0
0
0
s2smodern
Interessant? Deel dit artikel met uw (water)netwerk!
0
0
0
s2smodern
powered by social2s

Niet waterdicht. Zo omschrijft de Algemene Rekenkamer de cybersecurity bij vitale waterwerken als bruggen en sluizen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet maar nog niet alle veiligheidsmaatregelen zijn uitgevoerd, is de conclusie na onderzoek. Het risico bestaat dat een cyberaanval niet of te laat wordt gedetecteerd. Minister Cora van Nieuwenhuizen zegt in een reactie de aanbevelingen van de Rekenkamer op te pakken.

De Algemene Rekenkamer heeft vanochtend het rapport Digitale dijkverzwaring: cybersecurity en vitale waterwerken openbaar gemaakt, na eerst de leden van de Tweede Kamercommissie voor Infrastructuur en Waterstaat vertrouwelijk te hebben gebriefd. Het onderzoek is het eerste van een aantal onderzoeken naar de bescherming van vitale sectoren. Het keren en beheren van water is aangemerkt als vitale sector omdat uitval kan leiden tot maatschappelijke ontwrichting en andere vitale sectoren raakt, zoals de distributie van elektriciteit. Volgens de Rekenkamer staat dan de fysieke veiligheid op het spel, omdat het in de strijd met water kan gaan om leven of dood.

Kwetsbaarheid vitale waterwerken toegenomen
De Rekenkamer heeft gekeken naar de beveiliging van de zogeheten vitale waterwerken: bruggen, sluizen, tunnels en waterkeringen onder beheer van Rijkswaterstaat die als cruciaal worden gezien. Deze waterwerken maken voor het aansturen van processen gebruik van automatiseringssystemen die vaak stammen uit de jaren tachtig en negentig van de vorige eeuw. De systemen zijn in de loop der jaren gekoppeld aan grotere computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Hierdoor is de kwetsbaarheid voor cybercriminaliteit toegenomen.

Het moderniseren van de systemen is volgens Rijkswaterstaat technisch uitdagend en kostbaar. Daarom richt de aandacht zich vooral op detectie van cyberaanvallen en een adequate reactie hierop. De Algemene Rekenkamer trekt deze hoofdconclusie: “We zien dat Rijkswaterstaat een hoop werk heeft verzet. Echter, zowel op het gebied van detectie als op die van respons moet Rijkswaterstaat, in opdracht van de minister, nog stappen zetten om aan de eigen doelstellingen voor cybersecurity te voldoen.”

Onderzoek nodig naar dreigingsniveau
In een tegelijkertijd verschenen reactie zegt minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat het hiermee eens te zien. “Ik onderschrijf uw hoofdconclusie dat Rijkswaterstaat de afgelopen jaren veel werk heeft verzet om alle objecten (meer dan vierhonderd, met ieder een unieke IT-infrastructuur) integraal te beveiligen, waarbij u tegelijkertijd stelt dat Rijkswaterstaat nog stappen moet zetten om aan de eigen doelstellingen voor cybersecurity te voldoen. Uw conclusies en aanbevelingen zie ik als een ondersteuning van de reeds door mij in gang gezette strategie om de cybersecurity van IenW verder te verbeteren.”

Wat is ervoor nodig om de sector voldoende weerbaar te maken tegen cyberaanvallen? Tijdens het onderzoek was er nog geen inzicht in het precieze niveau van dreiging waarmee vitale waterwerken worden geconfronteerd. De Rekenkamer beveelt aan om een onderzoek uit te voeren naar het actuele feitelijke dreigingsniveau. Dat maakt een betere inschatting van de benodigde inzet van mensen en middelen mogelijk. Van Nieuwenhuizen laat weten deze aanbeveling te onderschrijven.

Inhaalslag maar nog niet alle doelen gehaald
De Rekenkamer baseert haar hoofdconclusie op drie deelconclusies. De eerste betreft het programma Beveiligd Werken Rijkswaterstaat. Hiermee is een inhaalslag gemaakt op het gebied van cybersecurity. Bij de uitvoering van het programma heeft Rijkswaterstaat veel werk verzet, maar nog niet alle doelen zijn behaald. Zo is cyberveiligheid nog geen volwaardig onderdeel van reguliere inspecties.

Ongeveer 60 procent van de maatregelen was al begin 2018 uitgevoerd, maar Rijkswaterstaat ziet volgens het rapport onvoldoende toe op de uitvoering van het resterende deel en heeft geen actueel overzicht van de overgebleven maatregelen. De minister schrijft dit beeld te herkennen, maar dat Rijkswaterstaat intussen een flinke inhaalslag heeft gemaakt. Er is nu wel een compleet overzicht van de nog te zetten stappen beschikbaar. De prioriteiten zullen worden bepaald aan de hand van de resultaten van de aanscherping van het actuele dreigingsniveau.

Nog niet overal directe detectie
De tweede deelconclusie gaat over de Security Operations Center (SOC), een specialistisch team dat in het leven is geroepen voor de detectie van en de reactie op cyberaanvallen. De uitvoering hiervan is nog niet voltooid, aldus de Algemene Rekenkamer. Een probleem is dat het SOC naar eigen zeggen onvoldoende kennis en capaciteit heeft om de detectie verder te verfijnen en uit te breiden.

De Rekenkamer signaleert deze tekortkoming: “De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 nog niet gerealiseerd. Hierdoor bestaat het risico dat Rijkswaterstaat een cyberaanval bij een vitaal waterwerk niet of te laat detecteert.” De belangrijkste reden hiervoor is dat sommige regio’s terughoudend zijn bij het uitvoeren van de maatregelen. Zij zien dit bijvoorbeeld als een risico en het SOC kan het nemen van maatregelen niet afdwingen.

 ‘Het risico bestaat dat Rijkswaterstaat een cyberaanval niet of te laat detecteert’

De Rekenkamer komt met de aanbeveling om de maatregelen te voltooien die directe detectie van cyberaanvallen mogelijk maken en de monitoring via het SOC uit te breiden. Het antwoord van de minister: “In welke mate versterking nodig is, zal afhankelijk zijn van de actualisatie van het dreigingsniveau. Deze geactualiseerde dreigingsinformatie zal meegenomen worden in de IenW-cybersecuritystrategie waaruit de prioritering van cybersecuritymaatregelen, waaronder versterking van het SOC, plaatsvindt.”

Hierbij plaatst de Algemene Rekenkamer op haar beurt weer een kanttekening. “Alhoewel dit logisch lijkt, willen wij de minister erop wijzen dat het ook gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. We doelen dan bijvoorbeeld op het aansluiten van de vitale waterwerken op het SOC zodat er meer diepgaand en actueel zicht op deze waterwerken is.”

Geen crisisscenario voor cyberaanval
Het crisismodel kan beter, is de derde deelconclusie van de Algemene Rekenkamer. Er is geen specifiek scenario voor een crisis die wordt veroorzaakt door een cyberaanval. Ook ontbreekt inzicht in de effecten van een cybercrisis op andere sectoren, de zogeheten cascade-effecten. Tevens is de crisisdocumentatie op onderdelen verouderd.

De Rekenkamer vindt dat penetratietesten met een bewuste hack, kortweg pentesten, een integraal onderdeel moeten zijn van de cyberveiligheidsmaatregelen bij vitale waterwerken. Dit blijkt nog niet het geval. “Rijkswaterstaat voert voor de vitale waterwerken nauwelijks pentesten uit omdat dit naar eigen zeggen te risicovol is. Daarmee ontbreekt het de organisatie aan informatie over hoe weerbaar de vitale waterwerken in de praktijk zijn tegen cyberaanvallen.”

Van Nieuwenhuizen meldt dat onderzocht zal worden wat de risico’s en mogelijkheden zijn voor het invoeren van pentesten bij bestaande systemen. “Van belang is dat bij nieuwe aanleg en renovatieprojecten altijd pentesten worden uitgevoerd. Hiervoor wordt een voorziening ingericht.” Wat betreft de noodzaak om cascade-effecten inzichtelijk te krijgen, schrijft de bewindsvrouw dat dit is opgenomen in het in oktober afgesloten Bestuursakkoord Water.

Test met ethische hackers
De Algemene Rekenkamer heeft tijdens het onderzoek een kwetsbaarheidstest laten uitvoeren bij een waterwerk dat is aangesloten bij het SOC. Hiervoor zijn ethische hackers ingezet. Zij konden tweemaal fysiek bij het object binnendringen door het personeel te misleiden. De eerste keer kregen de testers toegang tot de controlekamer waar ze alleen werden gelaten en de tweede keer bemachtigden ze een tijdelijke toegangspas voor de hele locatie.

Bij het tweede onderdeel van de test was de beveiliging wel op orde. Toen de hackers vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat, had het SOC dit meteen in de gaten. Hierbij hebben zij zich op verschillende manieren gedragen, variërend van zeer verdekt tot vrij opvallend. Het SOC detecteerde elke poging om op het netwerk in te breken.

 

MEER INFORMATIE
Bericht van Algemene Rekenkamer
Onderzoeksrapport Digitale dijkverzwaring
Reactie van minister Van Nieuwenhuizen
Inzet van SOC bij DDoS-aanval (januari 2018)
Eerder bericht over cybersecurity in watersector

In het magazine H2O van februari 2018 staat een artikel over cyberveiligheid onder de titel Hoe kwetsbaar is de watersector?

Voor het reageren op onze artikelen hebben we enkele richtlijnen. Klik hier om deze te bekijken.

Typ uw reactie hier...
Cancel
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Interessant artikel? Laat uw reactie achter.

KNW Lidmaatschap

"KNW Waternetwerk verbindt waterprofessionals in een uniek platform"

Word ook lid

Laatste reacties op onze artikelen

N2O + O3
Met ander woorden: lachgas afvangen en ozon toevoegen. O3 kun je maken uit restproduct bij waterstofproductie.
Dus oplosbaar dit probleem?
@Erik van LithWe hebben inderdaad ook designers in het project betrokken. Zij hebben ons geholpen door ons technieken aan te leren die zij gebruiken bij empathisch onderzoek: hoe kom je achter de drijfveren van mensen.
En in vijf gemeenten in Zuid-Nederland zijn ontwerpers met een concreet vraagstuk aan de slag gegaan, samen met ambtenaren en bewoners. Ze vonden het een heel leuk en interessant vraagstuk om aan te werken. Het heeft veel losgemaakt daardoor. We hebben veel van elkaar geleerd.
Als je meer wilt weten, neem dan even contact op met Dick of mij (Karla Niggebrugge, kniggebrugge@brabant.nl)
Dick, Dank voor je nieuwe inzichten. Ik vraag me af: hebben jullie ontwerpers in jullie onderzoek meegenomen? Wat vinden zij ervan?
Dit is wel een heel goed idee.
Ik zou die nieuwe zuivering best een keer willen zien tijdens een open dag.
150 mm is veel dat lukt in 24 uur maar in 1 uur afhankelijk van je systeemkeuze. Op de samenwerkingsvorm na zie ik niet zoveel nieuws, als wat de standaardopgave is voor de waterontwerper bij een nieuwe wijk. Bij een wadi die sinds 1992 er al zijn en inmiddels 200 van in de stad liggen, stroomt het water per definitie er schoner uit dan in. Het experiment en de mogelijke vernieuwingen maken, als blijkt dat die werken, maakt het tot de slimste waterwijk ter wereld.

Zelf reageren? Dat kan onder alle artikelen met een Mijn H2O/KNW account.

(advertentie)

Wij maken gebruik van cookies om de gebruikerservaring te verbeteren. Als je onze site bezoekt, ga je akkoord met het gebruik hiervan.      Ik snap het