De veiligheid van netwerksystemen van voor Nederland vitale waterwerken schiet behoorlijk tekort. Veel systemen stammen nog uit de jaren tachtig en negentig van de vorige eeuw. Cybercriminelen zouden bijvoorbeeld in staat zijn om stukken land onder water te zetten.
Dat blijkt uit onderzoek van de Rekenkamer. Het onderzoek met de naam ‘digitale dijkverzwaring‘ stelt dat Rijkswaterstaat hierin tekortschiet. Bij één van de objecten voerden ethische hackers een test uit om de cybersecuritymaatregelen in de praktijk te toetsen.
Rijkswaterstaat heeft de afgelopen jaren veel noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn volgens de Rekenkamer niet allemaal uitgevoerd. Crisisdocumentatie is verouderd en er worden geen volwaardige pentesten uitgevoerd.
Verder blijkt dat nog niet alle vitale waterwerken rechtstreeks zijn aangesloten op het Security Operations Center (SOC) van Rijkswaterstaat. Hierdoor bestaat het risico dat RWS een cyberaanval niet of te laat detecteert.
Aanbevelingen
De Rekenkamer beveelt de minister ook aan om het actuele dreigingsniveau te onderzoeken. Eventueel zijn extra mensen en middelen nodig. Ook is het voor een snelle en adequate reactie op een crisissituatie van essentieel belang dat informatie up-to-date is. Pentesten zouden integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken. Medewerkers van het SOC moeten ook beter worden gescreend.
De processen binnen vitale sectoren zijn sterk gedigitaliseerd. Dat maakt ze kwetsbaar voor cyberdreigingen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) signaleert in zijn recentste jaarverslag in toenemende mate activiteiten die digitale sabotage van vitale infrastructuur in Europa mogelijk maken.
De dreiging van in Nederland actieve beroepscriminelen en buitenlandse mogendheden (statelijke actoren) neemt volgens het Nationaal Cyber Security Center (NCSC) toe. De aanvallen zijn steeds geavanceerder en complexer. Het NCSC ziet sabotage en verstoring door statelijke actoren als de grootste dreiging voor de nationale veiligheid.
Methoden
Voor het beantwoorden van de onderzoeksvragen bestudeerden we in de periode mei tot en met oktober 2018 interne documenten bij het Ministerie van IenW en Rijkswaterstaat, en voerden we gesprekken met betrokkenen. Hierbij keken we naar opzet en bestaan van maatregelen.
Minister
De Rekenkamer keek vooral naar de manier waarop de minister van IenW zich voorbereidt op cyberaanvallen op de vitale waterwerken. Welke instrumenten heeft beheerder Rijkswaterstaat om cyberdreigingen en -aanvallen te detecteren en zich te beschermen tegen cyberdreigingen voor de waterkeringen? In hoeverre werken de instrumenten om cyberdreigingen en -aanvallen te detecteren ook echt? En bieden ze voldoende bescherming?
De onderzoekers bekeken ook welke scenario´s klaar liggen als zich een cyberaanval voordoet. Met welke maatregelen kan Rijkswaterstaat voorkomen dat andere vitale sectoren ook geraakt worden bij een aanval (cascade-effecten)? En hoe werkt de respons bij detectie van kwetsbaarheden en incidenten bij Rijkswaterstaat?
