Tunnels, bruggen en sluizen zijn onvoldoende beveiligd tegen cyberaanvallen. Door besturing op afstand ontstaan risico’s doordat die systemen daar aanvankelijk niet voor ontwikkeld zijn. Ook is meer mankracht nodig om de waterwerken te beveiligen. De minister moet stappen zetten om aan de eigen cybersecurity-doelstellingen te voldoen.
Dat staat in een kritisch rapport van de Algemene Rekenkamer. ‘Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd’, schrijft de Rekenkamer in een begeleidend persbericht over het rapport.
De Rekenkamer benadrukt dat vitale waterwerken vaak functioneren op automatiseringssystemen die stammen uit de jaren tachtig en negentig van de vorige eeuw. ‘Deze zijn in de loop der jaren gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen’, staat in een toelichting.
Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.
Hackers dringen controlekamer binnen
Dat is nodig want tijdens kwetsbaarheidstests lukte het ethische hackers om een object fysiek binnen te dringen en toegang te krijgen tot de controlekamer. De Rekenkamer voegt toe dat de ‘aanvallers’ direct zijn opgemerkt door het security operations center (soc) toen ze vanaf het terrein een laptop aansloten op het ict-netwerk van Rijkswaterstaat.
Er is kritiek op Rijkswaterstaat: Uit het onderzoek blijkt dat zij de afgelopen jaren van alle tunnels, bruggen en sluizen hebben vastgesteld welke cyberveiligheidsmaatregelen moeten worden genomen. De Rekenkamer: ‘Een groot deel van die maatregelen (ongeveer zestig procent) was begin 2018 ook al uitgevoerd, maar Rijkswaterstaat ziet onvoldoende toe op de uitvoering van het resterend deel. Bovendien heeft het geen actueel overzicht van de overgebleven maatregelen.’
Ook maakt cybersecurity nog geen volwaardig onderdeel uit van reguliere inspecties en dwingt Rijkswaterstaat de uitvoering van openstaande maatregelen niet af bij de eigen regionale organisatieonderdelen, stellen de onderzoekers.
Geen scenario voor cyberaanvallen
Uit het onderzoek blijkt ook dat nog niet alle zogenoemde vitale waterwerken rechtstreeks zijn aangesloten op het soc van Rijkswaterstaat. ‘De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren, was in het najaar van 2018 daarmee nog niet gerealiseerd. Hierdoor bestaat het risico dat RWS een cyberaanval niet of te laat detecteert.’
Om snel en adequaat op een crisissituatie te kunnen reageren, moet die informatie up-to-date zijn, waarschuwt de Rekenkamer. Er ligt geen specifiek scenario klaar voor een crisis als gevolg van een cyberaanval en penetratie- of ‘pentesten’ worden nauwelijks uitgevoerd, terwijl pentesten integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken, aldus de Algemene Rekenkamer.
De minister aan zet
De Algemene Rekenkamer beveelt de minister van Infrastructuur en Waterstaat aan om het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Op het moment van onderzoek was niet bekend hoe groot de dreiging van een cyberaanval bij waterwerken is.
Daarnaast vindt de Algemene Rekenkamer dat Rijkswaterstaat de resterende veiligheidsmaatregelen moet uitvoeren, waaronder het aansluiten van alle vitale waterwerken op het soc om rechtstreekse monitoring mogelijk te maken.
Verder zou moeten worden bezien of medewerkers van het soc beter moeten worden gescreend. Nu wordt medewerkers alleen gevraagd een Verklaring Omtrent Gedrag (VOG) te overleggen en het is de vraag of dat voldoende is om te werken met gevoelige gegevens over cyberdreigingen. De minister reageert in reactie op het onderzoek dat ze de conclusies dat ze de conclusies onderschrijft en de aanbevelingen van de Algemene Rekenkamer overneemt. Het rapport maakt deel uit van een reeks onderzoeken naar informatiebeveiliging en cyberveiligheid bij de rijksoverheid.