De Cyber Security Raad vindt dat de cyberweerbaarheid van IACS (Industrial Automation & Control Systems) in de vitale infrastructuur beter zou moeten. Organisaties moeten hier ook ondersteuning bij krijgen. Dat stelt de Cyber Security Raad in een advies dat deze week uitkwam.
IACS zijn meet- en regelsystemen voor allerlei basisvoorzieningen. Daarmee zorg je bijvoorbeeld voor goed functioneren van onze sluizen en bruggen, distributie van energie en gas, reiniging van drinkwater of nucleair materiaal.
Ook zorgt het dat treinen op hun bestemming komen, voor goed containervervoer, en goed functionerende liften. De raad vindt dat de samenleving erop moet kunnen vertrouwen dat alles goed en betrouwbaar functioneert.
Vitale infrastructuur
“Daarmee zijn IACS cruciaal voor de veiligheid en continuïteit van de vitale infrastructuur in Nederland.” Dat zegt Claudia de Andrade-de Wit, lid van de raad namens CIO Platform en CIO, director Digital & IT Port of Rotterdam en bestuurslid CIO Platform. “We moeten erop kunnen vertrouwen dat de cyberweerbaarheid van IACS op orde is. Er is voortdurend aandacht nodig om de IACS van de vitale processen op orde te houden of te brengen.”
De conclusie van de raad is mede gebaseerd op onderzoek dat Gartner in opdracht van de raad uitvoerde. Het advies leunt vooral op drie maatregelen. Samen moeten ze zorgen voor meer inzicht, overzicht en robuustheid van de IACS.
Ontwrichting
Het Cybersecuritybeeld Nederland 2019 liet al zien dat maatschappelijke en economisch ontwrichting op de loer ligt vanwege permanente digitale dreigingen. Dit terwijl een verstoring van de vitale infrastructuur grote ontwrichtende gevolgen kan hebben voor de samenleving.
In een recent rapport concludeert de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) dat we hier onvoldoende op zijn voorbereid. Zo blijkt uit onderzoek van de Algemene Rekenkamer dat de digitale weerbaarheid van Nederlandse waterkeringen niet volgens planning loopt. Dit terwijl de overheid hierin een regie- en voorbeeldrol heeft.
Een groot probleem is de toenemende connectiviteit van IACS. Dit komt vooral vanwege gebruik van verouderde systemen. Dit maakt de vitale infrastructuur kwetsbaar voor kwaadwillenden. En dat betekent weer dat de kans op gecoördineerde, gelijktijdige aanvallen op vitale infrastructuur groter wordt. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwt nu al dat zogeheten statelijke actoren proberen om toegang te krijgen tot Nederlandse vitale processen.
Levensduur
Bij de bescherming van onze vitale infrastructuur spelen IACS een essentiële rol. Op dit moment gaat vooral aandacht uit naar ICT. IACS heeft momenteel nauwelijks prioriteit, terwijl de levensduur van IACS vele malen langer is en de systemen voornamelijk worden ingezet om de infrastructuur van Nederland te bedienen.
Omdat IACS vaak indirect gekoppeld zijn aan het internet, kan een eventuele digitale aanval grote gevolgen hebben. Het uitbuiten van kwetsbaarheden in IACS kan zelfs tot grote economische schade en maatschappelijke ontwrichting leiden. De huidige coronacrisis onderstreept de urgentie van cybersecurity. Vitale diensten moeten kunnen blijven functioneren.
Om alle maatregelen uit het advies goed te kunnen doorvoeren benadrukt Claudia de Andrade-de Wit dat het belangrijk is om de samenwerking tussen alle betrokken partijen in de cybersecurity te verstevigen. “De raad ziet graag dat er meer regie op samenwerking gaat komen om onze cyberweerbaarheid te verhogen en wil dat het komende kabinet daarop gaat inzetten in combinatie met de invoering van een meerjarenprogrammering en dekkende financiering.”
Jaren tachtig
Vorig jaar maart bleek uit onderzoek dat de veiligheid van netwerksystemen van voor Nederland vitale waterwerken behoorlijk tekort schiet. Veel systemen stammen nog uit de jaren tachtig en negentig van de vorige eeuw. Cybercriminelen zouden bijvoorbeeld in staat zijn om stukken land onder water te zetten.
Dat blijkt uit onderzoek van de Rekenkamer. Het onderzoek met de naam ‘digitale dijkverzwaring‘ stelt dat Rijkswaterstaat hierin tekortschiet. Bij één van de objecten voerden ethische hackers een test uit om de cybersecuritymaatregelen in de praktijk te toetsen.
