De enorme armen van de Maeslantkering bij Hoek van Holland domineren de horizon. Niet voor niets wordt het kunstwerk vaak beschreven als een van de grootste bewegende robotsystemen ter wereld. De kering is een symbool van de eeuwenlange Nederlandse strijd tegen het water. Een strijd waarbij tegenwoordig ook een digitale verdedigingslinie noodzakelijk is.
Tekst: RIK SANDERS Beeld: KERING HUIS / ENVATO
De Maeslantkering, geopend in 1997, is onderdeel van de Deltawerken. De kering sluit de Nieuwe Waterweg in Hoek van Holland af bij storm en hoge waterstanden. Daarmee beschermt de kering het dichtbevolkte achterland en de economisch zo belangrijke Rotterdamse haven tegen overstromingen.
De Maeslantkering kering wordt aangestuurd door een controlesysteem dat tijdens het stormseizoen elke tien minuten de verwachte waterstand berekent (zie ook kader). Zodra de kritieke drempelwaarde wordt bereikt, sluiten de enorme stalen deuren zonder tussenkomst van operators, vertelt Peter Persoon, technisch voorlichter van Het Keringhuis, het publiekscentrum van de Maeslantkering, tijdens een rondleiding. ‘In negenentwintig jaar tijd is de Maeslantkering slechts één keer onder echte stormcondities dichtgegaan, op 21 december 2023; overige sluitingen waren testsluitingen.’
Normaal liggen de deuren in droogdokken, zodat corrosie beperkt blijft en inspecties van ventielen, pompen en mechanische delen veilig zijn te controleren. Eens per jaar wordt een testsluiting uitgevoerd en elke twintig jaar wordt de volledige coating vernieuwd, goed voor driehonderdduizend liter witte verf (best bestand tegen temperatuurinvloeden). Het geheel is een redundant opgebouwd systeem van hydrauliek, sensoren, pompen en datacenter- en noodstroomvoorzieningen. Zelfs wanneer de helft van de onderdelen uitvalt, kan de kering nog worden bediend, stelt Persoon. Een grote uitdaging ligt volgens hem wel in het behoud van de benodigde specialistische kennis. Veel medewerkers gaan met pensioen, terwijl vervanging lastig is door de unieke aard van de constructie en de expertise daarover. Toch verzekert hij de bezoekers, met een knipoog: ‘De komende vierentwintig uur houden wij het land droog.’
Digitale verdedigingslinie
De rondleiding maakt duidelijk: de Maeslantkering is niet alleen een technisch hoogstandje, maar vooral een onmisbare veiligheidsvoorziening voor Nederland tegen extreem hoogwater. Maar het verhaal achter de constructie gaat verder dan hydrauliek en staal. Rijkswaterstaat, sinds 1798 verantwoordelijk voor de waterveiligheid van het land, is uitgegroeid tot een organisatie die niet alleen fysieke werken beheert, maar ook een complex digitaal ecosysteem. Waar vroeger dijken en dammen de voornaamste verdedigingslinie vormden, is daar digitale veiligheid bijgekomen, vertellen chief technology officier (cto) Adriaan Schutte en lead architect Michiel Koolen van Rijkswaterstaat in het kader van het door netwerkpartner Cisco georganiseerde bezoek aan de Maeslantkering.
Cto Schutte maakt meteen duidelijk hoe sterk het dreigingsbeeld is veranderd. Waar Rijkswaterstaat zich van oorsprong richtte op stormvloeden, verzakkingen, hoogwater en onderhoud, is digitale dreiging inmiddels een structureel onderdeel van het werk. Het is bijvoorbeeld geen hypothetisch scenario dat een buitenlandse staatsactor interesse heeft in systemen zoals de Maeslantkering. Sabotage? Wellicht, maar vooral om te weten te komen hoe Nederland zulke objecten bouwt, aanstuurt en onderhoudt. De kennis die Rijkswaterstaat bezit, is internationaal schaars en daarom waardevol. Over het aantal recente pogingen om de Maeslantkering en andere kunstwerken digitaal binnen te dringen, doet het agentschap echter ‘in verband met de veiligheid geen uitspraken’.
‘Veiligheid is niet langer alleen een civiel‑technische uitdaging’
Adriaan Schutte, cto Rijkswaterstaat
Volgens Schutte is bescherming tegenwoordig een gelaagd vraagstuk. Het gaat nog steeds om fysieke beveiliging van kunstwerken, maar net zo goed om het voorkomen van datadiefstal, netwerkstoringen en manipulatie van sensoren. Rijkswaterstaat heeft te maken met duizenden objecten – van bruggen en tunnels tot sluizen en stormvloedkeringen – die vaak digitaal gekoppeld zijn. Elk van die objecten vormt dan een potentieel risico voor cyberaanvallen. ‘Veiligheid is niet langer alleen een civiel‑technische uitdaging’, zegt Schutte. ‘Het is net zo goed een digitale uitdaging. En dat betekent dat onze infrastructuur toekomstbestendig moet zijn in beide werelden.’
Waar Rijkswaterstaat ooit object voor object beheerde, is dat model volledig losgelaten. Lead architect Michiel Koolen noemt het een onvermijdelijke ontwikkeling. Nederland is te klein en te complex om afzonderlijke kunstwerken geïsoleerd te beheren. Het gevolg is dat Rijkswaterstaat tegenwoordig werkt vanuit het idee dat heel Nederland één groot geïntegreerd infrastructuursysteem is. Wegen, waterwegen en watersystemen vormen drie netwerken die voortdurend op elkaar ingrijpen. Minder zichtbaar, maar minstens zo belangrijk, is dat haast ieder fysiek object onderdeel is geworden van een vierde netwerk: het digitale netwerk dat alles verbindt.
Dat digitale netwerk bestaat uit duizenden routers en switches, verbonden via duizenden kilometers glasvezel en gekoppeld aan sensoren, besturingssystemen, dataplatforms en controlekamers. Via dat netwerk wordt informatie gedeeld over de waterstanden, verkeersbewegingen, objectbediening, brugopeningen, stormvoorspellingen en technische gezondheid van installaties.
Betrouwbaar én kwetsbaar
Een van de meest complexe uitdagingen voor Rijkswaterstaat bevindt zich in de operationele technologie (ot), de ot‑laag waarmee de machines, deuren, pompen, signaleringssystemen en bruggen worden aangestuurd. Ot‑systemen zijn ontworpen voor robuustheid, niet voor flexibiliteit. Ze zijn gebouwd om decennia mee te gaan en zonder onderbreking te functioneren. Dat maakt ze uiterst betrouwbaar in mechanische zin, maar tegelijk kwetsbaar voor moderne digitale dreigingen.
De verschillen tussen it en ot zijn groot. It‑systemen worden regelmatig geüpdatet, vervangen en gemonitord. Ot‑systemen kunnen niet zomaar offline of opnieuw opgestart worden zonder dat fysieke processen in gevaar komen. Een storing van enkele seconden in een tunnelinstallatie kan bijvoorbeeld betekenen dat operaties stilgelegd moeten worden. Een fout in de aansturing van een kering kan directe gevolgen hebben voor waterveiligheid.
Dat maakt ot‑beveiliging een discipline met eigen spanningsvelden. Ot moet blijven draaien. Updates kunnen niet altijd worden doorgevoerd. Monitoring moet realtime functioneren. Segmentatie dient strikt te zijn. En er moet altijd een fallback bestaan naar fysieke of handmatige bediening. In sommige situaties is het zelfs raadzaam om een ot-netwerk niet te verbinden met het it-netwerk van Rijkswaterstaat.
Drie parallelle levenscycli
Het beheer wordt nog complexer doordat ot‑systemen vaak stammen uit een tijd waarin cyberdreiging nauwelijks bestond. Ze waren nooit ontworpen om te functioneren in een wereld vol netwerken en datastromen. Ot‑besturing wordt meestal eens in de vijftien tot twintig jaar vernieuwd. It‑systemen worden doorgaans om de vijf tot zeven jaar vervangen. Daarbovenop is in de fysieke wereld een lange levensduur de norm. Zo’n Maeslantkering is ontworpen voor een levensduur van honderd jaar. Dat creëert drie parallelle levenscycli die tegelijkertijd moeten worden beheerd, aldus Koolen.
De uitdaging is om oude en nieuwe generaties systemen veilig te laten samenwerken zonder dat betrouwbaarheid of veiligheid in het geding komt. De huidige situatie is verspreid over het land en kent een diversiteit aan technologieën. Rijkswaterstaat staat de komende jaren voor de opgave om zowel de fysieke objecten als de ot-systemen daarin te moderniseren. Koolen ziet in hyperstandaardisatie (exact weten hoe componenten zich gedragen) en hyperautomatisering (ervoor zorgen dat menselijke fouten in kritieke processen worden geminimaliseerd) technische oplossingen. Maar, benadrukt hij, de crux zit ‘m wel in het goed laten samenwerken van de verschillende afdelingen en het blijven beschikken over goed opgeleid personeel.
Ai als nieuw hulpmiddel
Koolen merkt dat artificiële intelligentie (ai) steeds vaker wordt ingezet als ondersteuning voor besluitvorming. Traditionele watermodellen zijn nauwkeurig maar traag; een volledige simulatie van de Noordzee kost veel tijd. Machine-learning‑modellen kunnen zulke berekeningen in minuten uitvoeren. Dat opent mogelijkheden, zeker in een tijd waarin extreem weer vaker voorkomt.
Toch ziet Koolen ai niet als vervanging van menselijk toezicht, maar als versneller. In missiekritische omgevingen moet elke vorm van autonomie controleerbaar en omkeerbaar blijven. Een systeem mag assisteren, maar niet zonder toezicht handelen. Het gevaar van te snelle automatisering is dat beslissingen ondoorzichtig worden, wat tot risicovolle situaties kan leiden. ‘We moeten altijd kunnen begrijpen waarom een systeem iets doet,’ zegt hij. ‘In een vitale omgeving zoals de onze mag automatisering nooit onbegrensd zijn.’
Zowel Schutte als Koolen benadrukken dat Rijkswaterstaat deze digitale transformatie niet alleen kan uitvoeren. Partners uit de industrie, zoals Cisco, spelen een grote rol in het ontwikkelen van veilige netwerken, redundante infrastructuren en moderne beveiligingsarchitecturen. Die samenwerking is nodig vanwege de schaal en complexiteit van de systemen (zie kader).
De Maeslantkering staat symbool voor een bredere ontwikkeling bij Rijkswaterstaat. Waar ooit beton, staal en hydrauliek voldoende waren om Nederland te beschermen, is dat vandaag niet langer zo. De digitale wereld is even cruciaal geworden als de fysieke. Koolen brengt het terug tot de essentie: ‘We beschermen Nederland door orkestratie – fysiek én digitaal. Onze vitale systemen moeten altijd blijven werken. De eisen aan beschikbaarheid, betrouwbaarheid en veiligheid liggen veel hoger dan in traditionele enterprise‑it. De lat ligt op het hoogste niveau.’
Maeslantkering én Hartelkering
Het besturingssysteem voor zowel de Maeslantkering als de Hartelkering is gebouwd door Logica en verder ontwikkeld en beheerd door CGI (dat Logica overnam). Dit Beslis en Ondersteunend Systeem (BOS) werkt volledig geautomatiseerd zonder tussenkomst van personeel. Het systeem beslist of de stormvloedkeringen gesloten moeten worden en voor hoe lang deze sluiting nodig is. Die beslissing wordt genomen aan de hand van meetgegevens en voorspellingen van nabijgelegen weersstations en meetapparatuur aan de wal, boeien en palen.
BOS gebruikt deze gegevens om elke tien minuten het waterpeil te voorspellen bij Rotterdam en Dordrecht. Als het systeem een dreiging van overstroming signaleert, treft het eerst een serie voorzorgsmaatregelen om uiteindelijk, indien nodig, de sluiting van de stormvloedkering te initiëren. Volgens CGI hoort BOS qua hoge betrouwbaarheidsbehoefte in dezelfde categorie als die van systemen voor kerncentrales en de Space Shuttle.
BOS moest voldoen aan een extreem lage foutkans. Er waren ruim 2.500 pagina’s gespecificeerd technisch ontwerp en meer dan 400.000 regels code nodig om de computers van het systeem op de juiste manier te ondersteunen.
Een paar jaar geleden was er sprake van dat BOS vervangen zou worden. Op advies van waakhond AcICT, die vaststelde dat het systeem nog goed werkte, werd de aanbesteding in 2023 stopgezet. Wel wordt de bestaande software (‘de Bediening- en Besturingssystemen’) van de keringen gemigreerd naar nieuwe hardware in 2026/2027. Een tender voor de vernieuwing van de bedienings- en besturingssystemen wordt na 2035 verwacht.
Partners en ot-invulling bij Rijkswaterstaat
Cisco werkt al zo’n twintig jaar voor Rijkswaterstaat. Het landelijke glasvezelkabelnetwerk is bijna vijfduizend kilometer lang en bevat circa vijftienhonderd routers, ruim zesduizend switches en zo’n duizend wifi-toegangspunten.
De software van Splunk wordt ingezet om het netwerk te monitoren, niet alleen voor de beveiliging, maar ook voor operationele inzichten.
In mei 2024 trok Rijkswaterstaat na een aanbesteding de ict-dienstverleners Conclusion en Quanza aan die de komende jaren de netwerkinfrastructuur beheren, onderhouden en verder optimaliseren (meer standaardiseren).
Op ot-gebied werkt het agentschap van het ministerie van Infrastructuur en Waterstaat samen met een trits aan technische dienstverleners, aannemers en ingenieurs (geselecteerd via de tenders Samenwerkingsraamovereenkomsten ‘Ingenieursdiensten voor projecten en programma’s’ en ‘Project- en Procesbeheersing’.)
Binnen Rijkswaterstaat is er geen aparte tak die zich met ot-systemen bezighoudt. Wel zijn er diverse specialistische teams. De centrale coördinatie hiervan valt onder de cio (chief information officer) van Rijkswaterstaat. Binnen de zogeheten Centrale Informatievoorziening (CIV) is er een aantal gespecialiseerde afdelingen voor security in ot-omgevingen. Deze afdelingen ondersteunen de uitvoerende teams bij het veilig ontwerpen en beheren van ot-systemen.
Rijkswaterstaat bracht november vorig jaar een uitgebreide ‘Handreiking risicobeheer in OT‘ uit waarmee organisaties aan de slag kunnen de beveiliging van objecten en systemen adequaat te borgen.
