De Inspectie Leefomgeving en Transport (ILT) start een onderzoek naar hoe het gesteld is met de veiligheid van de digitale omgeving van Waternet. Dit is gericht op het voor drinkwater relevante deel van Waternet. Daarbij wacht de inspectiedienst niet op de resultaten van een extern onderzoek dat het Amsterdamse watercyclusbedrijf zelf laat houden.
Dat schrijft minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat in een brief over het versterken van de cyberweerbaarheid in de watersector die zij naar de Tweede Kamer stuurde. De minister reageert hiermee op vragen die het Kamerlid Corrie van Brenk (50PLUS) in september stelde. Het onderzoek van de Inspectie Leefomgeving en Transport houdt verband met twee artikelen van het journalistieke onderzoeksplatform Follow the Money (FTM) over de digitale beveiliging bij Waternet.
Digitale beveiliging gehekeld door FTM
Deze beveiliging lekt volgens het eerste artikel van 19 september aan alle kanten. Zo kunnen medewerkers gegevens downloaden op eigen laptops en telefoons, worden kritieke kwetsbaarheden genegeerd en is de netwerkarchitectuur slecht. In een reactie stelde Waternet dat de berichtgeving grotendeels gebaseerd is op verouderde en/of onjuiste informatie. Veel van de genoemde veiligheidsproblemen zijn verholpen en er wordt hard gewerkt om de verdere knelpunten aan te pakken, werd opgemerkt. Om dat te laten valideren, kondigde Waternet aan een externe partij in te schakelen voor een onderzoek naar de bevindingen van FTM.
In het tweede artikel dat drie dagen geleden is gepubliceerd, schrijft FTM dat Waternet-directeur Roelof Kruize en dijkgraaf Gerhard van den Top (Waterschap Amstel, Gooi en Vecht, samen met de gemeente Amsterdam eigenaar van Waternet) een vernietigend rapport over de resultaten van een penetratietest hebben verzwegen voor andere bestuurders. Onderzoekers van het gespecialiseerde bureau Hoffmann konden bij deze test gemakkelijk de computersystemen binnendringen. Ook de ILT is daarover niet geïnformeerd en dat is reden om zelf een onderzoek te starten, blijkt uit de Kamerbrief van Van Nieuwenhuizen.
“Naar aanleiding van de eerdere publicatie over Waternet door FTM heeft de ILT als toezichthouder op het drinkwaterbedrijf in het kader van de Wbni (Wet beveiliging netwerk- en informatiesystemen, red.) op 27 oktober jl. een gesprek met de directie van Waternet gevoerd. Op 2 november jl. heeft FTM een nieuw artikel gepubliceerd waarin wordt gesteld dat Waternet bewust een kritisch extern onderzoek (een zogeheten pen-test) zou hebben achtergehouden.
De ILT was voorafgaand aan de publicatie van FTM niet op de hoogte van de inhoud van de rapportage over deze test. De conclusies van de pen-test en het feit dat Waternet de ILT niet eerder heeft geïnformeerd baren de ILT zorgen. Daarom zal de ILT de resultaten van het door Waternet ingestelde onderzoek - dat 2 tot 3 weken is vertraagd - niet afwachten en zelf een onderzoek instellen”, aldus de minister.
‘Drinkwaterdeel’ Waternet onderzocht
Het onderzoek richt zich op het voor drinkwater relevante deel van Waternet en de naleving van de Wbni, de governance van de organisatie en de leveringszekerheid van drinkwater. ILT heeft alleen daarvoor toezichts- en handhavingstaken. Van Nieuwenhuizen meldt dat zij geen specifieke bevoegdheden op het vlak van cybersecurity heeft ten opzichte van de decentrale overheden in het waterbeheer.
De bewindsvrouw gaat nog in op de vraag van Van Brenk of er door Waternet onacceptabele beveiligingsrisico’s worden genomen, waardoor de drinkwaterlevering in gevaar zou kunnen komen. “De ILT geeft aan op dit moment geen reden te zien om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is. De verwachting van de ILT is dat begin 2021 een completer beeld beschikbaar is. Hierbij zal de ILT ook het externe auditrapport over Waternet betrekken.”
Ook onderzoek bij andere organisaties
Wat betreft andere drinkwaterbedrijven zijn er volgens de Inspectie Leefomgeving en Transport geen concrete signalen dat zij niet zouden voldoen aan hun wettelijke verplichtingen. “Als dit wel het geval zou zijn, heeft de ILT de bevoegdheid om in te grijpen.”
Van Nieuwenhuizen heeft de ILT verzocht om dit jaar bij alle aanbieders van essentiële diensten op het terrein van Infrastructuur en Waterstaat, inclusief Waternet, onderzoek te doen naar het inzicht in bekende kwetsbaarheden en de borging en werking van het patchmanagement (aanpak om kwetsbaarheden te herstellen). Dit gebeurt vanwege het belang van het tijdig opvolgen van beveiligingsadviezen.
UPDATE 10 NOVEMBER
Minister Van Nieuwenhuizen heeft op 10 november vragen van het Kamerlid Van Brenk schriftelijk beantwoord. Hierin wordt nog wat uitgebreider op de kwestie ingegaan. De minister schrijft dat de ILT op 2 november de rapportage van de pen-test heeft opgevraagd en een dag later alsnog heeft gekregen. Ook laat ze weten: “Het is geen gangbare praktijk dat aanbieders van essentiële diensten de uitkomsten van vertrouwelijke pen-testen periodiek ongevraagd aan toezichthouders toesturen. Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen.”
Op inhoudelijke vragen over de beveliging en mogelijke interventies gaat Van Nieuwenhuizen niet in. Daarvoor moeten volgens haar de resultaten van zowel het lopende onderzoek van de ILT als het extern uitgevoerde onderzoek in opdracht van Waternet worden afgewacht. Hieronder is een link toegevoegd naar deze beantwoording van Kamervragen.
MEER INFORMATIE
Tweede Kamerbrief minister IenW (4 november)
H2O-bericht over extern onderzoek door Waternet
Artikel FTM op 2 november (betaald)
Beantwoording Kamervragen door minister (10 november)
