0
0
0
s2sdefault

De Inspectie Leefomgeving en Transport (ILT) start een onderzoek naar hoe het gesteld is met de veiligheid van de digitale omgeving van Waternet. Dit  is gericht op het voor drinkwater relevante deel van Waternet. Daarbij wacht de inspectiedienst niet op de resultaten van een extern onderzoek dat het Amsterdamse watercyclusbedrijf zelf laat houden.

Dat schrijft minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat in een brief over het versterken van de cyberweerbaarheid in de watersector die zij naar de Tweede Kamer stuurde. De minister reageert hiermee op vragen die het Kamerlid Corrie van Brenk (50PLUS) in september stelde. Het onderzoek van de Inspectie Leefomgeving en Transport houdt verband met twee artikelen van het journalistieke onderzoeksplatform Follow the Money (FTM) over de digitale beveiliging bij Waternet.



(advertentie)

Digitale beveiliging gehekeld door FTM
Deze beveiliging lekt volgens het eerste artikel van 19 september aan alle kanten. Zo kunnen medewerkers gegevens downloaden op eigen laptops en telefoons, worden kritieke kwetsbaarheden genegeerd en is de netwerkarchitectuur slecht. In een reactie stelde Waternet dat de berichtgeving grotendeels gebaseerd is op verouderde en/of onjuiste informatie. Veel van de genoemde veiligheidsproblemen zijn verholpen en er wordt hard gewerkt om de verdere knelpunten aan te pakken, werd opgemerkt. Om dat te laten valideren, kondigde Waternet aan een externe partij in te schakelen voor een onderzoek naar de bevindingen van FTM.

In het tweede artikel dat drie dagen geleden is gepubliceerd, schrijft FTM dat Waternet-directeur Roelof Kruize en dijkgraaf Gerhard van den Top (Waterschap Amstel, Gooi en Vecht, samen met de gemeente Amsterdam eigenaar van Waternet) een vernietigend rapport over de resultaten van een penetratietest hebben verzwegen voor andere bestuurders. Onderzoekers van het gespecialiseerde bureau Hoffmann konden bij deze test gemakkelijk de computersystemen binnendringen. Ook de ILT is daarover niet geïnformeerd en dat is reden om zelf een onderzoek te starten, blijkt uit de Kamerbrief van Van Nieuwenhuizen.

“Naar aanleiding van de eerdere publicatie over Waternet door FTM heeft de ILT als toezichthouder op het drinkwaterbedrijf in het kader van de Wbni (Wet beveiliging netwerk- en informatiesystemen, red.) op 27 oktober jl. een gesprek met de directie van Waternet gevoerd. Op 2 november jl. heeft FTM een nieuw artikel gepubliceerd waarin wordt gesteld dat Waternet bewust een kritisch extern onderzoek (een zogeheten pen-test) zou hebben achtergehouden.

De ILT was voorafgaand aan de publicatie van FTM niet op de hoogte van de inhoud van de rapportage over deze test. De conclusies van de pen-test en het feit dat Waternet de ILT niet eerder heeft geïnformeerd baren de ILT zorgen. Daarom zal de ILT de resultaten van het door Waternet ingestelde onderzoek - dat 2 tot 3 weken is vertraagd - niet afwachten en zelf een onderzoek instellen”, aldus de minister.

‘Drinkwaterdeel’ Waternet onderzocht
Het onderzoek richt zich op het voor drinkwater relevante deel van Waternet en de naleving van de Wbni, de governance van de organisatie en de leveringszekerheid van drinkwater. ILT heeft alleen daarvoor toezichts- en handhavingstaken. Van Nieuwenhuizen meldt dat zij geen specifieke bevoegdheden op het vlak van cybersecurity heeft ten opzichte van de decentrale overheden in het waterbeheer.

De bewindsvrouw gaat nog in op de vraag van Van Brenk of er door Waternet onacceptabele beveiligingsrisico’s worden genomen, waardoor de drinkwaterlevering in gevaar zou kunnen komen. “De ILT geeft aan op dit moment geen reden te zien om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is. De verwachting van de ILT is dat begin 2021 een completer beeld beschikbaar is. Hierbij zal de ILT ook het externe auditrapport over Waternet betrekken.”

Ook onderzoek bij andere organisaties
Wat betreft andere drinkwaterbedrijven zijn er volgens de Inspectie Leefomgeving en Transport geen concrete signalen dat zij niet zouden voldoen aan hun wettelijke verplichtingen. “Als dit wel het geval zou zijn, heeft de ILT de bevoegdheid om in te grijpen.”

Van Nieuwenhuizen heeft de ILT verzocht om dit jaar bij alle aanbieders van essentiële diensten op het terrein van Infrastructuur en Waterstaat, inclusief Waternet, onderzoek te doen naar het inzicht in bekende kwetsbaarheden en de borging en werking van het patchmanagement (aanpak om kwetsbaarheden te herstellen). Dit gebeurt vanwege het belang van het tijdig opvolgen van beveiligingsadviezen.

 

Update 10 november
Minister Van Nieuwenhuizen heeft op 10 november vragen van het Kamerlid Van Brenk schriftelijk beantwoord. Hierin wordt nog wat uitgebreider op de kwestie ingegaan. De minister schrijft dat de ILT op 2 november de rapportage van de pen-test heeft opgevraagd en een dag later alsnog heeft gekregen. Ook laat ze weten: “Het is geen gangbare praktijk dat aanbieders van essentiële diensten de uitkomsten van vertrouwelijke pen-testen periodiek ongevraagd aan toezichthouders toesturen. Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen.”

Op inhoudelijke vragen over de beveliging en mogelijke interventies gaat Van Nieuwenhuizen niet in. Daarvoor moeten volgens haar de resultaten van zowel het lopende onderzoek van de ILT als het extern uitgevoerde onderzoek in opdracht van Waternet worden afgewacht. Hieronder is een link toegevoegd naar deze beantwoording van Kamervragen.

 

MEER INFORMATIE
Tweede Kamerbrief minister IenW (4 november)
H2O-bericht over extern onderzoek door Waternet
Artikel FTM op 2 november (betaald)
Beantwoording Kamervragen door minister (10 november)

Voor het reageren op onze artikelen hebben we enkele richtlijnen. Klik hier om deze te bekijken.

Typ uw reactie hier...
Cancel
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Interessant artikel? Laat uw reactie achter.

(advertentie)

Laatste reacties op onze artikelen

Prima initiatief van Delfland om juist in deze tijd van opstellen van waterprogramma's de link van klimaatverandering met het publiek te delen!
Jan Willem Rijke, Provincie Zuid-Holland.
Adviescommissies prima!
Goed alternatief is het uitgangspunt van 2008: Verkiezingen van belangenorganisaties.
Bestuurders met kennis van waterzaken vind ik zeer gewenst bij een technische uitvoeringsorganisatie wat de waterschappen zijn. Ik zie agrarische sector en industrie graag vertegenwoordigd in de waterschapsbestuurders, maar dan net als inwoners, als gekozen belangenorganisatie. Nu dubbele stem en zelfs driedubbele macht in het bestuur: Verstopt bij CDA en VVD en met geborgde macht als "geborgde zetel" met garantie op plek in Dagelijks Bestuur.
Zoals het zich doet aanzien zal het een geslepen insteek worden waarbij de veelal inmiddels zwaar gedupeerden aan het einde van hun latijn de duimschroeven worden opgedraaid door middel van het ondertekenen van verklaringen waarmee men afstand neemt van gerechtelijke procedures. Want er zou maar eens een gedupeerde bij het hof in het gelijk worden gesteld waardoor sprake van een precedentwerking.
Waar het echt om zou moeten gaan is de harde waarheid, het waarom juist de zwaar gedupeerden na zeven jaar dan wel langer nog altijd hun schade niet vergoed of een voor de veiligheid noodzakelijke versterking wordt bemoeilijkt/vertraagd. Groningers worden vermorzeld door Haagse corruptie. Zorgvuldig uitgedokterde snode plannen, waarbij de ene na de andere blokkade wordt opgetrokken om juist de zwaar gedupeerden eindeloos in een onmogelijke en zwaar belastende situatie te houden. Net zolang tot ze er letterlijk bij neervallen. Het Haagse ontzorgen en ruimhartig geld uitsluitend het eigen belang en de gedupeerde heeft het nakijken.
Ik verhuurde eens mijn studio met tuin aan Canadezen. In mijn schuur had ik enorme overlast duizendknoop. Zij waarschuwden mij hiervoor. Ook een ramp in hun land en zeiden dat de enige bestrijdingsmethode was: overgieten met kokend water. Ik zweer: het was weg!!!!! Heel soms steekt iets weer de kop op uit een verwaarloosde tuin v d buren.
Ik denk dat het Nederland weleens miljoenen kan schelen als zij deze methode zou toepassen.
A.D. vander Wees te Delft
Moderniseren uit oogpunt van democratie. Het is zoals zo vaak ook hier het geval dat blijkens het artikel er veel meer belangen spelen. sommige particuliere belangen, zoals die van een boer, kunnen heel goed essentieel samenvallen met het algemeen belang. Bestuurders, Tweede Kamerleden hebben vaak, nemen vaak te weinig tijd om een wetsvoorstel goed voor te bereiden, ontberen kennis door beperkte steun van van medewerkers. Er zijn te weinig medewerkers om sommige wetten zodanig te doorgronden op hun consequenties dat er rammelende wetgeving kan ontstaan. Iets waar de Raad van State ter zake kundig regelmatig op wijst. (niet mijn wijsheid, zie artikel in NRC 30 september)
Ik ben blij dat Delfland behoedzaam opereert en geen kind met het badwater weg gooit.

Zelf reageren? Dat kan onder alle artikelen met een Mijn H2O/KNW account.