Cybersecurity van vitale waterwerken volgens rekenkamer niet voldoende

Vitale waterwerken Nederland, cybersecurity

De cybersecurity van vitale waterwerken is volgens de Algemene Rekenkamer nog niet voldoende. De waterwerken blijken volgens onderzoek van de Rekenkamer kwetsbaar voor digitale aanvallen. De minister van Infrastructuur en Waterstaat wordt aangeraden om onderzoek te doen naar het actuele dreigingsniveau en om te zien of extra maatregelen nodig zijn.

Op dit moment functioneren de vitale waterwerken op automatiseringssystemen die veelal uit de jaren ’80 en ’90 van de vorige eeuw komen. In de afgelopen jaren zijn die systemen aan computernetwerken gekoppeld, zodat het bijvoorbeeld mogelijk werd om bediening op afstand mogelijk te maken.

De systemen zijn daardoor echter ook kwetsbaarder geworden voor cybercriminaliteit. Rijkswaterstaat vindt het kostbaar en technisch uitdagend om de systemen te moderniseren, waardoor er vooral ingezet wordt op de detectie van en de reactie op aanvallen.

Worden de vitale waterwerken aangevallen, dan heeft dat mogelijk grote gevolgen voor Nederland, aldus de Rekenkamer. Bovendien zijn nog niet al die waterwerken rechtstreeks aangesloten op het Security Operations Center (SOC) van Rijkswaterstaat. Daardoor is het nog niet mogelijk om cyberaanvallen direct te detecteren, al was dat wel de ambitie voor het najaar van 2018. De kans bestaat dus dat een aanval niet of te laat ontdekt wordt.

Maatregelen

Dit betekent natuurlijk niet dat Rijkswaterstaat de afgelopen jaren niets heeft gedaan. De organisatie stelde zelf van alle tunnels, bruggen, sluizen en dergelijke vast welke maatregelen er nog genomen moeten worden voor de cyberveiligheid. Ongeveer 60 procent van die maatregelen was aan het begin van 2018 ook al uitgevoerd.

Volgens de Rekenkamer ziet Rijkswaterstaat echter niet voldoende toe op de uitvoering van het overgebleven deel van die maatregelen. Ook heeft het geen actueel overzicht van welke maatregelen nog uitgevoerd moeten worden, en wordt de uitvoering van die maatregelen niet afgedwongen. Verder is cybersecurity nog geen volwaardig onderdeel van reguliere inspecties.

Bovendien blijkt dat belangrijke documentatie niet altijd actueel is en er geen proces is om die actueel te houden. Is er een crisis als gevolg van een cyberaanval, dan ligt er geen specifiek scenario klaar. En penetratietesten – waarbij geprobeerd wordt een systeem binnen te dringen – worden nauwelijks uitgevoerd.

Aanbevelingen

De Rekenkamer stelt dat die pentesten een integraal onderdeel uit moeten maken van de cybersecuritymaatregelen. Daarnaast raadt het de minister van Infrastructuur en Waterstaat aan om het dreigingsniveau te onderzoeken. De minister moet aan de hand daarvan besluiten of er extra mensen of middelen nodig zijn.

Rijkswaterstaat moet volgens de Rekenkamer op zijn beurt de resterende veiligheidsmaatregelen uitvoeren, zoals het aansluiten van de vitale waterwerken op het SOC.

Foto: Shutterstock.com