Waterbedrijf Waternet heeft cybersecurity nog altijd niet volledig op orde
Het Amsterdamse waterbedrijf Waternet heeft de cybersecurity nog altijd niet op orde, waardoor een verhoogd risico voor de leveringszekerheid en kwaliteit van het drinkwater nog steeds aan de orde is. Dat laat minister Harbers van Infrastructuur en Waterstaat in een brief aan de Tweede Kamer weten.
Vorig jaar april werd stichting Waternet vanwege onvoldoende grip op de cybersecurity en besturing bij Waternet, waardoor er een verhoogd risico voor de leveringszekerheid en kwaliteit van het drinkwater was, onder verscherpt toezicht geplaatst van de Inspectie Leefomgeving en Transport (ILT). Naar aanleiding van een verzwegen penetratietest startte de Inspectie een onderzoek naar Waternet.
Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Follow The Money meldde op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratiest die Waternet in januari van 2020 had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, eind oktober 2020 een gesprek met Waternet.
Dit gesprek werd gevoerd vanwege de eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentestrapport of uitkomsten van andere penetratietesten. Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratietest informeerde Waternet de Inspectie over deze test.
Hierop startte de Inspectie zelf een onderzoek waaruit bleek dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Vorig jaar werd besloten het waterbedrijf onder toezicht te plaatsen. Harbers laat nu aan de Tweede Kamer weten dat Waternet een verbeterplan heeft opgestart. Ondanks de geboekte voortgang stelt de Inspectie dat er nog het nodige moet gebeuren.
"Zowel voor het volledig in control komen op de cybersecurity als voor het verbeteren van doeltreffendheid van besturing. Volgens de ILT is daarmee het eerder geconstateerde verhoogde risico voor leveringszekerheid en kwaliteit van het drinkwater nog steeds aan de orde", aldus de minister. In de tweede helft van dit jaar zal de Inspectie opnieuw bekijken of het verscherpt toezicht kan worden afgeschaald.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Wat een flauwekul.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Wat een flauwekul.
Is absoluut geen flauwekul, dit heb ik ook eerder voor bij zien komen op social media eerder dit jaar.
Ik denk niet dat ze security.nl op de zwarte lijst hebben maar ze gebruiken hun responsible disclosure beleid om kwetsbaarheden op te lossen en vervolgens worden beveiliging onderzoekers die de kwetsbaarheden verantwoordelijk melden op een zwarte lijst geplaatst.
Maar ik moet wel zeggen, wat ik begrepen heb is dat dit niet zomaar gedaan wordt.
Waternet doet dit na dat onderzoekers een publicatie maken van de bevinding of op hun social media over de bevinding praten, al is het zonder technische details en alleen een foto van de beloning wat de onderzoeker heeft gekregen.
Dit is gebeurd met enkele van de bekendste ethische hackers van Nederland, die zijn vervolgens in een conflict geraakt met waternet omdat het directeur van de informatievoorziening naar mening was dat de onderzoekers geen woord mochten vrij geven over de bevinding ondanks dat de bevindingen al een jaar lang waren opgelost en dat de onderzoekers meerdere maanden de vraag bij waternet hadden staan of publicatie nu wel mocht of niet.
Het kwam erop neer dat waternet niet reageerde op de verzoek voor publicatie ondanks het belofte voor goede communicatie volgens hun eigen beleid, waardoor de onderzoekers in plaats van een publicatie slechts een post hadden geplaatst op social media met zeer beperkte informatie over de bevinding welk zij zouden hebben gevonden.
Dit schoot bij waternet in het verkeerde keelgat waarna al de beveiliging onderzoekers op een zwarte lijst zijn gezet en nu zowel de bedrijf waarbij zij werkzaam waren (hoewel die daar niets mee te maken hadden) als de onderzoekers zelf niet meer de beveiliging van waternet mogen testen en of ooit nog bij waternet aan het werk mogen.
Waternet schiet hiermee door hun eigen voet, ze weten dat zij hierdoor minder beveiligd worden maar accepteren dit alleen voor het gevoel van valse gerechtigheid op de beveiliging onderzoekers die meer dan een jaar lang aan beveiliging incidenten verantwoordelijk hadden gemeld aan waternet.
Waternet doet dus wel degelijk mensen onrecht aan middels een zwarte lijst (tegen de wet in), sterker nog. het integriteit van de aanbestedingswet waar waternet zich aan moet verplichten wordt hierdoor ondermijnd maar goed dat is weer aan het ILT om een keer te onderzoeken.
Of dit zwarte lijst systematisch wordt bijgehouden of individueel door de directeur of HR wordt bijgehouden is nooit bekend gemaakt, de onderzoekers zelf willen hier ook niets over zeggen omdat een advocaat van waternet welk de naam van niet wordt genoemd hun blijkbaar de mond gesnoerd heeft en de onderzoekers zelf niet verder in onnodige problemen willen komen.
Maar dit zegt genoeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
