Waterbedrijf Waternet heeft cybersecurity nog altijd niet volledig op orde
Het Amsterdamse waterbedrijf Waternet heeft de cybersecurity nog altijd niet op orde, waardoor een verhoogd risico voor de leveringszekerheid en kwaliteit van het drinkwater nog steeds aan de orde is. Dat laat minister Harbers van Infrastructuur en Waterstaat in een brief aan de Tweede Kamer weten.
Vorig jaar april werd stichting Waternet vanwege onvoldoende grip op de cybersecurity en besturing bij Waternet, waardoor er een verhoogd risico voor de leveringszekerheid en kwaliteit van het drinkwater was, onder verscherpt toezicht geplaatst van de Inspectie Leefomgeving en Transport (ILT). Naar aanleiding van een verzwegen penetratietest startte de Inspectie een onderzoek naar Waternet.
Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Follow The Money meldde op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.
De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratiest die Waternet in januari van 2020 had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, eind oktober 2020 een gesprek met Waternet.
Dit gesprek werd gevoerd vanwege de eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentestrapport of uitkomsten van andere penetratietesten. Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratietest informeerde Waternet de Inspectie over deze test.
Hierop startte de Inspectie zelf een onderzoek waaruit bleek dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Vorig jaar werd besloten het waterbedrijf onder toezicht te plaatsen. Harbers laat nu aan de Tweede Kamer weten dat Waternet een verbeterplan heeft opgestart. Ondanks de geboekte voortgang stelt de Inspectie dat er nog het nodige moet gebeuren.
"Zowel voor het volledig in control komen op de cybersecurity als voor het verbeteren van doeltreffendheid van besturing. Volgens de ILT is daarmee het eerder geconstateerde verhoogde risico voor leveringszekerheid en kwaliteit van het drinkwater nog steeds aan de orde", aldus de minister. In de tweede helft van dit jaar zal de Inspectie opnieuw bekijken of het verscherpt toezicht kan worden afgeschaald.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Wat een flauwekul.
Ongetwijfeld dat waternet ook security.nl geblacklist heeft.
Wat een flauwekul.
Is absoluut geen flauwekul, dit heb ik ook eerder voor bij zien komen op social media eerder dit jaar.
Ik denk niet dat ze security.nl op de zwarte lijst hebben maar ze gebruiken hun responsible disclosure beleid om kwetsbaarheden op te lossen en vervolgens worden beveiliging onderzoekers die de kwetsbaarheden verantwoordelijk melden op een zwarte lijst geplaatst.
Maar ik moet wel zeggen, wat ik begrepen heb is dat dit niet zomaar gedaan wordt.
Waternet doet dit na dat onderzoekers een publicatie maken van de bevinding of op hun social media over de bevinding praten, al is het zonder technische details en alleen een foto van de beloning wat de onderzoeker heeft gekregen.
Dit is gebeurd met enkele van de bekendste ethische hackers van Nederland, die zijn vervolgens in een conflict geraakt met waternet omdat het directeur van de informatievoorziening naar mening was dat de onderzoekers geen woord mochten vrij geven over de bevinding ondanks dat de bevindingen al een jaar lang waren opgelost en dat de onderzoekers meerdere maanden de vraag bij waternet hadden staan of publicatie nu wel mocht of niet.
Het kwam erop neer dat waternet niet reageerde op de verzoek voor publicatie ondanks het belofte voor goede communicatie volgens hun eigen beleid, waardoor de onderzoekers in plaats van een publicatie slechts een post hadden geplaatst op social media met zeer beperkte informatie over de bevinding welk zij zouden hebben gevonden.
Dit schoot bij waternet in het verkeerde keelgat waarna al de beveiliging onderzoekers op een zwarte lijst zijn gezet en nu zowel de bedrijf waarbij zij werkzaam waren (hoewel die daar niets mee te maken hadden) als de onderzoekers zelf niet meer de beveiliging van waternet mogen testen en of ooit nog bij waternet aan het werk mogen.
Waternet schiet hiermee door hun eigen voet, ze weten dat zij hierdoor minder beveiligd worden maar accepteren dit alleen voor het gevoel van valse gerechtigheid op de beveiliging onderzoekers die meer dan een jaar lang aan beveiliging incidenten verantwoordelijk hadden gemeld aan waternet.
Waternet doet dus wel degelijk mensen onrecht aan middels een zwarte lijst (tegen de wet in), sterker nog. het integriteit van de aanbestedingswet waar waternet zich aan moet verplichten wordt hierdoor ondermijnd maar goed dat is weer aan het ILT om een keer te onderzoeken.
Of dit zwarte lijst systematisch wordt bijgehouden of individueel door de directeur of HR wordt bijgehouden is nooit bekend gemaakt, de onderzoekers zelf willen hier ook niets over zeggen omdat een advocaat van waternet welk de naam van niet wordt genoemd hun blijkbaar de mond gesnoerd heeft en de onderzoekers zelf niet verder in onnodige problemen willen komen.
Maar dit zegt genoeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.