image

Kamervragen over slechte digitale beveiliging Waternet

woensdag 23 september 2020, 13:06 door Redactie, 15 reacties

In de Tweede Kamer zijn door Corrie van Brenk (50PLUS) vragen gesteld over de digitale beveiliging van Waternet, het waterschap voor Amsterdam en omstreken. Aanleiding voor de Kamervragen is een publicatie van Follow The Money waaruit blijkt dat het met de beveiliging van computersystemen bij Waternet erbarmelijk is gesteld. Waternet zou al jaren waarschuwingen over de onveiligheid van zijn digitale omgeving negeren. Dat stelt FTM op basis van interne documenten. Volgens de bronnen is het een kwestie van tijd voordat het ‘finaal fout’ gaat.

Waternet begon in 2010 aan een grote operatie om processen en systemen vergaand te digitaliseren. In de praktijk blijkt dat veel zaken niet goed zijn geregeld, dat er soms datalekken zijn en dat er met verouderde computers wordt gewerkt. Ook zouden er bij Waternet nog computers zijn die op Windows 7 draaien. Verder is de toegang tot het netwerk slecht beveiligd en is de systeemarchitectuur niet op orde. De situatie zou niet verbeterd zijn sinds de werknemers vanwege corona vanuit huis werken omdat er thuis ook op privé-computers wordt gewerkt die niet allemaal goed beveiligd zijn.

Hoewel Waternet zijn werknemers goed beveiligde iPhones ter beschikking stelt, zijn er volgens interne bronnen al langer honderden mensen die liever hun eigen smartphone gebruiken. Deze worden niet beveiligd of beheerd door Waternet.

Als maatregel werd in mei het updatebeleid aangescherpt, maar dit hielp niet veel omdat er veel werknemers waren die de updates niet uitvoerden of die telefoons hebben waar zelfs geen updates meer voor te krijgen zijn. Daarom werd het updatebeleid binnen een paar dagen door het management teruggedraaid, ondanks uitdrukkelijke bezwaren van de security officers, aldus FTM.

Reacties (15)
23-09-2020, 16:48 door Anoniem
Tja zodra je beweegt zijn er gevolgen...Bezin eer ge begint. Succes meet je af aan wat je er voor hebt moeten laten liggen. Maar als dit de overheid betreft is het wel droevig. En dat kun je niet alleen op corona afschuiven.
23-09-2020, 18:39 door Anoniem
Had daar enige tijd geleden een sollicitatie gesprek, maar ze zochten geen Security mensen..
23-09-2020, 19:57 door Anoniem
Nog niets geleerd,talloze onveilige voorbeelden uit het verleden,
over beveiliging systemen infrastructuur en nog in 2020 is het
mosterd na de maaltijd,gewoon slecht !

Dit is zeer kwalijk dat het interne management faalt,
er niet naar elkaar geluisterd word,men weet dat het niet kan en mag
en toch maar op de oude voet verder,terwijl heel nederland
afhankelijk is van een beveiligde digitale infra-structuur en veilig goed drinkwater.

The Matrix
23-09-2020, 21:06 door Anoniem
Thuis werken op prive computers...?!

Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
23-09-2020, 23:22 door Anoniem
Door Anoniem: Thuis werken op prive computers...?!

Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
Lang niet elke medewerker heeft iets te maken met plc's voor de watervoorziening.
Denkt er nu niemand na, voordat hij onzin schrijft?
24-09-2020, 04:34 door Anoniem
Wat kun je dan zelf doen? Ik heb in ieder geval een aantal jerrycans met drinkwater in huis, in de hoop dat ik een week zonder leidingwater door kom. Maar een filter, om van slootwater drinkwater te maken, staat hiermee wat hoger op mijn verlanglijst. Dank voor het artikel.

Als je ziet, hoe de regering corona aanpakt, kun je, als je tot de risicogroepen behoort, ook maar beter zelf risicoarm bewegen door deze toestanden.... Ikzelf zit ook niet op dit virus te wachten.
24-09-2020, 05:55 door Anoniem
Waarom moest het bij waterniet allemaal zo nodig digitaal? Dat was in hun optiek vast veel veiliger!
24-09-2020, 07:52 door Anoniem
Het is allemaal erg overtrokken. Het artikel is niet FTM-waardig en geeft geen blijk van gedegen onderzoek. Eén bron is geen bron. Dit is sowieso een gefrustreerde medewerker geweest.

Tuurlijk zou er bij waternet nog eea moeten gebeuren, maar dat geldt voor alle (overheids)organisaties. De waterschappen hebben de informatieveiligheid en privacy goed geborgd/georganiseerd: https://www.hetwaterschapshuis.nl/informatieveiligheid-en-privacy
24-09-2020, 08:20 door Anoniem
Door Anoniem: Thuis werken op prive computers...?!

Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?

Thuis werken op prive computers kan prima. Wel met de juiste architectuur natuurlijk. Je kunt niet a priori stellen dat het onveilig is.
24-09-2020, 14:43 door Anoniem
Door Anoniem: Thuis werken op prive computers...?!

Euh dat is wat heel Nederland op dit moment aan het doen is? De werk pc's staan meestal op het werk. Daar mocht/mag je niet zijn vanwege Corona. Als je geluk hebt ben je als organisatie al over op mobiele werkplekken die, ook thuis, goed beveiligd worden. Maar kan me voorstellen dat dit lang niet voor alle bedrijven geldt.

Ik scan bijv. nog maandelijks de sign-in logs om de Windows 7 pc's eruit te halen en aan te schrijven. In afwachting van het management voor de goedkeur om Windows 7,8 etc. niet meer toe te staan en actief te blokkeren.
24-09-2020, 18:25 door Anoniem
Door Anoniem:
Door Anoniem: Thuis werken op prive computers...?!

Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?

Thuis werken op prive computers kan prima. Wel met de juiste architectuur natuurlijk. Je kunt niet a priori stellen dat het onveilig is.

Thuis werken moet gewoon op een device van de werkgever zelf, omdat je dit naar wens kan inrichten en dichttimmeren. Je kan niet zomaar dergelijke aanpassingen maken aan prive eigendom van anderen en simpelweg een citrix receiver installeren lost dit probleem niet op. Bovendien kun je een medewerker niet verbieden om b.v. onveilige websites te bezoeken op zijn eigendom. En managementsoftware om daar meer grip op te krijgen hoort ook niet thuis op prive spullen van medewerkers, simpelweg omdat ze ook nog recht hebben op privacy.
25-09-2020, 12:10 door Anoniem
Door Anoniem: Thuis werken moet gewoon op een device van de werkgever zelf

Je hebt gelijk maar hopelijk snap je wel dat dit niet zo makkelijk is. Als je x duizend medewerkers hebt die ineens vanuit huis moeten kunnen werken heb je wel een uitdaging. Even deze werkplekken uit het grond stampen kan niet. Is er überhaupt wel budget beschikbaar? Is de huidige inrichting en architectuur hier wel op voorbereid?

Als ik naar mijn eigen organisatie kijk waren we gelukkig al wel voorbereid op remote beheer, en was het van vaste werkplek naar beheerde laptop al wel in gang gezet. Dus dat scheelt. Maar we kunnen niet zomaar 5000 medewerkers even overzetten op laptops, dat kost geld en tijd. Dus ja...de meeste van mijn collega's (ik incl.) werkt vanaf een eigen privé apparaat.
25-09-2020, 13:04 door Schmie
Niet iedereen die hier reageert lijkt het FTM artikel gelezen te hebben. Ik had juist binnen de sec gemeenschap meer professionaliteit en nuance verwacht. Helaas. Het FTM stuk verwijst NL naar MEERDERE bronnen. En naar interne stukken. En de risico's hebben volgens FTM betrekking op de volledige architectuur en de cultuur. Dit gaat niet alleen over de risico's van thuiswerken.
25-09-2020, 19:34 door Anoniem
Door Anoniem:
Door Anoniem: Thuis werken moet gewoon op een device van de werkgever zelf

Je hebt gelijk maar hopelijk snap je wel dat dit niet zo makkelijk is. Als je x duizend medewerkers hebt die ineens vanuit huis moeten kunnen werken heb je wel een uitdaging. Even deze werkplekken uit het grond stampen kan niet. Is er überhaupt wel budget beschikbaar? Is de huidige inrichting en architectuur hier wel op voorbereid?

Als ik naar mijn eigen organisatie kijk waren we gelukkig al wel voorbereid op remote beheer, en was het van vaste werkplek naar beheerde laptop al wel in gang gezet. Dus dat scheelt. Maar we kunnen niet zomaar 5000 medewerkers even overzetten op laptops, dat kost geld en tijd. Dus ja...de meeste van mijn collega's (ik incl.) werkt vanaf een eigen privé apparaat.

Ik snap het dilemma, maar als je er niet klaar voor bent moet je het dan wel doen? Het risico en de rotzooi die je achteraf moet opruimen omdat er ongenode gasten op je netwerk zaten is het vast niet waard.

Waarom niet regionaal tenten/hallen/zalen/etc huren en daar zolang de thin clients op voldoende afstand neerzetten, dan hoef je alleen de uplink te regelen?

Dan kan de migratie verder volgens de planning (en dus gedegen) uitgevoerd worden.
26-09-2020, 23:54 door Anoniem

Waarom niet regionaal tenten/hallen/zalen/etc huren en daar zolang de thin clients op voldoende afstand neerzetten, dan hoef je alleen de uplink te regelen?

Tenten, LOL, heb je heel het voorjaar en de zomer peentjes lopen zweten en vrijdag namiddag is dan de tent gaan vliegen door de storm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.