CYBERSECURITY VITALE WATERWERKEN NIET WATERDICHT

DEN HAAG- Tunnels, bruggen, sluizen en waterkeringen moeten beter worden beveiligd tegen cyberaanvallen. Een aanval op IT van deze waterwerken kan grote gevolgen hebben voor Nederland.

Klik hier voor rapport onderzoek (http://files.smart.pr/d0/b0b70410b845c8a1dc2bc5db07c938/rapport-Digitale-dijkverzwaring-cybersecurity-en-vitale-waterwerken.PDF)

Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. De Algemene Rekenkamer constateert dat de minister van Infrastructuur en Waterstaat nog stappen moet zetten om aan de eigen doelstellingen voor cybersecurity te voldoen.
Vitale waterwerken functioneren op automatiseringssystemen die veelal stammen uit de jaren 80 en 90 van de vorige eeuw. Deze zijn in de loop der jaren gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken.

Kostbaar

Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.
Uit het onderzoek blijkt dat Rijkswaterstaat de afgelopen jaren zelf van alle tunnels, bruggen, sluizen et cetera heeft vastgesteld welke cyberveiligheidsmaatregelen moeten worden genomen. Een groot deel van die maatregelen (ongeveer 60%) was begin 2018 ook al uitgevoerd, maar Rijkswaterstaat ziet onvoldoende toe op de uitvoering van het resterend deel en heeft geen actueel overzicht van de overgebleven maatregelen.
De minister heeft een aantal waterwerken die Rijkswaterstaat beheert als vitaal aangewezen. . Uit het onderzoek blijkt dat nog niet alle vitale waterwerken rechtstreeks zijn aangesloten op het Security Operations Center (SOC) van Rijkswaterstaat. De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 daarmee nog niet gerealiseerd. Hierdoor bestaat het risico dat RWS een cyberaanval niet of te laat detecteert.

Kwetsbaarheidstest
Gedurende het onderzoek is in samenwerking met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd bij een van de vitale waterwerken. Daarbij wisten de ingehuurde ethische hackers het object fysiek binnen te dringen en zich toegang tot de controlekamer te verschaffen. De aanvallers werden echter direct opgemerkt door het SOC toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.
De Algemene Rekenkamer beveelt de minister van Infrastructuur en Waterstaat ook aan om het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Op het moment van onderzoek was namelijk niet bekend hoe groot de dreiging van een cyberaanval bij waterwerken is. Daarnaast vindt de Algemene Rekenkamer dat Rijkswaterstaat de resterende veiligheidsmaatregelen moet uitvoeren, waaronder het aansluiten van alle vitale waterwerken op het SOC om rechtstreekse monitoring mogelijk te maken. Verder zou moeten worden bezien of medewerkers van het SOC beter moeten worden gescreend. Nu wordt medewerkers alleen gevraagd een verklaring omtrent gedrag (VOG) te overleggen en het is de vraag of dat voldoende is om te werken met gevoelige gegevens over cyberdreigingen. In reactie op het onderzoek onderschrijft de minister van Infrastructuur en Waterstaat de conclusies en neemt ze de aanbevelingen van de Algemene Rekenkamer over.