Waternet blijft nog onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT) staan vanwege problemen met de cybersecurity. Het Amsterdamse watercyclusbedrijf heeft volgens de ILT progressie geboekt aan de hand van een verbeterplan, maar er moet ook nog het nodige gebeuren. In de tweede helft van dit jaar wordt de situatie opnieuw bekeken, laat minister Mark Harbers weten in een brief aan de Tweede Kamer.
De vandaag verschenen Kamerbrief gaat over het versterken van de cyberweerbaarheid in de watersector. Mark Harbers ziet cybersecurity als een essentiële randvoorwaarde voor een veilige en steeds meer digitaliserende watersector. Want deze sector is net als andere vitale sectoren kwetsbaar voor cyberincidenten. De minister van Infrastructuur en Waterstaat behandelt vier onderwerpen, waaronder de continuering van het verscherpt toezicht op Waternet.
Nog verhoogd risico bij Waternet
Dit toezicht is in april 2021 ingesteld, nadat de Inspectie Leefomgeving en Transport in een onderzoek vaststelde dat Waternet op zowel bestuurlijk als organisatorisch niveau onvoldoende grip had op de eigen cybersecurity. Dat levert een verhoogd risico op voor de leveringszekerheid en kwaliteit van drinkwater. Vervolgens heeft Waternet een verbeterplan gemaakt en in uitvoering genomen.
Het is echter nog te vroeg om het verscherpt toezicht te beëindigen. De minister schrijft hierover: “Uit de monitoring door de ILT blijkt dat progressie is geboekt, maar tegelijkertijd heeft de ILT geconstateerd dat er nog het nodige moet gebeuren, zowel voor het volledig in control komen op de cybersecurity als voor het verbeteren van doeltreffendheid van besturing. Volgens de ILT is daarmee het eerder geconstateerde verhoogde risico voor leveringszekerheid en kwaliteit van het drinkwater nog steeds aan de orde. In de tweede helft van 2022 zal de ILT opnieuw bekijken of het verscherpt toezicht kan worden afgeschaald.”
Te lang bedrijfsmatige aangelegenheid
In een interview in het meinummer van magazine H2O geeft scheidend directeur Roelof Kruize van Waternet – hij zwaaide in maart na vijftien jaar af – een korte toelichting op de problemen met de bestuurlijke controle op de digitalisering. Waternet moest als gevolg van een groot digitaliseringsprogramma uit 2018 overstappen naar andere systemen voor drinkwaterfacturatie en belastinginning. “Aanvankelijk was het idee om 80 procent van het budget te gebruiken voor de ontwikkelingen van nieuwe functionaliteiten en 20 procent voor onderhoud en beveiliging. Die inschatting bleek niet juist: 20 procent was te weinig. Het klopt dat we dit misschien te lang als puur bedrijfsmatige aangelegenheid hebben beschouwd.”
En op de vraag of het lek nu boven is, antwoordt Kruize: “De inspectie heeft ingestemd met het verbeterplan voor de cybersecurity, en eind vorig jaar stond Waternet aan de goede kant van de streep bij hun meting van de malewaregevoeligheid van waterbedrijven. Ook de facturatie- en inningssystemen zijn aangepast. Dat traject kenden een aantal tegenvallers, zodat de planning moest opschuiven. Daardoor moesten we een deel van de belastingaanslagen van 2021 overhevelen naar dit jaar.”
Versterkingsprogramma bij Rijkswaterstaat
Een ander onderwerp in de brief van Harbers is het versterkingsprogramma voor cybersecurity bij Rijkswaterstaat. De aanleiding hiervoor is het rapport Digitale dijkverzwaring: cybersecurity en vitale waterwerken van de Algemene Rekenkamer uit 2019. De Rekenkamer constateerde destijds dat Rijkswaterstaat al veel werk had verzet om waterkeringen beter te beveiligen, maar dat er ook nog verschillende tekortkomingen waren. Zo bleken veiligheidsmaatregelen niet allemaal uitgevoerd en was crisisdocumentatie verouderd. Rijkswaterstaat heeft volgens de minister de afgelopen jaren hard gewerkt om de aanbevelingen uit het rapport op te volgen.
Daarnaast wordt de cyberweerbaarheid verder verbeterd door het versterkingsprogramma. Een van de maatregelen is de uitbreiding van het Security Operations Centre (SOC), waarin objecten van het hoofdwatersysteem, het hoofdwegennet en het hoofdvaarwegennet worden gemonitord. “Sinds de start van het versterkingsprogramma zijn de belangrijkste objecten geschouwd en zijn de eerste 30 van de circa 60 extra objecten (bovenop de al bestaande aangesloten objecten) aangesloten op het SOC. Het merendeel van de overige aansluitingen zal dit jaar plaatsvinden”, schrijft Harbers.
Diverse projecten vanuit Bestuursakkoord Water
De bewindsman noemt verder nog de uitvoering van de aanvullende afspraken over cyberweerbaarheid uit het Bestuursakkoord Water (BAW+), zoals vastgelegd in 2018. Hierbij lopen er nu diverse projecten rondom vijf thema’s: trainen, testen en oefenen, ketens en risicomanagement, maatregelen en implementatie, monitoring en detectie, en samenwerking en expertise. Met de brief is een actueel projectenoverzicht meegestuurd.
Harbers meldt verder nog dat de minister van Infrastructuur en Waterstaat systeemverantwoordelijk is voor de cybersecurity van een aanzienlijk deel van de vitale sectoren in Nederland. Er wordt momenteel gewerkt aan een IenW Cybersecurity Strategie voor de periode 2022-2026. Daarover wordt de Tweede Kamer in het najaar geïnformeerd.
LEES OOK
H2O Actueel: Waternet onder verscherpt toezicht
H2O Actueel: onderzoek door ILT
H2O Actueel: Rekenkamer over digitale dijkverzwaring
