De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.
Verzwegen hack test
Naar aanleiding van een verzwegen penetratie test (ethische hack test) startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratie test die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentest rapport of uitkomsten van andere penetratie testen.
Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratie test informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratie test had verzwegen. Dezelfde dag vroeg de Inspectie het pentest rapport op en ontving die de volgende dag.
Onvoldoende grip
Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.
Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwater levering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.
Bestuurlijke structuur ontbreekt
Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwater taak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwater taak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.
"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.
Bron: ftm.nl, tweedekamer.nl, security.nl
Meer info over ‘hacking’?
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
€ 100.000 | Hack!
Een filmpje waarin te zien is hoe Nederlandse cybercriminelen €100.000 euro verdienen, is gemaakt door Digibewust, een programma dat wordt ondersteund door het ministerie van Economische Zaken, het Ministerie van Landbouw en Innovatie, de Europese Commissie en diverse bedrijven.
Celstraf en taakstraf voor inbreken op accounts Lil' Kleine
Een 22-jarige man uit Alblasserdam en een 21-jarige man uit Boskoop zijn maandag door de rechtbank in Dordrecht veroordeeld tot een taakstraf van 160 uur voor het hacken van onder meer het Twitter- en Instagram-profiel van rapper Lil' Kleine.
Hackers dringen door tot netwerk softwarebedrijf Citrix
Het Amerikaanse softwarebedrijf Citrix is getroffen door een hack, waarbij 'internationale cybercriminelen' toegang kregen tot het netwerk, maakt Citrix op maandag bekend.
Twee hackers aangehouden
De politie heeft dinsdag 5 maart een 20-jarige man uit Markelo en een 21-jarige man uit Lochem aangehouden. De twee mannen worden verdacht van het hacken van het leerlingenvolgsysteem van een school in Apeldoorn.
Cel en taakstraffen geëist tegen hackers
Hackers zijn ze. Maar aardige hackers. Tenminste, zo willen een 20-jarige Hagenaar en een 29-jarige Leidenaar zichzelf voor de rechter graag neerzetten. Alleen doemt uit hun strafdossiers – het gaat om twee afzonderlijke zaken – een héél ander beeld op. Zo chatte de Hagenaar: “I only wanna make money off of this shit”. Vandaag (21-02-19) stonden zij in het beklaagdenbankje. En hoorden zij een cel- en taakstraffen tegen zich eisen.
Gevangenisstraffen voor oplichting via gehackte Marktplaats accounts
Twee mannen die via gehackte Marktplaats accounts zich aan grootschalige oplichting schuldig maakten zijn veroordeeld tot gevangenisstraffen van respectievelijk 21 en 24 maanden. De verdachten wisten op verschillende manieren toegang tot ruim tien Marktplaats accounts te krijgen.