Waternet onder verscherpt toezicht, cybersecurity niet op orde

Bedrijfswagen van Stichting Waternet

Stichting Waternet wordt onder verscherpt toezicht van de Inspectie voor de Leefomgeving en Transport geplaatst. Uit onderzoek van de Inspectie is gebleken dat de drinkwaterorganisatie zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op haar eigen cybersecurity. Daardoor is er een verhoogd risico op cyberincidenten en -dreigingen. Er zijn geen aanwijzingen dat de kwaliteit en levering van drinkwater op dit moment gevaar lopen.

Dat schrijft de Inspectie voor de Leefomgeving en Transport (ILT) in een persverklaring.

Wet stelt strenge eisen aan Waternet

Stichting Waternet is het drinkwaterbedrijf dat het waterbeheer in Amsterdam en omstreken verzorgt. Binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) is Waternet aangewezen als aanbieder van een essentiële dienst. Dat zijn organisaties waarvan de wet zegt dat ze onmisbaar zijn voor het goed functioneren van de Nederlandse samenleving en economie. Als de IT-systemen van organisaties uit de vitale infrastructuur worden geïnfiltreerd, of erger uitvallen, kan dat maatschappij ontwrichtende gevolgen hebben voor burgers en bedrijven.

De Wbni regelt dat bedrijven die essentiële diensten verlenen -nutsbedrijven, maar ook hulpdiensten en internet service providers- een zorgplicht en een meldplicht hebben. Dat betekent onder meer dat hun computersystemen ze aan zeer strenge veiligheidseisen dienen te voldoen. Als dat niet het geval is, dan dienen ze dit onmiddellijk kenbaar te maken. Afhankelijk van de situatie is dat bij de ILT, de Autoriteit Persoonsgegevens, het ministerie van Economische Zaken en Klimaat, of een van de adviesorganen op het gebied van cybersecurity zoals het Nationaal Cyber Security Centrum (NCSC) of het Digital Trust Center (DTC).

Inspectie stelt ‘belangrijke tekortkomingen’ vast

De ILT heeft zowel op het vlak van de zorgplicht als de meldplicht ‘belangrijke tekortkomingen’ geconstateerd. Het risicomanagement -alle maatregelen, plannen en processen om de effecten van veiligheidsrisico’s te minimaliseren- is niet op orde. Ook worden bestaande veiligheidsmaatregelen onvoldoende geëvalueerd en zijn de incidentresponse en het incidentmanagementproces iet op orde.

Verder schiet Waternet tekort om invulling te geven aan de procesautomatiseringsnorm (PA-norm) en op het gebied van cybersecurity in het algemeen. Tot slot heeft het Amsterdamse drinkwaterbedrijf geen procedure om cyberincidenten en -aanvallen te melden die gevolgen kunnen hebben voor de continuïteit en kwaliteit van de drinkwatervoorziening. “Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden”, schrijft de Inspectie.

Bestuur heeft te weinig oog voor cybersecurity

De waarborging van drinkwaterprocessen vinden volgens de ILT vooral op de werkvloer plaats. Op strategisch niveau -bij de directie en het bestuur van de stichting- heeft men onvoldoende oog voor de hoofdtaak van de organisatie en cybersecurity. Er is geen integraal toezicht of gestructureerd risicomanagement. Ook wordt er nauwelijks geëvalueerd en bijgestuurd als er veiligheidsrisico’s worden geconstateerd.

Door deze tekortkomingen is er volgens de Inspectie een verhoogd risico op cyberincidenten. Aangezien drinkwatervoorziening een vitale dienst is, maakt de Inspectie zich hier grote zorgen over. De ILT geeft eerlijk toe dat ze de kans op een cyberincident niet kan kwantificeren. Dat geldt ook voor de vraag wat het effect is van ontbrekende of niet-optimaal werkende maatregelen is. “De maatregelen werken aanvullend op elkaar en verhogen als geheel de weerstand tegen cyberaanvallen of verkleinen als geheel de impact”, aldus de Inspectie.

Waternet komt ‘de komende periode’ onder verscherpt toezicht

Volgens de ILT heeft Waternet inmiddels een aantal stappen gezet om diverse tekortkomingen ten aanzien van de zorg- en meldplicht te verbeteren. De Inspectie noemt dit ‘een positieve ontwikkeling’, maar benadrukt dat het belangrijk is om op korte termijn meer grip te krijgen om de geconstateerde gebreken te herstellen. Om ervoor te zorgen dat dit gebeurt, komt Waternet onder verscherpt toezicht van de Inspectie te staan. Het verscherpt toezicht duurt zolang dat de ILT alle vertrouwen heeft dat Waternet de continuïteit en kwaliteit van de drinkwatervoorziening op eigen kracht kan realiseren.

Aanleiding voor het onderzoek

Het onderzoek bij het Amsterdamse waterdrinkbedrijf werd ingesteld nadat het programma Follow the Money in september 2020 ontdekte dat de digitale beveiliging bij het bedrijf niet op orde is. Uit interne documenten en gesprekken met medewerkers bleek dat Waternet met verouderde systemen werkte en veiligheidsmaatregelen regelmatig werden teruggedraaid. Ook zouden er meer dan 150 servers zijn die ‘zonder restricties vrij met het internet mogen praten’, waardoor de kans groter is dat er malware wordt binnengehaald.

In februari schreef minister van Infrastructuur en Waterstaat Cora van Nieuwenhuizen in een brief aan de Tweede Kamer dat Waternet een maand eerder een penetratietest had laten uitvoeren. De uitkomsten van deze pentest waren negatief. Het drinkwaterbedrijf gaf de resultaten echter niet door aan de Inspectie. Volgens de minister was Waternet daartoe niet verplicht. Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen”, zo erkende Van Nieuwenhuizen.

De Inspectie voor de Leefomgeving en Transport legde tussen 24 november 2020 en 5 februari 2021 Waternet onder de microscoop. Het doel was om vast te stellen in hoeverre de drinkwatervoorziening in gevaar was. Ondanks de vele tekortkomingen menen de onderzoekers dat de ‘waarborging van de kwaliteit en leveringszekerheid van drinkwater’ niet in acuut gevaar was.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen