50Plus heeft minister Van Nieuwenhuizen van Infrastructuur Kamervragen gesteld over een verzwegen penetratietest die bij Waternet werd uitgevoerd. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater.

Follow The Money meldde in september op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd. In een brief aan het bestuur van de stichting Waternet stelde de directeur van het nutsbedrijf dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was.

Nu blijkt dat de directeur een penetratietest die in januari van dit jaar werd uitgevoerd in deze brief heeft verzwegen. De pentest toonde verschillende problemen met de beveiliging aan. Zo lukte het de onderzoekers om NTLMv2-hashes te achterhalen. "De versleutelde wachtwoorden bleken zwak en waren op basis van woordenboekwoorden te kraken", aldus de onderzoekers

Met een achterhaald gebruikersaccount konden disk images worden ingezien. Ook lukte het de onderzoekers om een service-account te bemachtigen waarmee het mogelijk was om bestanden in de persoonlijke mappen van Waternet-medewerkers te lezen. Op de netwerkshares werden verschillende bestanden van de wachtwoordmanager KeePass aangetroffen.

Bij het onderzoek naar de VMware VDI-omgeving werden verschillende KeePass- en Topdesk-wachtwoorden gevonden. "Een KeePass-wachtwoord inclusief locatie van de database werd gevonden door een zoekopdracht in Outlook", schrijven de onderzoekers. In Topdesk stonden verschillende wachtwoordresetverzoeken met het nieuwe wachtwoord en de wijzigingsprocedure.

Tevens bleek uit het onderzoek naar de VDI-omgeving dat enkele gebruikers van een niet meer ondersteunde Windowsversie gebruikmaakten. Een "vulnerability scan" liet zien dat Waternet niet alle beveiligingsupdates installeert. Er werden echter geen kritieke kwetsbaarheden gevonden die meteen misbruikt konden worden. Verder troffen de onderzoekers 13.691 open poorten aan en installeerden ze als proof-of-concept een backdoor op de Kioskcomputer in de centrale hal van het Waternet-kantoor

Uiteindelijk werden er elf grote kwetsbaarheden in de beveiliging gevonden, waarvan de onderzoekers er vijf als kritiek aanmerkten. Vijf kregen het label 'hoog' en eentje werd er als 'gemiddeld' bestempeld. In een brief aan de Amsterdamse wethouder en de dijkgraaf van het Waterschap Amstel, Gooi en Vecht over het artikel van Follow The Money in september wordt de penetratietest echter niet door de Waternet-directeur genoemd.

Eén van de gekozen algemeen bestuursleden van het Waterschap Amstel, Gooi en Vecht kwam achter het bestaan van het pentestrapport en vroeg om een kopie. Hij kreeg die echter niet toegestuurd. "Het zou te technisch zijn, waardoor mijn achterban het toch niet zou snappen. Ik kreeg het advies bij de pentest vandaan te blijven", aldus het bestuurslid.

50Plus wil nu opheldering van Van Nieuwenhuizen. "Hoe is het mogelijk dat een bedrijf als Waternet, dat voorziet in vitale infrastructuur, zwakke communicatieprotocollen tussen servers kent, waardoor relatief makkelijk versleutelde wachtwoorden en gebruikersnamen kunnen worden achterhaald en dat Waternet gebruik maakt van sterk verouderde besturingssystemen en hardware (waarvan de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV) zegt dat zij buiten werking zouden moeten worden gesteld)?", vraagt 50Plus-Kamerlid Van Brenk.

Het is één van de achttien vragen die Van Brenk aan de minister stelde. Ze wil ook weten wat Van Nieuwenhuizen van het onderzoeksresultaat vindt en dat de directeur het bestuur niet van de resultaten op de hoogte lijkt te hebben gesteld. Ook moet de minister laten weten of ze over de resultaten van het pentestrapport op de hoogte is gesteld en wanneer dit is gebeurd. Van Nieuwenhuizen heeft drie weken de tijd om de vragen te beantwoorden.