Veiligheidsmaatregelen cybersecurity Rijkswaterstaat onvoldoende uitgevoerd

cybersecurity Rijkswaterstaat
Tunnels, bruggen, sluizen en waterkeringen kunnen beter worden beveiligd tegen cyberaanvallen dan op dit moment het geval is. Volgens de Algemene Rekenkamer zijn de veiligheidsmaatregelen die Rijkswaterstaat heeft voorgesteld niet allemaal uitgevoerd, waardoor de cybersecurity van vitale waterwerken niet waterdicht is.

Nederland leeft met water, maar het water heeft zich ook meer dan eens tegen ons gekeerd. Hoewel dat in 1953 door natuurlijke omstandigheden kwam, zijn er anno 2019 veel meer problemen die op de loer liggen. Het lijkt erop dat de beveiliging van vitale waterwerken, dus belangrijke waterwerken die bij problemen een grote dreiging voor Nederland kunnen betekenen, niet in orde is. Hackers kunnen zo in een controlekamer binnenstappen, zo blijkt uit tests van de Algemene Rekenkamer, in samenwerking met Rijkswaterstaat.

In een brief naar de Tweede Kamer heeft de Algemene Rekenkamer aangegeven dat de minister van Infrastructuur en Waterstaat nog werk aan de winkel heeft om te zorgen dat er aan de doelstellingen voor cybersecurity wordt voldaan. Niet dat Rijkswaterstaat niets uitvoert: de Algemene Rekenkamer meent dat er wel degelijk veel werk is verzet en dat de maatregelen die noodzakelijk zijn om waterkeringen beter te beveiligen, ook goed in kaart zijn gebracht.

Gezakt voor de test?

In het onderzoek is samen met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd op een vitaal waterwerk, waarbij ethische hackers het voor elkaar kregen om de controlekamer in te komen. Het SOC (Security Operations Center) merkte de aanvallers op toen ze op het terrein een laptop op het IT-netwerk aansloten.

In een rapport dat deel uitmaakt van onderzoeken naar informatiebeveiliging bij de rijksoverheid is gebleken dat vaak oude automatiseringssystemen zijn gekoppeld aan computernetwerken, wat het makkelijker maakt voor cybercriminelen om hun slag te slaan. Toch is zo’n computernetwerk een veelgebruikte manier om te zorgen dat je een waterwerk op afstand kunt bedienen. Modernisering van systemen is prijzig, waardoor Rijkswaterstaat ervoor heeft gekozen voor een minder proactieve aanpak: namelijk door in actie te komen als aanvallen worden gesignaleerd, aldus de Algemene Rekenkamer.

Weinig druk op implementatie

Daar houdt het bovendien niet op: Rijkswaterstaat schijnt onvoldoende te kijken naar welke maatregelen geïmplementeerd worden om de cyberveiligheid van de waterwerken te verbeteren. Het legt ook geen druk op de eigen organisaties in de regio om de 40% maatregelen die begin 2018 nog niet waren uitgevoerd alsnog in orde te maken.

Wat daarbij niet helpt, is dat het SOC zelf al aangeeft onvoldoende kennis en capaciteit te hebben om de detectie van cyberaanvallen te verfijnen. Cybersecurity is zelfs geen volwaardig onderdeel van reguliere inspecties, al kun je hierbij vraagtekens zetten. Wat de een immers als volwaardig ziet, zal een ander als onvoldoende beschrijven.

Cybersecurity is geen volwaardig onderdeel van reguliere inspecties

Nu zal het voor een sluisje ergens in de polder natuurlijk minder desastreuze gevolgen hebben als deze wordt gehackt, dan bij grote waterwerken. Bij vitale waterwerken, die door de minister zijn bepaald (en waarbij een IT-aanval dus grote gevolgen kan hebben voor ons land), is vastgesteld dat deze niet allemaal op het speciale Security Operations Center (SOC) van Rijkswaterstaat zijn aangesloten. Het plan was om dit eind 2017 voor elkaar te hebben, maar bij het onderzoek eind 2018 was dit nog niet voltooid. Dat betekent dat het al gauw te laat is bij een aanval.

Tot slot stelt de Algemene Rekenkamer dat het uit onderzoek blijkt dat bij crisissituaties geen actuele documentatie beschikbaar is en dat er ook geen proces is om dit actueel te houden. Dat sijpelt door in de rest van de processen: er is niet echt een specifiek scenario voor handen als er een cyberaanval is. Pentesten, waarbij ethische hackers proberen het beveiligingssysteem ofwel in te breken ofwel te omzeilen, worden te weinig uitgevoerd terwijl deze juist heel leerzaam zijn om de veiligheid te verbeteren.

Moet er meer gebeuren?

De Algemene Rekenkamer heeft niet als doel om alleen naar Rijkswaterstaat te wijzen: het wil ons land ook veiliger maken. Daarom is aangeraden aan de minister van Infrastructuur en Waterstaat om het actuele dreigingsniveau onder de loep te nemen en te bedenken of hier extra middelen en mensen nodig zijn. Het is momenteel niet goed bekend hoe groot de dreiging van zo’n cyberaanval is.

Hoewel veel cybersecurity-vraagstukken vaak samenhangen met ontastbare zaken zoals persoonsgegevens en andere data, geldt bij de vitale waterwerken dat kwaadwillenden de fysieke veiligheid van ons land in gevaar kunnen brengen. De minister van Infrastructuur en Waterstaat heeft dan ook aangegeven alle aanbevelingen te gaan opvolgen. Dat is voor veel van de besproken maatregelen erg belangrijk, en het is bovendien goed om in kaart te brengen wat de dreigingsbeelden kunnen zijn. Zeker omdat deze, zo stelt de minister, een bijdrage leveren aan het bepalen hoe die aanbevelingen van de Rekenkamer zullen worden ingevuld.

Hoewel er beloften worden gedaan door de politiek, is het afwachten hoe snel dit zal worden opgepakt. Aan de andere kant hoeft de minister niet te gaan wachten tot de dreiging geheel in kaart is gebracht: vooral de vitale waterwerken zullen er baat bij hebben als hier zo spoedig mogelijk actie wordt ondernomen. Immers kan het in de strijd met het water, zo stelt de Rekenkamer, gaan om leven of dood.

Geschreven door: Laura Kempenaar op

Category: Nieuws

Tags: rijkswaterstaat, Security