De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.
Verzwegen hack test
Naar aanleiding van een verzwegen penetratie test (ethische hack test) startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratie test die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentest rapport of uitkomsten van andere penetratie testen.
Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratie test informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratie test had verzwegen. Dezelfde dag vroeg de Inspectie het pentest rapport op en ontving die de volgende dag.
Onvoldoende grip
Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.
Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwater levering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.
Bestuurlijke structuur ontbreekt
Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwater taak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwater taak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.
"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.
Bron: ftm.nl, tweedekamer.nl, security.nl
Meer info over ‘hacking’?
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
Hackers zetten "achterdeurtje" open bij 'nieuwe update' van monitor en beheer software
Hackers zijn erin geslaagd om officiële software-updates van it-beheersoftware 'SolarWinds' van een backdoor te voorzien en zo overheden en bedrijven wereldwijd aan te vallen. Dat hebben SolarWinds, Microsoft, securitybedrijf FireEye en het Amerikaans CISA bekendgemaakt. De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.
Geen Zero-Day Exploits of onbekende technieken gestolen bij 'FireEye'
Een zeer geavanceerde door de staat gesponsorde hacker(s) heeft 'FireEye Red Team-tools' gestolen.
Met een investering van €170,- een Tesla Model X stelen ter waarde van €89.000,-
Onderzoekers van COSIC, een onderzoeksgroep van KU Leuven en imec, hebben ernstige beveiligingsproblemen ontdekt in de draadloze autosleutel van de 'Tesla Model X'.
De gevaren van IoT zichtbaar in Rotterdam
Tot dinsdagmiddag was het voor iedereen mogelijk om de kleuren van de Erasmusbrug aan te passen via zijn tablet, smartphone of laptop. Door een gat in de beveiliging was het mogelijk om zonder gebruikersnaam en wachtwoord in te loggen op het systeem dat de lichtkleuren regelt. De gemeente Rotterdam heeft het bedieningssysteem uitgeschakeld en contact opgenomen met de leverancier van het systeem om herhaling te voorkomen.
Tweede Kamerverkiezingen 2021 met behulp van "niet" hackbaar OSV systeem?
De Kiesraad kiest eieren voor zijn geld. Bij de volgende Tweede Kamerverkiezingen, die in maart 2021 plaatsvinden, gaat ze extra controles uitvoeren om de uitslagen vast te stellen. De 'Ondersteunende Software Verkiezingen' (OSV) is hiervoor ontwikkeld en veilig bevonden, maar de Stichting 'Tegen Hackbare Verkiezingen' waarschuwt voor fraude en manipulat
Berichten lezen voordat ze versleuteld werden
Politie en justitie slaagden er eerder dit jaar in om EncroChat te kraken. Daarbij maakten de opsporingsdiensten meer dan 20 miljoen berichten waarin criminele activiteiten uit de doeken worden gedaan buit. Nu blijkt dat de politie begin 2019 al infiltreerde in de beveiligde chatdienst. Daarbij wist de handhavingsinstantie de hand te leggen op foto’s, notities en financiële gegevens van de chatdienst.