Tot dinsdagmiddag was het voor iedereen mogelijk om de kleuren van de Erasmusbrug aan te passen via zijn tablet, smartphone of laptop. Door een gat in de beveiliging was het mogelijk om zonder gebruikersnaam en wachtwoord in te loggen op het systeem dat de lichtkleuren regelt. De gemeente Rotterdam heeft het bedieningssysteem uitgeschakeld en contact opgenomen met de leverancier van het systeem om herhaling te voorkomen.

Het was Daniël Verlaan, techjournalist bij RTL Nieuws, die het nieuws dinsdag naar buiten bracht.

Getipt

Verlaan werd getipt door een man die vorig jaar een reportage bij de regionale omroep Rijnmond zag. Daarin zag hij de beheerder van het lichtsysteem van de Erasmusbrug van grote afstand de lichten bedienen met zijn tablet. De man vond dit dermate interessant dat hij onderzoek deed naar het systeem achter de verlichting.

Via S****n.io, een zoekmachine voor Internet of Things (IoT) toepassingen, vond hij het betreffende systeem. Het bleek kinderlijk eenvoudig: het enige dat hij hoefde te doen, was de zoekterm ‘Rotterdam’ in te voeren. De man vond via deze zoekmachine een dashboard waarmee hij de verlichting van de Erasmusbrug en de Hofpleinfontein kon aanpassen. Hij klopte met zijn bevindingen aan bij Daniël Verlaan, die op zijn beurt op onderzoek ging.

Volgens de techjournalist was het online systeem voor de verlichting te bereiken via een IP-adres en specifieke poort. Als je alleen het IP-adres invoerde, kwam je terecht op een inlogpagina waar je een gebruikersnaam en wachtwoord moest invoeren om verder te gaan. Als je het IP-adres bezocht en de juiste poort erachter plaatste, had je direct toegang tot het systeem.

Erasmusbrug

Eenmaal in het systeem was het mogelijk om de kleur van de verlichting van de Erasmusbrug naar eigen smaak aan te passen. De interface van het dashboard lijkt sterk op dat van een mobiele applicatie. Je selecteert een kleur door op de bijbehorende button te tikken. Ook kon je kiezen uit een aantal scenario’s, zoals de kleuren van de Nederlandse vlag, de Rotterdamse voetbalclub Feyenoord of de regenboog. Zodra je een kleur of scenario kiest, wordt de verlichting van de landschap bepalende brug binnen één seconde aangepast. Om dit te demonstreren liet Verlaan de Erasmusbrug maandagavond korte tijd roze kleuren, gevolgd door de kleuren van de regenboog.

Foto RTL Nieuws

Gemeente Rotterdam

In een verklaring aan RTL Nieuws laat de gemeente Rotterdam weten dat de sierverlichting van de Erasmusbrug alleen bij bijzondere aangelegenheden wordt aangezet, zoals met Koningsdag of de herdenking van het bombardement op de stad op 14 mei 1940. Het stadsbestuur heeft bepaald dat dit maximaal dertig keer per jaar is toegestaan. Dat betekent dat naast de gemeente ook burgers aanvragen kunnen indienen voor een lichtshow.

Medio 2019 is het bedieningssysteem voor de verlichting aangepast. Sindsdien is het met het systeem mogelijk om de verlichting van de Erasmusbrug en Hofpleinfontein aan te passen, of aan en uit te zetten. De gemeente betreurt het dat het voor ongeautoriseerde personen mogelijk was om toegang te verschaffen tot het systeem.

Onderzoek soortgelijke beveiligingssystemen

De gemeente heeft het bedieningssysteem dinsdag uitgeschakeld. Om herhaling in de toekomst te voorkomen, heeft de gemeente contact opgenomen met de leverancier van het systeem. Gezamenlijk bekijken ze welke aanpassingen noodzakelijk zijn zodat dit niet nog een keer gebeuren. Tot die tijd is het bedieningssysteem buiten gebruik gesteld. Als de gemeente instellingen wil wijzigen, dan kan dat voorlopig alleen op locatie. Tot slot onderzoekt de gemeente of soortgelijke beveiligingssystemen binnen haar gemeentegrenzen dezelfde risico’s lopen.

Het aanpassen van de kleuren was gelukkig het enige dat je via het dashboard kon regelen. Het was niet mogelijk om bijvoorbeeld de brug open te zetten of de verkeerslichten te bedienen. Het voorval toont in ieder geval aan hoe belangrijk het is om de beveiliging van IoT-toepassingen serieus te nemen.

Een screenshot van het systeem | Foto RTL Nieuws

Smart City

Volgens Dave Maasland, directeur van cybersecuritybedrijf ESET, laat dit geval duidelijk zien welke impact digitale systemen op de fysieke wereld kunnen hebben. En met de komst van smart city's, een trend waar steeds meer gemeenten volop mee bezig zijn, wordt security nog belangrijker om onze veiligheid en privacy te waarborgen.

“Bijna alle steden zijn bezig met hun zogeheten smart city, maar we moeten begrijpen dat je met al die digitale apparatuur ook nieuwe gevaren creëert. Het lek bij de Erasmusbrug is letterlijk zichtbaar, maar het probleem is veel groter dan we denken. En dit signaal moeten we serieus nemen”, aldus Maasland tegenover RTL Nieuws.