0
0
0
s2smodern

De Inspectie Leefomgeving en Transport (ILT) start een onderzoek naar hoe het gesteld is met de veiligheid van de digitale omgeving van Waternet. Dit  is gericht op het voor drinkwater relevante deel van Waternet. Daarbij wacht de inspectiedienst niet op de resultaten van een extern onderzoek dat het Amsterdamse watercyclusbedrijf zelf laat houden.

Dat schrijft minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat in een brief over het versterken van de cyberweerbaarheid in de watersector die zij naar de Tweede Kamer stuurde. De minister reageert hiermee op vragen die het Kamerlid Corrie van Brenk (50PLUS) in september stelde. Het onderzoek van de Inspectie Leefomgeving en Transport houdt verband met twee artikelen van het journalistieke onderzoeksplatform Follow the Money (FTM) over de digitale beveiliging bij Waternet.



(advertentie)

Digitale beveiliging gehekeld door FTM
Deze beveiliging lekt volgens het eerste artikel van 19 september aan alle kanten. Zo kunnen medewerkers gegevens downloaden op eigen laptops en telefoons, worden kritieke kwetsbaarheden genegeerd en is de netwerkarchitectuur slecht. In een reactie stelde Waternet dat de berichtgeving grotendeels gebaseerd is op verouderde en/of onjuiste informatie. Veel van de genoemde veiligheidsproblemen zijn verholpen en er wordt hard gewerkt om de verdere knelpunten aan te pakken, werd opgemerkt. Om dat te laten valideren, kondigde Waternet aan een externe partij in te schakelen voor een onderzoek naar de bevindingen van FTM.

In het tweede artikel dat drie dagen geleden is gepubliceerd, schrijft FTM dat Waternet-directeur Roelof Kruize en dijkgraaf Gerhard van den Top (Waterschap Amstel, Gooi en Vecht, samen met de gemeente Amsterdam eigenaar van Waternet) een vernietigend rapport over de resultaten van een penetratietest hebben verzwegen voor andere bestuurders. Onderzoekers van het gespecialiseerde bureau Hoffmann konden bij deze test gemakkelijk de computersystemen binnendringen. Ook de ILT is daarover niet geïnformeerd en dat is reden om zelf een onderzoek te starten, blijkt uit de Kamerbrief van Van Nieuwenhuizen.

“Naar aanleiding van de eerdere publicatie over Waternet door FTM heeft de ILT als toezichthouder op het drinkwaterbedrijf in het kader van de Wbni (Wet beveiliging netwerk- en informatiesystemen, red.) op 27 oktober jl. een gesprek met de directie van Waternet gevoerd. Op 2 november jl. heeft FTM een nieuw artikel gepubliceerd waarin wordt gesteld dat Waternet bewust een kritisch extern onderzoek (een zogeheten pen-test) zou hebben achtergehouden.

De ILT was voorafgaand aan de publicatie van FTM niet op de hoogte van de inhoud van de rapportage over deze test. De conclusies van de pen-test en het feit dat Waternet de ILT niet eerder heeft geïnformeerd baren de ILT zorgen. Daarom zal de ILT de resultaten van het door Waternet ingestelde onderzoek - dat 2 tot 3 weken is vertraagd - niet afwachten en zelf een onderzoek instellen”, aldus de minister.

‘Drinkwaterdeel’ Waternet onderzocht
Het onderzoek richt zich op het voor drinkwater relevante deel van Waternet en de naleving van de Wbni, de governance van de organisatie en de leveringszekerheid van drinkwater. ILT heeft alleen daarvoor toezichts- en handhavingstaken. Van Nieuwenhuizen meldt dat zij geen specifieke bevoegdheden op het vlak van cybersecurity heeft ten opzichte van de decentrale overheden in het waterbeheer.

De bewindsvrouw gaat nog in op de vraag van Van Brenk of er door Waternet onacceptabele beveiligingsrisico’s worden genomen, waardoor de drinkwaterlevering in gevaar zou kunnen komen. “De ILT geeft aan op dit moment geen reden te zien om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is. De verwachting van de ILT is dat begin 2021 een completer beeld beschikbaar is. Hierbij zal de ILT ook het externe auditrapport over Waternet betrekken.”

Ook onderzoek bij andere organisaties
Wat betreft andere drinkwaterbedrijven zijn er volgens de Inspectie Leefomgeving en Transport geen concrete signalen dat zij niet zouden voldoen aan hun wettelijke verplichtingen. “Als dit wel het geval zou zijn, heeft de ILT de bevoegdheid om in te grijpen.”

Van Nieuwenhuizen heeft de ILT verzocht om dit jaar bij alle aanbieders van essentiële diensten op het terrein van Infrastructuur en Waterstaat, inclusief Waternet, onderzoek te doen naar het inzicht in bekende kwetsbaarheden en de borging en werking van het patchmanagement (aanpak om kwetsbaarheden te herstellen). Dit gebeurt vanwege het belang van het tijdig opvolgen van beveiligingsadviezen.

 

Update 10 november
Minister Van Nieuwenhuizen heeft op 10 november vragen van het Kamerlid Van Brenk schriftelijk beantwoord. Hierin wordt nog wat uitgebreider op de kwestie ingegaan. De minister schrijft dat de ILT op 2 november de rapportage van de pen-test heeft opgevraagd en een dag later alsnog heeft gekregen. Ook laat ze weten: “Het is geen gangbare praktijk dat aanbieders van essentiële diensten de uitkomsten van vertrouwelijke pen-testen periodiek ongevraagd aan toezichthouders toesturen. Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen.”

Op inhoudelijke vragen over de beveliging en mogelijke interventies gaat Van Nieuwenhuizen niet in. Daarvoor moeten volgens haar de resultaten van zowel het lopende onderzoek van de ILT als het extern uitgevoerde onderzoek in opdracht van Waternet worden afgewacht. Hieronder is een link toegevoegd naar deze beantwoording van Kamervragen.

 

MEER INFORMATIE
Tweede Kamerbrief minister IenW (4 november)
H2O-bericht over extern onderzoek door Waternet
Artikel FTM op 2 november (betaald)
Beantwoording Kamervragen door minister (10 november)

Voor het reageren op onze artikelen hebben we enkele richtlijnen. Klik hier om deze te bekijken.

Typ uw reactie hier...
Cancel
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Interessant artikel? Laat uw reactie achter.

(advertentie)

Laatste reacties op onze artikelen

Beste waterschappers, als jullie de waterpeilen pas per 1 april opzetten, dan beginnen we het groeiseizoen dus met een nagenoeg leeg watersysteem. Het opzetten van de peilen moet minstens een maand eerder. En ja, dat kan plaatselijk enige natschade geven. Accepteren we dat niet, dan moeten we in mei en juni niet 'huilie-huilie' doen over droogte. Dan hebben we dat deels zelf veroorzaakt.
@RogerHallo Roger, dank voor je reactie. Ik help je graag verder en kan je voorzien van alle informatie waar je om vraagt. We hebben een aantal mooie referenties, artikelen in diverse vakbladen en uiteraard onze eigen website. Ik denk echter dat dit platform daar niet de aangewezen plaats voor is. Ik kom dan ook graag verder met je in contact. Zou je een mail kunnen sturen naar marketing@pathema.nl?
De recente berichtgeving rondom het watergebruik van datacenters is gebaseerd op onjuiste cijfers en aannames. Cijfers van het Centraal Bureau voor Statistiek en het waterleidingbedrijf PWN geven een heel ander beeld. Daarnaast is het in Nederland reeds wettelijk geregeld dat de levering van water voor drinkwater altijd voor de levering aan de industrie gaat. Door onjuiste berichtgeving wordt er onterecht een panieksituatie gecreëerd, met verstrekkende gevolgen.
Allereerst is er regelgeving die waterlevering regelt bij tekorten. Wettelijk is geregeld dat drinkwater altijd voor gaat middels de verdringings categorien. Dit is na te lezen op de Rijkswaterstaat, Infomil en wordt ook aangegeven door het waterleidingsbedrijf PWN die in Noord Holland levert.
PWN : https://www.pwn.nl/over-pwn/pers-en-nieuws/drinkwater/de-inwoners-van-noord-holland-kunnen-er-altijd-op-rekenen-dat-er?nid=1368
Daarnaast is er bij het watergebruik capaciteit van de aansluiting en verbruik door elkaar gehaald. Het werkelijke verbruik voor de alle industrie in Noord Holland wbt koelwater is volgens het waterbedrijf 0,6% van hun totale levering. Dit komt neer op 672 duizend m3 aan totaal industrie koelwater gezien PWN 112 miljoen m3 in totaal levert. Daarvan nemen die 2 datacenters maar een gedeelte van op. Iets geheel anders dan de 4,6 miljoen m3 die werd gesuggereerd in het artikel. Volgens het CBS gebruikt de hele IT sector in Nederland 1 miljoen m3 water, de 0,88% in het artikel hierboven. Dit is open data die volledig in het artikel is genegeerd.
Naar de toekomst toe streven we ernaar het waterverbruik naar nul te brengen. Nieuwe datacenters gebruiken al veel minder water en het ook in de media bekende project in Zeewolde gebruikt oppervlaktewater ipv drinkwater. Dus ook de extrapolaties naar de toekomst toe gaan mank.
De links naar het CBS en PWN kunt u hier vinden:
https://opendata.cbs.nl/statline/#/CBS/nl/dataset/82883NED/table?dl=1A42C
https://www.pwn.nl/over-pwn/pers-en-nieuws/drinkwater/de-inwoners-van-noord-holland-kunnen-er-altijd-op-rekenen-dat-er?nid=1368
https://www.pwn.nl/over-pwn
Het rapport was trouwens zo klein qua onderzochte datacenters en zo divers dat er geen enkel duidelijk beeld uit te halen was. Daarom heeft de provincie het niet gepubliceerd. Dat geven ze ook aan in hun reactie aan de NOS.
Wat betreft chemicaliën, die gaat om kleine hoeveelheden zout om het water zachter te maken om apparatuur te sparen. Het water wordt meerdere malen gebruikt. De toevoegingen vallen binnen de normen en milieu wetgeving en vergunning van het bedrijf gaf ook Microsoft aan.
Op onze website hebben we nog meer links staan naar openbare bronnen over water, energieverbruik, bebouwing, etc.
Zie: https://www.dutchdatacenters.nl/cijfers-1/

Indien er verder vragen zijn we als branche organisatie dit altijd bereid dit verder toe te lichten.
Er is onderzocht wat het effect is van een watertemperatuur voor zoetwater vissen. Een zeer relevant onderzoek. Is er ook onderzocht wat het effect is voor de zalmen en forellen die kuit schieten in de rivier waar hun ouders kuit hebben geschoten?
Als het zeewater warmer wordt kunnen deze vissen denk ik geen andere rivier (een meer noordelijke rivier) uitzoeken om die op te zwemmen en kuit te schieten.
Laten we uitkijken dat de Japanse bladvlo die nu ingezet is tegen de duizendknoop niet later een probleem gaat vormen wat we nu nog niet overzien. Soms is het middel erger dan de kwaal.

Zelf reageren? Dat kan onder alle artikelen met een Mijn H2O/KNW account.