Niet waterdicht. Zo omschrijft de Algemene Rekenkamer de cybersecurity bij vitale waterwerken als bruggen en sluizen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet maar nog niet alle veiligheidsmaatregelen zijn uitgevoerd, is de conclusie na onderzoek. Het risico bestaat dat een cyberaanval niet of te laat wordt gedetecteerd. Minister Cora van Nieuwenhuizen zegt in een reactie de aanbevelingen van de Rekenkamer op te pakken.
De Algemene Rekenkamer heeft vanochtend het rapport Digitale dijkverzwaring: cybersecurity en vitale waterwerken openbaar gemaakt, na eerst de leden van de Tweede Kamercommissie voor Infrastructuur en Waterstaat vertrouwelijk te hebben gebriefd. Het onderzoek is het eerste van een aantal onderzoeken naar de bescherming van vitale sectoren. Het keren en beheren van water is aangemerkt als vitale sector omdat uitval kan leiden tot maatschappelijke ontwrichting en andere vitale sectoren raakt, zoals de distributie van elektriciteit. Volgens de Rekenkamer staat dan de fysieke veiligheid op het spel, omdat het in de strijd met water kan gaan om leven of dood.
Kwetsbaarheid vitale waterwerken toegenomen
De Rekenkamer heeft gekeken naar de beveiliging van de zogeheten vitale waterwerken: bruggen, sluizen, tunnels en waterkeringen onder beheer van Rijkswaterstaat die als cruciaal worden gezien. Deze waterwerken maken voor het aansturen van processen gebruik van automatiseringssystemen die vaak stammen uit de jaren tachtig en negentig van de vorige eeuw. De systemen zijn in de loop der jaren gekoppeld aan grotere computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Hierdoor is de kwetsbaarheid voor cybercriminaliteit toegenomen.
Het moderniseren van de systemen is volgens Rijkswaterstaat technisch uitdagend en kostbaar. Daarom richt de aandacht zich vooral op detectie van cyberaanvallen en een adequate reactie hierop. De Algemene Rekenkamer trekt deze hoofdconclusie: “We zien dat Rijkswaterstaat een hoop werk heeft verzet. Echter, zowel op het gebied van detectie als op die van respons moet Rijkswaterstaat, in opdracht van de minister, nog stappen zetten om aan de eigen doelstellingen voor cybersecurity te voldoen.”
Onderzoek nodig naar dreigingsniveau
In een tegelijkertijd verschenen reactie zegt minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat het hiermee eens te zien. “Ik onderschrijf uw hoofdconclusie dat Rijkswaterstaat de afgelopen jaren veel werk heeft verzet om alle objecten (meer dan vierhonderd, met ieder een unieke IT-infrastructuur) integraal te beveiligen, waarbij u tegelijkertijd stelt dat Rijkswaterstaat nog stappen moet zetten om aan de eigen doelstellingen voor cybersecurity te voldoen. Uw conclusies en aanbevelingen zie ik als een ondersteuning van de reeds door mij in gang gezette strategie om de cybersecurity van IenW verder te verbeteren.”
Wat is ervoor nodig om de sector voldoende weerbaar te maken tegen cyberaanvallen? Tijdens het onderzoek was er nog geen inzicht in het precieze niveau van dreiging waarmee vitale waterwerken worden geconfronteerd. De Rekenkamer beveelt aan om een onderzoek uit te voeren naar het actuele feitelijke dreigingsniveau. Dat maakt een betere inschatting van de benodigde inzet van mensen en middelen mogelijk. Van Nieuwenhuizen laat weten deze aanbeveling te onderschrijven.
Inhaalslag maar nog niet alle doelen gehaald
De Rekenkamer baseert haar hoofdconclusie op drie deelconclusies. De eerste betreft het programma Beveiligd Werken Rijkswaterstaat. Hiermee is een inhaalslag gemaakt op het gebied van cybersecurity. Bij de uitvoering van het programma heeft Rijkswaterstaat veel werk verzet, maar nog niet alle doelen zijn behaald. Zo is cyberveiligheid nog geen volwaardig onderdeel van reguliere inspecties.
Ongeveer 60 procent van de maatregelen was al begin 2018 uitgevoerd, maar Rijkswaterstaat ziet volgens het rapport onvoldoende toe op de uitvoering van het resterende deel en heeft geen actueel overzicht van de overgebleven maatregelen. De minister schrijft dit beeld te herkennen, maar dat Rijkswaterstaat intussen een flinke inhaalslag heeft gemaakt. Er is nu wel een compleet overzicht van de nog te zetten stappen beschikbaar. De prioriteiten zullen worden bepaald aan de hand van de resultaten van de aanscherping van het actuele dreigingsniveau.
Nog niet overal directe detectie
De tweede deelconclusie gaat over de Security Operations Center (SOC), een specialistisch team dat in het leven is geroepen voor de detectie van en de reactie op cyberaanvallen. De uitvoering hiervan is nog niet voltooid, aldus de Algemene Rekenkamer. Een probleem is dat het SOC naar eigen zeggen onvoldoende kennis en capaciteit heeft om de detectie verder te verfijnen en uit te breiden.
De Rekenkamer signaleert deze tekortkoming: “De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 nog niet gerealiseerd. Hierdoor bestaat het risico dat Rijkswaterstaat een cyberaanval bij een vitaal waterwerk niet of te laat detecteert.” De belangrijkste reden hiervoor is dat sommige regio’s terughoudend zijn bij het uitvoeren van de maatregelen. Zij zien dit bijvoorbeeld als een risico en het SOC kan het nemen van maatregelen niet afdwingen.
‘Het risico bestaat dat Rijkswaterstaat een cyberaanval niet of te laat detecteert’
De Rekenkamer komt met de aanbeveling om de maatregelen te voltooien die directe detectie van cyberaanvallen mogelijk maken en de monitoring via het SOC uit te breiden. Het antwoord van de minister: “In welke mate versterking nodig is, zal afhankelijk zijn van de actualisatie van het dreigingsniveau. Deze geactualiseerde dreigingsinformatie zal meegenomen worden in de IenW-cybersecuritystrategie waaruit de prioritering van cybersecuritymaatregelen, waaronder versterking van het SOC, plaatsvindt.”
Hierbij plaatst de Algemene Rekenkamer op haar beurt weer een kanttekening. “Alhoewel dit logisch lijkt, willen wij de minister erop wijzen dat het ook gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. We doelen dan bijvoorbeeld op het aansluiten van de vitale waterwerken op het SOC zodat er meer diepgaand en actueel zicht op deze waterwerken is.”
Geen crisisscenario voor cyberaanval
Het crisismodel kan beter, is de derde deelconclusie van de Algemene Rekenkamer. Er is geen specifiek scenario voor een crisis die wordt veroorzaakt door een cyberaanval. Ook ontbreekt inzicht in de effecten van een cybercrisis op andere sectoren, de zogeheten cascade-effecten. Tevens is de crisisdocumentatie op onderdelen verouderd.
De Rekenkamer vindt dat penetratietesten met een bewuste hack, kortweg pentesten, een integraal onderdeel moeten zijn van de cyberveiligheidsmaatregelen bij vitale waterwerken. Dit blijkt nog niet het geval. “Rijkswaterstaat voert voor de vitale waterwerken nauwelijks pentesten uit omdat dit naar eigen zeggen te risicovol is. Daarmee ontbreekt het de organisatie aan informatie over hoe weerbaar de vitale waterwerken in de praktijk zijn tegen cyberaanvallen.”
Van Nieuwenhuizen meldt dat onderzocht zal worden wat de risico’s en mogelijkheden zijn voor het invoeren van pentesten bij bestaande systemen. “Van belang is dat bij nieuwe aanleg en renovatieprojecten altijd pentesten worden uitgevoerd. Hiervoor wordt een voorziening ingericht.” Wat betreft de noodzaak om cascade-effecten inzichtelijk te krijgen, schrijft de bewindsvrouw dat dit is opgenomen in het in oktober afgesloten Bestuursakkoord Water.
Test met ethische hackers
De Algemene Rekenkamer heeft tijdens het onderzoek een kwetsbaarheidstest laten uitvoeren bij een waterwerk dat is aangesloten bij het SOC. Hiervoor zijn ethische hackers ingezet. Zij konden tweemaal fysiek bij het object binnendringen door het personeel te misleiden. De eerste keer kregen de testers toegang tot de controlekamer waar ze alleen werden gelaten en de tweede keer bemachtigden ze een tijdelijke toegangspas voor de hele locatie.
Bij het tweede onderdeel van de test was de beveiliging wel op orde. Toen de hackers vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat, had het SOC dit meteen in de gaten. Hierbij hebben zij zich op verschillende manieren gedragen, variërend van zeer verdekt tot vrij opvallend. Het SOC detecteerde elke poging om op het netwerk in te breken.
MEER INFORMATIE
Bericht van Algemene Rekenkamer
Onderzoeksrapport Digitale dijkverzwaring
Reactie van minister Van Nieuwenhuizen
Inzet van SOC bij DDoS-aanval (januari 2018)
Eerder bericht over cybersecurity in watersector
In het magazine H2O van februari 2018 staat een artikel over cyberveiligheid onder de titel Hoe kwetsbaar is de watersector?
