secundair logo knw 1

In het afgelopen najaar bracht Follow the Money berichten naar buiten over de gebrekkige beveiliging van computersystemen bij Waternet en ontoereikende organisatiestructuur. Waren de problemen te voorzien? En hoe staat de watersector ervoor wat cyberveiligheid betreft? Wat is er nodig om de situatie te verbeteren? Pieter van Gelder, hoogleraar Veilgheidskunde aan de TU Delft, roept als relatieve buitenstaander op tot meer actie.

Door Mirjam Jochemsen

Pieter van Gelder 180 VK 2 Pieter van GelderZijn de digitale beveiligingsproblemen bij Waternet uitzonderlijk?
“De details van de situatie bij Waternet ken ik niet. Maar zeker is dat dit soort dingen overal voorkomt. Bij ziekenhuizen, scholen universiteiten, energiecentrales. Zelfs in de bankenwereld, die we toch wel als een koploper in digitale beveiliging kunnen beschouwen. Veel mensen herinneren zich ook vast nog wel de grote hack bij de universiteit van Maastricht, nu ruim een jaar geleden. De watersector is in dit opzicht zeker niet uniek. Wat niet afdoet aan de urgentie om dit probleem aan te pakken, zeker in deze sector van vitaal belang, met de drinkwatervoorziening en het water(zuiverings)beheer.”

Zijn beveiliging van data en van procesbesturing twee verschillende takken van sport?
“Nee, in essentie gaat het er bij beide om dat we ongewenste gebeurtenissen willen voorkomen en maatregelen willen treffen om ze te voorkomen. Wat dat betreft is er dus ook geen fundamenteel verschil met het managen van veiligheid in bijvoorbeeld het verkeer of in arbeidsomstandigheden. Wel krijgt tegenwoordig de beveiliging van kantoorautomatisering (IT) meer aandacht dan die van operationele processen zoals de bediening van sluizen, gemalen, rioolwaterzuiveringen en drinkwatervoorziening (OT). In die laatste zijn we achtergebleven. Digitale beveiliging kost moeite, tijd en geld, en vermindert het gebruiksgemak. Eerlijk is eerlijk: ook als burger zijn we in de verleiding om een goedkope webcam aan te schaffen, die misschien ‘lek’ is en buitenstaanders makkelijk mee laat kijken. Bovendien denkt een organisatie vaak ‘bij ons is voor hackers niks te halen’. Maar dan vergeet je dat ze wel grote schade kunnen veroorzaken. Met het gijzelen van gegevens of door te dreigen met het verstoren van bedrijfsprocessen hebben hackers bovendien een effectief chantagemiddel in handen om ‘losgeld’ te krijgen.”

Waarom lijkt er niet veel verbetering in onze cyberveiligheid te zitten?
“Daar zijn verschillende oorzaken voor aan te wijzen. In de eerste plaats is de watersector groot, divers en complex. Dat betekent dat de sector een groot ‘aanvalsoppervlak’ heeft dat beschermd moet worden. Bovendien kun je je systemen alleen goed verdedigen door overal en altijd up-to-date te blijven. Je bent nooit klaar. Nieuwe bedreigingen moet je onmiddellijk signaleren en je moet direct maatregelen nemen. Daarvoor heb je deskundigen nodig, multidisciplinaire teams van wateringenieurs en cyberspecialisten. 

Dat brengt ons op de tweede oorzaak: de vraag naar cyberspecialisten is groot maar het aanbod is zeer beperkt, onder meer doordat er veel te weinig geïnvesteerd wordt in onderwijs en onderzoek. Slechts sporadisch komt er bij onze vakgroep een verzoek binnen van de Stowa of de Unie van Waterschappen. Er is behoefte aan veel meer geld, samenwerking, het gezamenlijk ontwikkelen en uitwisselen van kennis en tools. Niet erg sexy misschien, maar wel heel belangrijk.”

Dit is allemaal geen echt nieuws, toch?
“Het komt allemaal langzaam wel van de grond. Er komen de laatste jaren meer juridische regelingen, toezichtstructuren en kennisnetwerken. Zo is er is de Wet beveiliging netwerk- en informatiesystemen (2018), in 2019 gevolgd door een Cyberstrategie van het ministerie van Infrastructuur en Waterstaat. Voor ‘aanbieders van essentiële diensten’ is de Inspectie Leefomgeving en Transport toezichthouder. Verder groeit er langzaam maar zeker meer samenwerking tussen het Nationaal Cyber Security Centrum (NCSC), RWS en de waterschappen. Ook de werken de waterschappen samen op dit terrein in Het Waterschapshuis. Maar het mag, nee moet, allemaal sneller en meer.”

Wat zou uw advies zijn voor de watersector?
“Dat is niet verrassend: investeer in structurele samenwerking en kennisuitwisseling. Op nationaal niveau, en misschien zelfs op internationaal, Europees niveau. De fysieke processen zijn immers overal hetzelfde. De sluisdeuren moeten overal en altijd openen en sluiten tegen de zwaartekracht en de stroming in. Ik voorzie – en bepleit – een trend naar voortgaande uniformering en standaardisering. Daarnaast moet de vrijblijvendheid ervan af. Een collega van me keek naar de autowereld: daar heb je de APK-keuring, elk jaar, volgens vaste normen. Zonder keuring mag je de weg niet op. Zoiets missen we in de cyberwereld. Toetsingen gebeuren ad hoc en steekproefsgewijs. Dat kan echt niet meer.”


MEER INFORMATIE
Het Waterschapshuis over informatieveiligheid 
H2O Premium: Cyberveiligheid is nu corebusiness
H2O Actueel over digitale lekken Waternet

Typ je reactie...
Je bent niet ingelogd
Of reageer als gast
Loading comment... The comment will be refreshed after 00:00.

Laat je reactie achter en start de discussie...

h2ologoprimair    PODIUM

Podium is een platform voor opinies, blogs, het redactioneel en door waterprofessionals geschreven artikelen. Deze bijdragen (UITGELICHT) zijn voor rekening van de auteurs.
H2O heeft voor Uitgelicht geen bemoeienis met de inhoud, behoudens de beoordeling of de bijdrage in aanmerking komt voor plaatsing. De artikelen mogen geen commerciële grondslag hebben.

(advertentie)

Laatste reacties op onze artikelen

wat een briljante toepassing: nu nog de vraag hoe specifiek die taal is of kan worden...
Voor mij is het onbegrijpelijk dat de leiding van deze bedrijven niet zou begrijpen wat ze doen. Is het dan toch onkunde of wentelen ze de kosten gemakkelijk af op de overheid?
Breng het toezicht op alle lozende bedrijven terug onder het gezag van de waterdiensten als Rijkswaterstaat en de Waterschappen. Daar zit de expertise op dit gebied. We staan met de waterparagraaf voor een enorme opgave, en de uitdaging is beter op zijn plaats bij de waterdiensten.
@Fred SandersIk denk dat wetenschappers te veel willen onderzoeken om hun studenten lesstof te verschaffen en moet daarbij steeds denken aan de Eierlandse dam en prof. Marcel Stive. 25 jaar geleden wist hij al dat er vóór en áchter deze 850 meter lange strekdam begrijpelijke stromingsproblemen waren, die stromingsreacties zijn er nu nog. kustverdediging.nl 
@JacobsTja, wat zal ik zeggen, ik mis in Jos zijn verhaal over de de grote hoeveelheid Escherichia coli bacterie die in het grondwater zit, zelf al op meer dan 30 meter diepte, en ook mis ik de hoeveelheid ijzer en mangaan die in het grondwater zit, en dit alles kost veel om het eruit te halen, tot op heden wordt mijn grondwater afgekeurd en dat al tot 4 keer toe.
Dus, bezint eer gij begint, en complexe filter systemen zijn nu niet bepaald goedkoop in aanschaf maar vragen ook onderhoud. En laten we het een hebben over die andere stofjes, zoals medicijnen, ook deze dringen diep door in de grond, en deze zijn niet zo gemakkelijk eruit te halen, persoonlijk ben ik niet zo blij met een chemokeur van een ander... Mvg John