeten, M., Nieuwenhuijs, A., Luiijf, E., Klaver, M., Cruz, E., The State and the Threat of Cascading Failure across Critical Infrastructures: The Implications of Empirical Evidence from Media Incident Reports, Public Administration, Vol. 89, No. 2, 2011, (381-400).
  • EU Preparatory Action for Security Research (PASR) project Vital Infrastructure Threats and Assurance (VITA) van december 2004 – augustus 2006. Binnen VITA ontwikkelde TNO Waalsdorp een unieke, flexibel aanpasbare dreigingstaxonomie voor vitale infrastructuur. Laag 1: 200 (inmiddels 501) dreigingen voor vitale infrastructuren van allerlei aard; laag 2: de selectie van dreigingen waar een mens bij betrokken is; laag 3: de selectie daaruit van opzettelijk menselijk handelen (vandalisme, criminaliteit, terrorisme, e.d.).
    Daarnaast is een computerondersteunde scenario-oefening ontwikkeld met uitval van stroom- en andere nutsvoorzieningen door aanslagen en cascade-effecten. De oefening vond plaats in het operatortrainingscentrum van Red Eléctrica de España, waarbij ook de fysiologische (stress) parameters en oogbewegingen langs meer monitoren van de hoofdoperator met sensoren en een speciale bril gemonitord werden.

    VITA logo
    VITA logo
    VITA elementen
    VITA project-elementen

     

  • Introductie en begeleiding van het VISEGRAD seminar/workshop Critical Infrastructure Protection, Balatonföldvár, Hongarije, juni 17-18, 2006.
  • Het EUropean Risk Assessment Methodology (EURAM) van december 2006 tot november 2007 en het FP7 vervolgproject EUropean Risk Assessment and COntingency planning Methodologies for interconnected energy networks (EURACOM) van juli 2009 tot maart 2011 (final report) werkten aan de ontwikkeling van een risicoanalysemethode die schaalde van binnen bedrijven tot over sectoren en landsgrenzen heen. Hierbij was het tevens mogelijk om resultaten van bestaande risicoanalyses in te passen.
     

    EURAM risicoanalysemethode
    EURAM risicoanalysemethode

     

    Meerlaags
    Meerlaagse risicoanalyse

     

  • Ontwikkeling en uitvoering van de NATO Euro-Atlantic Partnership Council/PfP/MDI/ICI Table Top eXercise (met simultaanvertaling) op het gebied van CIP in Sofia (2007).
    TTX met drie fictieve NAVO- en niet-NAVO landen
    TTX logo
    TTX met drie fictieve NAVO- en niet-NAVO landen
    TTX kaart met drie fictieve NAVO- en niet-NAVO landen

     

  • FP7 Integrated Risk Reduction of Information-based Infrastructure Systems (IRRIIS) van 2006 tot 2009.  In dit project werden verschillende simulaties van vitale infrastructuren aan elkaar gekoppeld met middleware in een scenario dat zich in Rome afspeelde. 
    IRRIIS logo
    IRRIIS logo

    Doelen:

    • verminderen van het risico op cascade-uitval,
    • verbeteren van de situational awareness tussen netwerk besturingscentra van verschillende vitale infrastructuren en anticiperen op bekende dreigingen, bijv. een stortvloed,
    • simulatie van vitale infrastructuren, bekende foutoorzaken en hun afhankelijkheden.
  • Design of an Interoperable European federated Simulation network for critical InfraStructures (DIESIS) EU Infrastructures februari 2008 tot mei 2010. In DIESIS ontwikkelden wij de eerste analyse voor het tot stand brengen van een EU Infrastructure Simulation and Analysis Centre en werd een kleinschalige CIP simulatie uitgevoerd. 
    DIESIS logo
    DIESIS logo

     

  • Deelname aan werkgroep 2 van European Security Research and Innovation Forum (ESRIF) – vitale infrastructuurbescherming (september 2008 – juni 2009).
  • EU Home Affairs programma: de ontwikkeling tussen april 2010 en juni 2011 van RECIPE: Good practices manual for CIP policies, for policy makers in Europe [JLS/2009/CIPS/AG/C1-036] met als onderwerpen:
    • How to identify CI?
    • The role of dependencies in CIP
    • Public-private partnerships
    • Information Sharing
    • The role of risk management in CIP
    • The role of crisis management in CIP
  • Onderzoek voor het WODC naar Intersectorale afhankelijkheden: Buitenlandse methoden en mogelijke toepasbaarheid in Nederland (2013).
  • Onderzoek naar klimaatadaptatie en de vitale energie-, ICT– en transport-infrastructuren (2014).
  • An EU FP7 Network of Excellence project Critical Infrastructure Preparedness and Resilience research Network (CIPRNet) 2014 – 2017. CIPRnet ontwikkelde een researchnetwerk, business modellen voor een pan-European Infrastructures Simulation and Analysis Centre (EISAC) en CIP/CIIP kennisoverdracht:
    • Managing the Complexity of Critical Infrastructures (free book)
    • Glossary voor CIP/CIIP: CIPedia.eu
    • Businessmodel voor EISAC.eu en nationale nodes
    • Oprichting van 2E!SAC.
    CIPRNET logo
    CIPRNET logo

     

  • Het EU-project RESIN (mei 2015 – november 2018) was een interdisciplinair, praktijkgericht onderzoeksproject naar de klimaatbestendigheid van Europese steden. Via co-creatie en kennisbemiddeling tussen steden en onderzoekers heeft het project praktische en toepasbare hulpomiddelen ontwikkeld om steden te ondersteunen bij het ontwerpen en implementeren van lokale klimaatadaptatiestrategieën. Het project vergeleek en evalueerde de methoden voor klimaatadaptatieplanning om te komen tot formele standaardisatie van klimaataanpassingsstrategieën.

    RESIN logo
    RESIN logo
  • Scenario-ontwikkeling voor de Europese VITEX-oefening ‘uitval vitale infrastructuur’ (2016). Na de oefening is een oefengids gemaakt met de lessons identified; deze gids is te vinden bij de NCTV.
  • EU project RESIN
  • In de periode 2015 – 2018 is in het VITAP project in nauwe samenwerking tussen Ministerie van J&V/NCTV, de Commissie Vitale Infrastructuur van VNO-NCW en TNO onderzoek gedaan naar ondersteunende instrumenten ten behoeve van het vitale infrastructuurbeleid.
Vitale infrastructuurafhankelijkheden (EU 2005-2017)
Vitale infrastructuurafhankelijkheden (EU 2005-2017)