De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.
Verzwegen hack test
Naar aanleiding van een verzwegen penetratie test (ethische hack test) startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratie test die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentest rapport of uitkomsten van andere penetratie testen.
Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratie test informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratie test had verzwegen. Dezelfde dag vroeg de Inspectie het pentest rapport op en ontving die de volgende dag.
Onvoldoende grip
Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.
Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwater levering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.
Bestuurlijke structuur ontbreekt
Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwater taak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwater taak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.
"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.
Bron: ftm.nl, tweedekamer.nl, security.nl
Meer info over ‘hacking’?
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
Gekraakt, "Het is alsof we bij de criminelen aan de vergadertafel zaten"
Meer dan 20 miljoen chatberichten van criminelen zijn sinds 1 april live meegelezen door de Nederlandse politie. ‘Het is alsof we bij de criminelen aan de vergadertafel zaten’, zegt Jannine van den Berg, politiechef van de Landelijke Eenheid.
Ethical Hacker PH-CybSec: "Mijn meest dankbare Hack"
Etisch hacker PH-SybSec antwoord meestal met een knipoog en een brede lach, als iemand aan hem vraagt: “Wat doe jij nu eigenlijk precies voor werk?” Eigenlijk ben ik een “legale crimineel!” Ik denk als een boef, maar met het doel om mensen en bedrijven te helpen hun computerbeveiliging te verbeteren. Hacken is per definitie illegaal, mits je vooraf duidelijke toestemming hebt om een hack uit te voeren en is overeengekomen wat er wel en niet bij het onderzoek hoort. Dat heet White-Hat hacken.
Verkeerslichtsysteem door ernstige kwetsbaarheid te hacken in meer dan 70 landen
Een ernstig beveiligingslek in een verkeerslicht controle systeem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.
Hackers collectief Anonymous terug?
Enkele hackeraanvallen gelinkt aan het overlijden van George Floyd en de protesten in Amerika, doen geruchten opwaaien dat het beruchte hackers collectief Anonymous opnieuw actief is.
Inval en aanhouding voor diefstal cryptogeld
De politie heeft twee mannen opgepakt op verdenking van diefstal van grote sommen cryptogeld. Het duo zou in totaal meer voor meer dan 60.000 euro hebben gestolen van een bedrijf uit China. De hoofdverdachte is een 33-jarige man uit Amsterdam, zijn handlanger is een 28-jarige man uit Enkhuizen. Beiden zijn woensdagochtend 3 juni bij invallen in hun woningen gearresteerd.
Sterke stijging hacking in België
Het aantal door de politiediensten geregistreerde feiten inzake hacking is de afgelopen jaren sterk gestegen, van 2.174 in 2015 tot 3.628 in 2018. In het eerste semester van 2019 werden er opnieuw 1.889 feiten geregistreerd. Dat blijkt uit het antwoord van federaal minister van Binnenlandse Zaken Pieter De Crem (CD&V) op een schriftelijke vraag van Kris Verduyckt (sp.a).