De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.
Verzwegen hack test
Naar aanleiding van een verzwegen penetratie test (ethische hack test) startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratie test die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentest rapport of uitkomsten van andere penetratie testen.
Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratie test informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratie test had verzwegen. Dezelfde dag vroeg de Inspectie het pentest rapport op en ontving die de volgende dag.
Onvoldoende grip
Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.
Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwater levering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.
Bestuurlijke structuur ontbreekt
Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwater taak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwater taak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.
"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.
Bron: ftm.nl, tweedekamer.nl, security.nl
Meer info over ‘hacking’?
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
Hack The Box: Hoe een n00b zijn invite code kreeg
Een tijd geleden kreeg ik van een goede vriend van mij de tip om de documentaire 'Rats & Slaves' van NPO3 te bekijken. Kort samengevat gaat de documentaire over geïnfecteerde/gehackte computers van nietsvermoedende slachtoffers en hoe deze gehackte computers verkocht worden op het Darkweb door zogeheten 'RATters' (RAT staat voor Remote Acces Trojan). Deze gehackte computers worden vervolgens gebruikt om mensen te bespioneren voor de fun of om mensen af te persen (Ik raad je echt aan deze documentaire te kijken!).
AIVD en MIVD: VPN-gat misbruikt door staatshackers
De grote kwetsbaarheid in VPN-software van Pulse Secure, wat vorig jaar wereldwijde impact had, is niet alleen door cybercriminelen benut. Ook statelijke actoren hebben nuttig gebruik gemaakt van het beveiligignsgat. De Nederlandse inlichtingendiensten AIVD en MIVD hebben dit gesignaleerd, meldt minister Ferd Grapperhaus van Justitie en Veiligheid nu aan de Kamer.
De eenvoud van het hacken van een account en hoe jij je ertegen kunt beveiligen
De laatste tijd wordt er in de media steeds meer aandacht besteed aan bedrijven die slachtoffer zijn geworden van cyberaanvallen. In sommige van deze cyberaanvallen wordt ook data ontvreemd door de hacker en worden deze gegevens doorverkocht of publiekelijk kenbaar gemaakt. Doordat de gestolen data in veel gevallen ook gebruikersnamen met wachtwoorden bevat, wordt het steeds eenvoudiger om accounts te kraken.
WhatsApp populair dus ook intressant voor Hackers
WhatsApp lijkt goed beveiligd, maar hackers kunnen helaas nog redelijk makkelijk inbreken in je WhatsApp-account. Gelukkig kun je een extra beveiligingslaag toevoegen aan je WhatsApp. Zo werkt het!
Citrix-Lek en mogelijk 29 datalekken
Bedrijven die zijn geraakt door het Citrix-beveiligingslek, moeten oppassen dat hun website niet wordt misbruikt door hackers. Daarvoor waarschuwt het Nederlands Security Meldpunt. Hackers zijn na een hack van de Citrix-servers hoogstwaarschijnlijk in staat om de beveiligde verbinding van de website van het bedrijf over te nemen.
Hackers probeerden computersysteem Amphia Ziekenhuis in Breda binnen te komen
BREDA - Hackers hebben geprobeerd het computersysteem van het Amphia Ziekenhuis in Breda binnen te komen. Dit werd geprobeerd via het Citrix-systeem. Onlangs bleek dit systeem kwetsbaar te zijn voor aanvallen. Meerdere Brabantse gemeenten en zorginstellingen gebruiken Citrix, sommigen hebben het vanwege het risico op aanvallen preventief uitgeschakeld. Brabant Water besloot hetzelfde te doen na vragen van Omroep Brabant.