Sluizen, bruggen en waterkeringen van Rijkswaterstaat zijn nog niet allemaal voldoende beveiligd tegen cyberaanvallen. Het is voor hackers nog steeds mogelijk om zich bij bepaalde vitale waterwerken digitaal toegang te verschaffen zonder dat dat tijdig wordt opgemerkt. Dat concludeert de Algemene Rekenkamer in een rapport.
Test
Voor het rapport Digitale Dijkverzwaring deed de Rekenkamer zelf een kwetsbaarheidstest: bij twee vitale waterbeschermingsobjecten probeerden ethische hackers toegang te krijgen tot de locatie en daarna tot de systemen. Ze gebruikten social engineering, het misleiden van personeel om zich fysiek toegang te verschaffen en daarna keken ze of het mogelijk was om toegang te krijgen tot het computersysteem. In beide gevallen lukte het eerste, maar het tweede niet: bij één object werd de illegale toegangspoging tot het systeem opgemerkt door het Security Operations Centre (SOC) van Rijkswaterstaat. ‘Bij de andere hebben we niet geprobeerd om toegang tot het netwerk te krijgen, omdat we wisten dat het betreffende complex nog niet is aangesloten bij het SOC,’ vertelt Rekenkamer-woordvoerder Roel Geeraedts. 'Niemand had dus geweten dat er een beveiligingsprobleem was.'
Incidenten
De Rekenkamer concludeert dat Rijkswaterstaat nog niet de cyberbeveiligingsdoelen heeft gehaald die ze zelf heeft opgesteld. Na een aantal incidenten, zoals de problemen met de bediening van de Kethelbrug, en het hacken van een sluis in Veere in 2010 startte de rijksoverheid in 2013 het programma Beveiligd Werken Rijkswaterstaat (BWR). Een groot deel van de doelen en beveiligingsmaatregelen in dat programma zijn inmiddels behaald, maar volgens de Rekenkamer zijn ongeveer 40 procent van die beveiligingsmaatregelen en doelen nog niet gerealiseerd.
Overgedragen
De redenen daarvoor zijn verschillend: soms is het te moeilijk en kostbaar om de soms zeer oude computersystemen te voorzien van moderne beveiligings- en toegangsmaatregelen, of wordt er gewacht tot ander werk aan een waterkering of brug is uitgevoerd. Maar inmiddels is het BWR-programma gestopt, en is de uitvoering van de maatregelen overgedragen aan de regio’s van Rijkswaterstaat. Daarmee is de voortgang aanzienlijk vertraagd: er is nauwelijks centraal en actueel overzicht meer op de uitvoering ervan, en ontbreekt het aan mensen, middelen en financiering.
Screening
Daarnaast maakt cybersecurity nog geen volwaardig onderdeel uit van reguliere inspecties van waterwerken, en wordt van de mensen die bij het Security Operations Centre werken alleen gevraagd om een Verklaring Omtrent Gedrag (VOG). Volgens de Rekenkamer is daarvoor een meer uitgebreide screening nodig.
Onderzoeken
De Rekenkamer beveelt de minister van I&W aan om het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Rijkswaterstaat moet de resterende veiligheidsmaatregelen uitvoeren, zoals een aansluiting van alle vitale waterwerken op het SOC zodat ze rechtstreeks gemonitord kunnen worden. Minister Cora van Nieuwenhuizen onderschrijft de conclusies, en heeft inmiddels gezegd de aanbevelingen over te nemen.
Bron: Ministerie, Binnenlands bestuur, Rekenkamer
Reactie plaatsen
Reacties