Alle vitale waterwerken in Nederland moeten op het Security Operations Center (SOC) van Rijkswaterstaat worden aangesloten, zo stelt de Algemene Rekenkamer. De Rekenkamer onderzocht de cyberveiligheid van tunnels, bruggen, sluizen en waterkeringen en stelt dat die beter kunnen worden beveiligd.
Vitale waterwerken maken gebruik van automatiseringssystemen die veelal uit de jaren 80 en 90 van de vorige eeuw stammen. Deze systemen zijn in de loop der jaren gekoppeld aan computernetwerken om bediening op afstand mogelijk te maken. "Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen", aldus de Rekenkamer. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.
Rijkswaterstaat heeft de afgelopen jaren zelf al vastgesteld welke cyberveiligheidsmaatregelen er moeten worden getroffen en een groot deel van deze maatregelen (ongeveer 60 procent) was begin vorig jaar al uitgevoerd. De Rekenkamer stelt vast dat Rijkswaterstaat onvoldoende toeziet op de uitvoering van het resterend deel en geen actueel overzicht heeft van de overgebleven maatregelen. Daarnaast wordt de uitvoering van openstaande maatregelen bij de eigen regionale onderdelen niet door Rijkswaterstaat afgedwongen. Tevens blijkt dat cybersecurity geen volwaardig onderdeel van de reguliere inspecties is.
Om eventuele aanvallen te detecteren zijn verschillende vitale waterwerken op het SOC van Rijkswaterstaat aangesloten. Het plan was om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren, maar eind 2018 was dit nog altijd niet gerealiseerd. De Rekenkamer vindt dan ook dat Rijkswaterstaat de resterende veiligheidsmaatregelen moet uitvoeren, waaronder het aansluiten van alle vitale waterwerken op het SOC om rechtstreekse monitoring mogelijk te maken.
De Rekenkamer liet bij één van de vitale waterwerken een kwetsbaarheidstest door ethische hackers uitvoeren. De hackers wisten het object fysiek binnen te dringen. Zodra ze echter een laptop op het it-netwerk van Rijkswaterstaat aansloten werden ze door het SOC opgemerkt. In totaal kregen de hackers via social engineering twee keer toegang tot het object. De eerste kregen de testers toegang tot de controlekamer en werden zij alleen gelaten bij een open sleutelkast en nietvergrendelde werkstations.
De tweede maal lukte het de testers erin een tijdelijke toegangspas te bemachtigen waarmee zij zich vrijelijk door de locatie konden begeven. Ook bij dit bezoek hadden de testers toegang tot belangrijke onderdelen van de locatie, zoals serverruimtes en opslagruimtes voor kritische onderdelen.
Verder pleit de Rekenkamer om medewerkers van het SOC beter te screenen. Nu wordt medewerkers alleen gevraagd een verklaring omtrent gedrag (VOG) te overleggen. "En is het de vraag of dat voldoende is om te werken met gevoelige gegevens over cyberdreigingen", aldus de Rekenkamer.
Minister Van Nieuwenhuizen van Infrastructuur onderschrijft de conclusies van de Rekenkamer en zal de aanbevelingen overnemen. "Echter, de uitvoering van onze aanbevelingen maakt de minister afhankelijk van de opvolging van onze eerste aanbeveling: het duiden van het dreigingsniveau. Alhoewel dit logisch lijkt, willen wij de minister er op wijzen dat het ook gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. We doelen dan bijvoorbeeld op het aansluiten van de vitale waterwerken op het SOC zodat er meer diepgaand en actueel zicht op deze waterwerken is. Dit had eind 2017 al gerealiseerd moeten zijn en is dus niet afhankelijk van de eerste aanbeveling", laat de Rekenkamer in het nawoord van het onderzoeksrapport weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.