De Inspectie voor de Leefomgeving en Transport (ILT) start een onderzoek naar Waternet. Het Noord-Hollandse waterbedrijf heeft begin dit jaar een penetratietest of pentest laten uitvoeren en de negatieve uitkomsten daarvan verzwegen voor de ILT. Dat is voor de instantie reden genoeg om grondig onderzoek te verrichten naar het waterbedrijf.
Dat schrijft minister van Infrastructuur en Waterstaat Cora van Nieuwenhuizen in een brief aan de Tweede Kamer.
Digitale beveiliging Waternet niet op orde
In september raakte Waternet in opspraak. Uit onderzoek van Follow The Money bleek dat de digitale beveiliging van het in Amsterdam gevestigde waterbedrijf niet op orde zijn. Volgens interne documenten maakt het bedrijf gebruik van verouderde systemen en worden er regelmatig beveiligingsmaatregelen teruggedraaid.
Een groot aantal desktops van het bedrijf draait bijvoorbeeld nog op Windows 7, waar sinds januari van dit jaar geen beveiligingsupdates meer voor worden uitgerold. Hierdoor is het mogelijk dat hackers kwetsbaarheden in het besturingssysteem misbruiken om het bedrijfsnetwerk te infiltreren. Hetzelfde geldt voor verouderde smartphones waar werknemers mee rondlopen.
De Chief Information Security Officer (CISO) stelde het management op de hoogte van de problemen, maar die deed er niets mee. De beveiligingsexpert zei dat er bij Waternet “een bedrijfscultuur heerst waarbij waarschuwingen van security officers structureel worden genegeerd en veiligheid ondergeschikt is gemaakt aan gebruiksgemak en ingesleten gewoontes”. In een reactie zei Waternet de problemen te herkennen en dat ze bijna waren opgelost.
Waternet zakt voor pentest, toezichthouder weet van niets
Naar aanleiding van deze berichtgeving bracht de Inspectie voor de Leefomgeving en Transport (ILT) eind oktober een bezoek aan Waternet. Het waterbedrijf verzekerde de toezichthouder, die volgens de Wet beveiliging netwerk en informatiesystemen (Wbni) verantwoordelijk is voor de veiligheid van drinkwaterbedrijven en andere nutsvoorzieningen, dat het ging om oude problemen en dat deze waren opgelost.
Eerder deze maand kwam Follow The Money opnieuw met een onthulling over het Noord-Hollandse waterbedrijf. Waternet had in januari een penetratietest of pentest laten uitvoeren door een onafhankelijk bureau. Daarbij wordt er gekeken of één of meerdere computersystemen kwetsbaarheden bevatten die misbruikt kunnen worden om in te breken op het bedrijfsnetwerk.
Waternet kwam er niet al te rooskleurig van af. Het bedrijf had de toezichthouder daarvan niet op de hoogte gebracht. Ook het Nationaal Cyber Security Centrum (NCSC) was niet bekend met de negatieve bevindingen van de pentest, zo schrijft minister Van Nieuwenhuizen aan de Tweede Kamer. Op 3 november, daags na de publicatie door Follow The Money, kreeg de ILT alsnog het pentest rapport. Voor 50PLUS-Kamerlid Corrie van Brenk was dit aanleiding om schriftelijke vragen te stellen aan het kabinet.
‘Geen aanwijzingen dat drinkwatervoorziening in het geding was’
In de brief schrijft de minister dat Waternet regelmatig pentests laat uitvoeren. Daaruit vloeien vrijwel altijd verbeterpunten voort om het cybersecurity- en informatiebeveiligingsbeleid te verbeteren. Ze benadrukt dat ‘aanbieders van essentiële diensten’ niet verplicht zijn om de uitkomsten van vertrouwelijke pentests ongevraagd aan toezichthouders te overhandigen. “Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen”, zo erkent Van Nieuwenhuizen.
De minister zegt dat het voor haar belangrijk is dat de onderste steen boven komt zodat er een compleet beeld ontstaat. De Inspectie is daarom een onderzoek gestart. Daarmee probeert de ILT antwoord te geven op de vraag of Waternet zich aan de regels van de Wbni heeft gehouden, of de leveringszekerheid van drinkwater in het geding is geweest als gevolg van cyberrisico’s en of Waternet zich houdt aan de regels van good governance.
Minister Van Nieuwenhuizen zegt tot slot dat ze vooralsnog geen aanleiding ziet om in te grijpen. Daarvoor wil ze eerst het rapport van de Inspectie afwachten. “Pas als deze resultaten bekend zijn kan worden bepaald of interventies nodig zijn”, aldus de minister. Ze zegt verder dat ze geen aanwijzingen heeft dat de drinkwatervoorziening in het geding is geweest.
