De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.
Naar aanleiding van een verzwegen penetratietest startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratiest die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentestrapport of uitkomsten van andere penetratietesten.
Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratietest informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratietest had verzwegen. Dezelfde dag vroeg de Inspectie het pentestrapport op en ontving die de volgende dag.
Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.
Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.
Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwatertaak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwatertaak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.
"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.
Deze posting is gelocked. Reageren is niet meer mogelijk.