secundair logo knw 1

In het afgelopen najaar bracht Follow the Money berichten naar buiten over de gebrekkige beveiliging van computersystemen bij Waternet en ontoereikende organisatiestructuur. Waren de problemen te voorzien? En hoe staat de watersector ervoor wat cyberveiligheid betreft? Wat is er nodig om de situatie te verbeteren? Pieter van Gelder, hoogleraar Veilgheidskunde aan de TU Delft, roept als relatieve buitenstaander op tot meer actie.

Door Mirjam Jochemsen

Pieter van Gelder 180 VK 2 Pieter van GelderZijn de digitale beveiligingsproblemen bij Waternet uitzonderlijk?
“De details van de situatie bij Waternet ken ik niet. Maar zeker is dat dit soort dingen overal voorkomt. Bij ziekenhuizen, scholen universiteiten, energiecentrales. Zelfs in de bankenwereld, die we toch wel als een koploper in digitale beveiliging kunnen beschouwen. Veel mensen herinneren zich ook vast nog wel de grote hack bij de universiteit van Maastricht, nu ruim een jaar geleden. De watersector is in dit opzicht zeker niet uniek. Wat niet afdoet aan de urgentie om dit probleem aan te pakken, zeker in deze sector van vitaal belang, met de drinkwatervoorziening en het water(zuiverings)beheer.”

Zijn beveiliging van data en van procesbesturing twee verschillende takken van sport?
“Nee, in essentie gaat het er bij beide om dat we ongewenste gebeurtenissen willen voorkomen en maatregelen willen treffen om ze te voorkomen. Wat dat betreft is er dus ook geen fundamenteel verschil met het managen van veiligheid in bijvoorbeeld het verkeer of in arbeidsomstandigheden. Wel krijgt tegenwoordig de beveiliging van kantoorautomatisering (IT) meer aandacht dan die van operationele processen zoals de bediening van sluizen, gemalen, rioolwaterzuiveringen en drinkwatervoorziening (OT). In die laatste zijn we achtergebleven. Digitale beveiliging kost moeite, tijd en geld, en vermindert het gebruiksgemak. Eerlijk is eerlijk: ook als burger zijn we in de verleiding om een goedkope webcam aan te schaffen, die misschien ‘lek’ is en buitenstaanders makkelijk mee laat kijken. Bovendien denkt een organisatie vaak ‘bij ons is voor hackers niks te halen’. Maar dan vergeet je dat ze wel grote schade kunnen veroorzaken. Met het gijzelen van gegevens of door te dreigen met het verstoren van bedrijfsprocessen hebben hackers bovendien een effectief chantagemiddel in handen om ‘losgeld’ te krijgen.”

Waarom lijkt er niet veel verbetering in onze cyberveiligheid te zitten?
“Daar zijn verschillende oorzaken voor aan te wijzen. In de eerste plaats is de watersector groot, divers en complex. Dat betekent dat de sector een groot ‘aanvalsoppervlak’ heeft dat beschermd moet worden. Bovendien kun je je systemen alleen goed verdedigen door overal en altijd up-to-date te blijven. Je bent nooit klaar. Nieuwe bedreigingen moet je onmiddellijk signaleren en je moet direct maatregelen nemen. Daarvoor heb je deskundigen nodig, multidisciplinaire teams van wateringenieurs en cyberspecialisten. 

Dat brengt ons op de tweede oorzaak: de vraag naar cyberspecialisten is groot maar het aanbod is zeer beperkt, onder meer doordat er veel te weinig geïnvesteerd wordt in onderwijs en onderzoek. Slechts sporadisch komt er bij onze vakgroep een verzoek binnen van de Stowa of de Unie van Waterschappen. Er is behoefte aan veel meer geld, samenwerking, het gezamenlijk ontwikkelen en uitwisselen van kennis en tools. Niet erg sexy misschien, maar wel heel belangrijk.”

Dit is allemaal geen echt nieuws, toch?
“Het komt allemaal langzaam wel van de grond. Er komen de laatste jaren meer juridische regelingen, toezichtstructuren en kennisnetwerken. Zo is er is de Wet beveiliging netwerk- en informatiesystemen (2018), in 2019 gevolgd door een Cyberstrategie van het ministerie van Infrastructuur en Waterstaat. Voor ‘aanbieders van essentiële diensten’ is de Inspectie Leefomgeving en Transport toezichthouder. Verder groeit er langzaam maar zeker meer samenwerking tussen het Nationaal Cyber Security Centrum (NCSC), RWS en de waterschappen. Ook de werken de waterschappen samen op dit terrein in Het Waterschapshuis. Maar het mag, nee moet, allemaal sneller en meer.”

Wat zou uw advies zijn voor de watersector?
“Dat is niet verrassend: investeer in structurele samenwerking en kennisuitwisseling. Op nationaal niveau, en misschien zelfs op internationaal, Europees niveau. De fysieke processen zijn immers overal hetzelfde. De sluisdeuren moeten overal en altijd openen en sluiten tegen de zwaartekracht en de stroming in. Ik voorzie – en bepleit – een trend naar voortgaande uniformering en standaardisering. Daarnaast moet de vrijblijvendheid ervan af. Een collega van me keek naar de autowereld: daar heb je de APK-keuring, elk jaar, volgens vaste normen. Zonder keuring mag je de weg niet op. Zoiets missen we in de cyberwereld. Toetsingen gebeuren ad hoc en steekproefsgewijs. Dat kan echt niet meer.”


MEER INFORMATIE
Het Waterschapshuis over informatieveiligheid 
H2O Premium: Cyberveiligheid is nu corebusiness
H2O Actueel over digitale lekken Waternet

Typ je reactie...
Je bent niet ingelogd
Of reageer als gast
Loading comment... The comment will be refreshed after 00:00.

Laat je reactie achter en start de discussie...

h2ologoprimair    PODIUM

Podium is een platform voor opinies, blogs en door waterprofessionals geschreven artikelen (Uitgelicht). H2O draagt geen verantwoordelijkheid voor de inhoud van deze bijdragen, maar bepaalt wel of een bijdrage in aanmerking komt voor plaatsing. De artikelen mogen geen commerciële grondslag hebben.

(advertentie)

Laatste reacties op onze artikelen

Een goede actie van de UvW. Logisch zou nu ook zijn om een vergelijkbare brief naar de regering te sturen ten aanzien van het verbieden van bestrijdingsmiddelen en te veel aan mest. 
De heer Revis is afkomstig uit een openlijk natuurvijandige partij als de VVD. Ook als wethouder RO in Den Haag is van hem geen enkel, ik herhaal, geen enkel groen feit bekend, tenzij ik iets heb gemist. SBB heeft zware klappen opgelopen door de Bleker-bezuinigingen. Zo is in de provincie Zuid-Holland de subsidie voor onderhoud en beheer gedaald van 45% naar 25%. SBB staat op het punt om natuur- en recreatiegebieden af te sluiten. Om in kabinetstermen te spreken een natuurcrisis. Ondanks dat we van de heer  Revis qua achtergrond niets mogen verwachten, zou hij, je weet het maar nooit, juist vanwege zijn achtergrond, SBB goede diensten kunnen bewijzen. Ik wens hem uiteraard veel succes en waar wij als KNNV-afdelingen Zuid-Holland kunnen steunen, zullen we dat beslist doen.
Huub van 't Hart, secretaris Natuurbescherming KNNV Natuurlijk Zuid-Holland
Dat klinkt allemaal mooi, maar wat als er in de tussentijd een zware storm met hoog water langskomt? Jullie spreken jezelf gewoon tegen. Jullie zeggen dat de duinen, om de veiligheid te waarborgen,  minimaal 7,64m hoog en 43 meter breed moeten zijn. Dat zijn die z.g. 'kerven' absoluut niet. Maar dat zou geen probleem zijn, want de golven doven uit op het oplopende profiel. Hoe kunnen beide beweringen tegelijkertijd waar zijn? Graag een goed onderbouwde reactie. 
Goed dat je dit doet Jelmer. Er zit zoveel kennis verstopt in het verleden. Door daar goed naar te kijken kun je waardevolle oplossingen in het heden creëren 👍🏼erfgoedstichting De Hollandse Cirkel (www.hollandsecirkel.nl)  werkt er al jaren aan om de historie van de geodesie/landmeetkunde/geo-informatie te kunnen ontsluiten naar het heden en de toekomst. 
@H2O redactie Geachte Redactie, dank voor uw correctie en web-site verwijzing naar de Piekberging.
Nu de dijken goed met gras begroeid zijn, test Rijnland de Piekberging Haarlemmermeer in Buitenkaag van donderdag 7 tot en met dinsdag 19 november. We vullen en legen de piekberging één keer om er zeker van te zijn dat alles goed werkt. Volg de test live via de livestreams