image

Waternet onder verscherpt toezicht wegens onvoldoende grip op cybersecurity

dinsdag 6 april 2021, 10:27 door Redactie, 9 reacties
Laatst bijgewerkt: 06-04-2021, 11:19

De Inspectie voor de Leefomgeving en Transport (ILT) heeft Stichting Waternet onder verscherpt toezicht gesteld omdat het waterbedrijf onvoldoende grip op de eigen cybersecurity heeft wat een risico vormt voor de waarborging van de kwaliteit en leveringszekerheid van het drinkwater. Dat laat demissionair minister Van Nieuwenhuizen in een brief aan de Tweede Kamer weten.

Naar aanleiding van een verzwegen penetratietest startte de Inspectie een onderzoek naar Waternet. Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Vorig jaar september meldde website Follow The Money op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.

De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratiest die Waternet in januari van vorig had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, op 27 oktober een gesprek met Waternet. Dit gesprek werd gevoerd vanwege een eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentestrapport of uitkomsten van andere penetratietesten.

Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratietest informeerde Waternet de Inspectie over deze test. Op 2 november verscheen het artikel van Follow The Money dat de directeur de in januari uitgevoerde penetratietest had verzwegen. Dezelfde dag vroeg de Inspectie het pentestrapport op en ontving die de volgende dag.

Uit het onderzoek dat vervolgens door de Inspectie zelf werd uitgevoerd blijkt dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. "Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater", aldus Van Nieuwenhuizen.

Zo is er onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Volgens de minister heeft Waternet nog geen procedures voor het melden van beveiligingsincidenten die grote gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden, merkt de minister op.

Verder blijkt dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwatertaak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. Op strategisch niveau blijkt dat Waternet zowel bij de drinkwatertaak als cybersecurity tekort schiet. Het waterbedrijf heeft inmiddels een aantal stappen gezet om de situatie te verbeteren. Volgens de Inspectie is dit niet voldoende en stelt het Waternet daarom onder toezicht, zodat het voldoende grip heeft op de uitvoering van de verbeteringen en indien nodig kan bijsturen.

"Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft", zo laat de minister verder weten. Mede vanwege de uitkomsten van dit onderzoek zal de Inspectie dit jaar onderzoeken in hoeverre andere aanbieders van essentiële diensten, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.

Reacties (9)
06-04-2021, 12:05 door Anoniem
The system works !
06-04-2021, 12:54 door [Account Verwijderd]
Waren ze er een tijdje geleden niet achter gekomen dat er veel gemalen, bruggen en water bedrijven nog draaien met een standaard wachtwoord zo als b.v. 1234.
Zonder dat ooit een keer aangepast te hebben.
06-04-2021, 13:27 door Anoniem
Veel te mild door alleen verscherpt toezicht,
het gaat om de gezondheid van ons allen burgers,
we zijn er afhankelijk van,gezond,veilig drinkwater,
maar we zetten het tijdelijk op verscherpt toezicht.

The Matrix
06-04-2021, 14:26 door Anoniem
Als dat verscherpt toezicht betekent dat ze nu elke maand een PDF moeten invullen met JA/NEE antwoorden, dan heb ik niet het gevoel dat 'verscherpt toezicht' wat gaat toevoegen...
Want aan dit soort 'maatregelen' denk ik wanneer ik hoor 'verscherpt toezicht'...
Verschept toezicht hebben ze ook op TBS-ers wanneer ze weer een aantal moorden hebben gepleegd tijdens hun [proefverlof].
06-04-2021, 16:49 door Anoniem
Verscherpt hoeft niet "scherp" of adequaat te zijn. Fix it.
06-04-2021, 18:12 door Anoniem
Welgeteld zes maanden tussen de gestelde kamervragen inzake Waternet en de daarop volgende maatregelen...

https://www.security.nl/search?keywords=Waternet

06-04-2021 Waternet onder verscherpt toezicht wegens onvoldoende grip op cybersecurity
09-12-2020 Tweede Kamer tegen verplichte cybersecuritycheck van drinkwaterbedrijven
11-11-2020 Inspectie doet onderzoek naar Waternet na verzwegen penetratietest
04-11-2020 50Plus stelt Kamervragen over verzwegen penetratietest Waternet
23-09-2020 Kamervragen over slechte digitale beveiliging Waternet
06-04-2021, 18:23 door Anoniem
De Cyber Security Raad, met leden uit de overheid, het bedrijfsleven en de wetenschap, denkt dat de komende jaren ruim 800 miljoen euro nodig is voor de belangrijkste ingrepen, zoals het beschermen van de vitale infrastructuur en het aanpakken van internetcriminaliteit door de opsporingsdiensten.

https://nos.nl/artikel/2375631-veel-mis-in-nederlandse-ict-beveiliging-zelfs-geen-verweer-tegen-simpele-hacks.html
06-04-2021, 18:23 door Anoniem
In het kader van transparantie wil ik svp weten hoeveel windows werkplekken hierbij zijn betrokken.
07-04-2021, 00:15 door walmare
Door Anoniem:
De Cyber Security Raad, met leden uit de overheid, het bedrijfsleven en de wetenschap, denkt dat de komende jaren ruim 800 miljoen euro nodig is voor de belangrijkste ingrepen, zoals het beschermen van de vitale infrastructuur en het aanpakken van internetcriminaliteit door de opsporingsdiensten.

https://nos.nl/artikel/2375631-veel-mis-in-nederlandse-ict-beveiliging-zelfs-geen-verweer-tegen-simpele-hacks.html
De Security Raad heeft Microsoft als partner en dus is men alleen bezig met symptoonbestrijding. De gevraagde centen zijn dus ook zeer discutabel (investeringen in nieuwe MS technologie). In hun tekst staat ook letterlijk dat het OS niet genoemd gaat worden om focus te behouden. Dit terwijl wij weten dat ransomware incidenten afgerond 100% windows gerelateerd is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.