image

Visser: vitale systemen bruggen en rioleringen niet op grote schaal kwetsbaar

vrijdag 12 november 2021, 10:39 door Redactie, 21 reacties

Bruggen, rioleringssystemen en andere vitale systemen die bij decentrale overheden in beheer zijn, zijn niet op grote schaal kwetsbaar. Ook hebben er de afgelopen twee jaar geen succesvolle aanvallen op vitale systemen van Rijkswaterstaat of ProRail plaatsgevonden, zo stelt demissionair minister Visser van Infrastructuur en Waterstaat. De minister reageerde op Kamervragen over berichtgeving dat riolen en bruggen kwetsbaar voor aanvallers zouden zijn.

Visser stelt dat bruggen en rioleringssystemen veelal in beheer zijn bij decentrale overheden en die zelf verantwoordelijk zijn om op basis van risicoanalyse en risicoafweging beveiligingsmaatregelen te nemen. "Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren."

De minister werd ook gevraagd of er al incidenten bekend zijn waarbij daadwerkelijk problemen ontstonden in het verkeer of de waterkwaliteit doordat er een controlesysteem werd aangevallen. Visser zegt niet met dergelijke incidenten bekend te zijn. "De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum."

Ook hebben er de afgelopen twee jaar geen succesvolle aanvallen plaatsgevonden op de bedienings-, besturings- en bewakingssystemen van Rijkswaterstaat en ProRail. "ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de verkeersleidingsposten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurityregime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking."

Visser voegt toe dat kwetsbaarheden industriële controlesystemen vooral kunnen worden benut wanneer er koppelingen met het internet zijn waardoor systemen op afstand kunnen worden overgenomen of platgelegd. "Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen", aldus Visser.

Reacties (21)
12-11-2021, 11:00 door Anoniem
De hamvraag voor kwetsbaarheden is, is er een koppeling met de kantoorautomatisering? die verantwoordelijk is voor 95% van de wereldwijde incidenten.
Naïef ook dat deze vraag niet eens wordt gesteld of men mag het niet zeggen.
12-11-2021, 11:04 door Anoniem
Het .docx antwoord van de kamer ([ur]https://www.tweedekamer.nl/downloads/document?id=0b20471c-66aa-4559-81dc-712572ec4f68&title=Antwoord%20op%20vragen%20van%20het%20lid%20Madlener%20over%20de%20kwetsbaarheid%20van%20bruggen%20en%20riolen%20voor%20hackers.docx [/url] is een schending van de open standaard verplichting voor de overheid.
Ik zie dat er malware in zit verstopt.
12-11-2021, 11:20 door Anoniem
Door Anoniem: De hamvraag voor kwetsbaarheden is, is er een koppeling met de kantoorautomatisering? die verantwoordelijk is voor 95% van de wereldwijde incidenten.
Naïef ook dat deze vraag niet eens wordt gesteld of men mag het niet zeggen.

Dat, of mensen in het veld die per ongeluk beveiligde toegangen open laten staan.
12-11-2021, 12:06 door MathFox
Door Anoniem: De hamvraag voor kwetsbaarheden is, is er een koppeling met de kantoorautomatisering? die verantwoordelijk is voor 95% van de wereldwijde incidenten.
Het is al jaren de standaard praktijk dat de productie-besturing op een apart netwerk zit, waar je vanuit de kantooromgeving niet (makkelijk) bijkomt.
Zo af en toe hoor je van een uitzondering (de feestverlichting van de Erasmusbrug bijvoorbeeld.)
12-11-2021, 12:33 door Anoniem
Eh dus ik hoef niet bang te zijn voor een watersnoodramp a 1953 ...wat ben ik blij met zo'n ministerie
12-11-2021, 12:41 door Anoniem
Het is goed hacken in een land vol struisvogels

“Vaak zijn het de meest triviale dingen waardoor het fout gaat”, zegt Lodi Hensen, van het Nederlandse cybersecurity-bedrijf Tesorion. "Het is net als bij de echte brandweer. Die zeggen na het blussen ook vaak dat brandmelders enorm hadden kunnen helpen. En hoewel iedereen dat wel weet, hangt niet iedereen ze op.”

https://www.trouw.nl/economie/het-is-goed-hacken-in-een-land-vol-struisvogels~b71e92c8/

Dit artikel is exclusief voor Trouw abonnees. Het noemt een voor ondernemers interessant DTC onderzoeksrapport.

Het onderzoeksverslag geeft een inkijkje in hoe ondernemers denken. Kort samengevat: een directeur van een transportbedrijf houdt zich liever bezig met zijn wagenpark dan met de verouderde software van de rittenplanner.

Eindrapport DTC Basisscan cyberweerbaarheid [PDF]
Cyberweerbaarheid en het gedrag van ondernemers

https://www.nhlstenden.com/onderzoek/cybersafety/


Ondernemers die vijf basisregels opvolgen, vergroten hun weerbaarheid tegen cyberrisico’s, zegt het Digital Trust Center van het ministerie van economische zaken, dat bedrijven tracht wakker te schudden en te alarmeren:

https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen
12-11-2021, 13:42 door Bitje-scheef
Door MathFox:
Door Anoniem: De hamvraag voor kwetsbaarheden is, is er een koppeling met de kantoorautomatisering? die verantwoordelijk is voor 95% van de wereldwijde incidenten.
Het is al jaren de standaard praktijk dat de productie-besturing op een apart netwerk zit, waar je vanuit de kantooromgeving niet (makkelijk) bijkomt.
Zo af en toe hoor je van een uitzondering (de feestverlichting van de Erasmusbrug bijvoorbeeld.)

Correct en er zitten tussen uitvoerders (IT) en aanvragers (IT) altijd een Security Officer, zeker bij Rijkswaterstaat.
Wil niet zeggen dat er nooit iets mis gaat, maar de kans is echt nagenoeg uitzonderlijk.
12-11-2021, 14:51 door Anoniem
Tjah. Demissionair. Het staat er gelukkig bij. Die minister heeft een gekraakt ministerie maar blijft voorlopig zorgen dat water en licht betaald blijven. En de rest is afwachten tot er eindelijk weer iemand zin heeft om te werken. Het is nu eenmaal niet anders.
12-11-2021, 16:22 door Anoniem
"Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren."
Zo'n typisch politiek antwoord waar je helemaal niets aan hebt.

Als die organisaties er geen onderzoek naar gedaan hebben en totaal geen benul hebben van het belang van security van die systemen, dan is het logisch dat je geen signalen ontvangt.

Wel bijzonder dat de rest van Nederland wel regelmatig zulke signalen ontvangt. Wat dan ook de aanleiding was voor kamervragen.
12-11-2021, 16:41 door Anoniem
Door Anoniem: Eh dus ik hoef niet bang te zijn voor een watersnoodramp a 1953 ...wat ben ik blij met zo'n ministerie

Dat was toch storm met springvloed, ik denk dat het ministerie dat niet kan uitsluiten...
Delta werken techniek wordt getest, dat lees je regelmatig, maar de hoogte van keringen gaan volgens mij over een verwachte kans per tijdseenheid, dus 100% garantie is er nooit.
12-11-2021, 16:47 door Anoniem
Decentrale onderdelen zijn per definitie niet grote schaal.

Pruts bericht!
12-11-2021, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: Eh dus ik hoef niet bang te zijn voor een watersnoodramp a 1953 ...wat ben ik blij met zo'n ministerie

Dat was toch storm met springvloed, ik denk dat het ministerie dat niet kan uitsluiten...
Delta werken techniek wordt getest, dat lees je regelmatig, maar de hoogte van keringen gaan volgens mij over een verwachte kans per tijdseenheid, dus 100% garantie is er nooit.
De schuiven in de Oosterscheldekering worden toch per computer bestuurd. Tja, één BSOD op die computer, dan ben je toch blij dat je je zwemdiploma A hebt.
12-11-2021, 21:55 door Anoniem
Door Anoniem:
Door Anoniem: Eh dus ik hoef niet bang te zijn voor een watersnoodramp a 1953 ...wat ben ik blij met zo'n ministerie

Dat was toch storm met springvloed, ik denk dat het ministerie dat niet kan uitsluiten...

Ja - een storm en springvloed tegen lage en slecht onderhouden dijken.

Die verantwoordelijkheidsvraag is toen (of later) nooit hard gesteld , alles is geschoven op de 'uitzonderlijke omstandigheden van de storm' .

[nu moet gezegd worden, dat in de 5-8 jaar na de tweede wereldoorlog er aan veel dingen gewerkt moest worden - en men, achteraf, de dijken een stuk meer prioriteit had moeten geven. ]
13-11-2021, 18:29 door Anoniem
Door Anoniem: De hamvraag voor kwetsbaarheden is, is er een koppeling met de kantoorautomatisering? die verantwoordelijk is voor 95% van de wereldwijde incidenten.
Naïef ook dat deze vraag niet eens wordt gesteld of men mag het niet zeggen.

zie rapport Rotterdamse rekenkamer over de securityproblemen ...
13-11-2021, 20:15 door Ron625
Door Anoniem om11:04 Het .docx antwoord van de kamer <knip> is een schending van de open standaard verplichting voor de overheid.
Van alle overheden is de tweedekamer.nl de grootste overtreder, met ruime voorsprong zelfs.
14-11-2021, 02:52 door Anoniem
Ik herinner me dat er enkele jaren geleden in Lopik iemand via internet de waterbeheersing gesaboteerd had, met de bedoeling schade aan te richten. Het bleek een technicus/insider te zijn die hoopte op werk/opdrachten.
14-11-2021, 09:58 door Anoniem
Door Anoniem: De schuiven in de Oosterscheldekering worden toch per computer bestuurd. Tja, één BSOD op die computer, dan ben je toch blij dat je je zwemdiploma A hebt.
Tenzij de opzet degelijker is, natuurlijk. Dit suggereert dat ze heel wat verder zijn gegaan dan jij veronderstelt:
https://www.cgi.com/nl/nl/media/case-study/cgi-ontwikkelde-en-beheert-het-noodsluitsysteem-oosterscheldekering-nsta
14-11-2021, 12:59 door Anoniem
Door Ron625:
Door Anoniem om11:04 Het .docx antwoord van de kamer <knip> is een schending van de open standaard verplichting voor de overheid.
Van alle overheden is de tweedekamer.nl de grootste overtreder, met ruime voorsprong zelfs.
Klagen over de overheid is natuurlijk een prachtige hobby, maar .docx is een open standaard:
https://fileinfo.com/extension/docx
DOCX files store data in the Open XML Document format, which was introduced with Microsoft Word 2007.
14-11-2021, 22:45 door Anoniem
Door Anoniem:
Door Ron625:
Door Anoniem om11:04 Het .docx antwoord van de kamer <knip> is een schending van de open standaard verplichting voor de overheid.
Van alle overheden is de tweedekamer.nl de grootste overtreder, met ruime voorsprong zelfs.
Klagen over de overheid is natuurlijk een prachtige hobby, maar .docx is een open standaard:
https://fileinfo.com/extension/docx
DOCX files store data in the Open XML Document format, which was introduced with Microsoft Word 2007.
Je hebt het mis. Hier wordt geen Strict OOXML gebruikt en is daarom geen goedgekeurde standaard. Deze standaard maakt onvoldoende gebruik van andere open (W3C) standaarden en maakt gebruik van interne Microsoft-standaarden.
Daarnaast is ODF1.2 al de verplichte open standaard voor bewerkbare documenten voor de overheid: https://www.forumstandaardisatie.nl/open-standaarden/verplicht
Dus ja de brief van de minister is een schending van wat is afgesproken. Zou ze van de VVD zijn?
15-11-2021, 15:42 door Anoniem
Gelukkig weten wij beter.
15-11-2021, 22:31 door Anoniem
gelul. lariekoek. bullshit. onzin. leugens.
# iraqi information minister
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.