Bij cyberaanvallen wordt meestal direct gedacht aan aanvallen van buitenaf. Aan vreemde naties, terroristen of criminele organisaties. Veel minder vaak zijn de gevaren van binnenuit in beeld: medewerkers die bedoeld of onbedoeld schade aanrichten. De Algemene Rekenkamer luidde onlangs de alarmklok over de slechte beveiliging van vitale waterwerken en stuurde aan op betere screening van medewerkers op sleutelposities.
Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat neemt alle aanbevelingen uit het rapport ‘Digitale dijkverzwaring: cybersecurity en vitale waterwerken’ van de Algemene Rekenkamer over en gaat medewerkers van het Security Operations Center (SOC), het centrale veiligheidshart van Rijkswaterstaat, beter screenen. Nu is voor deze medewerkers alleen nog een Verklaring Omtrent het Gedrag (VOG) vereist, terwijl de medewerkers wel in aanraking komen met gevoelige systeeminformatie van vitale waterwerken. En dat is geen kattenpis. Bij het keren en beheren van water staat de fysieke veiligheid van Nederland op het spel. Het kan gaan om leven of dood.
Procesautomatisering
Algemeen directeur Marcel Jutte van Hudson Cybertec is ook niet verbaasd over het vernietigende rapport van de Algemene Rekenkamer. “Wij hebben jaren geleden al aangegeven dat er nodig iets moet gebeuren om de cyberweerbaarheid in de watersector te verhogen.” Volgens Jutte is een belangrijk euvel dat cybersecurity nu nog vooral gericht is op informatietechnologiesystemen (IT) en niet op Operationele Technologie (OT), de zogenaamde procesautomatiseringssystemen.
Jutte is ook blij met de aandacht van de Algemene Rekenkamer voor het menselijke aspect. “Op het gebied van de cybersecurity is de mens vaak de zwakste schakel. Het screenen van medewerkers is een goed begin, maar er is zeker nog meer nodig. Zodra mensen in dienst zijn, mag het monitoren van de handelingen en activiteiten op het netwerk met een uitgebreid detectiesysteem niet ontbreken. Iemand kan door de jaren heen veranderen. Er kunnen frustraties ontstaan of de aandacht voor veiligheid kan simpelweg verslappen.”
Gehackte rioolinstallatie
Een goed voorbeeld van hacks door een gefrustreerde medewerker, vond onlangs plaats in de gemeente Lopik. Na zijn ontslag brak een ex-medewerker met admin- en test-accounts in op een ‘stand alone’ computer die een rioolinstallatie aanstuurde. Hij wiste daarbij ruim 8000 bestanden, waardoor de installatie drie dagen lang niet goed werkte. In januari 2018 zette hij de afsluiters van het riool dicht en de pompen aan. Dat had grote schade kunnen veroorzaken en de rechtbank veroordeelde hem daarom tot 240 uur werkstraf.
Trainingen
Hudson Cybertec heeft samen met het Nederlands Normalisatie Instituut een cybersecuritytraining ontwikkeld voor iedereen die betrokken is bij productie- en procesinstallaties. Gezien het grote aantal aanmeldingen voor deze training, constateert Marcel Jutte dat er in de watersector steeds meer aandacht is voor cyberveiligheid. Toch blijft hij bezorgd, omdat hij vindt dat het invoeren van de ‘digitale dijkverzwaring’ voor vitale waterwerken niet snel genoeg gaat. “En dat terwijl de risico’s juist toenemen. Bijvoorbeeld door het Internet of Things (IoT). Steeds meer installaties maken gebruik van IoT-apparaten, maar als dat niet goed wordt georganiseerd, brengt dat extra veiligheidsrisico’s met zich mee.”
Detectie
Volgens Rijkswaterstaat is het technisch te uitdagend en te kostbaar om de oudere systemen te moderniseren. Daarom richt de organisatie zich met name op de signalering van een cyberaanval en een adequate reactie om die aanval onschadelijk te maken. Gedurende het onderzoek van de Algemene Rekenkamer is in samenwerking met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd bij een van de vitale waterwerken. Daarbij verschaften de ingehuurde hackers zich toegang tot de controlekamer. De aanvallers werden echter direct opgemerkt door het SOC, toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.
Met dit soort pentesten wil de minister de veiligheid van de waterwerken de komende jaren verder verbeteren. Het gaat dan om hackers die het systeem van buitenaf op de proef stellen. Voor het beperken van de gevaren van binnenuit lijken echter meer maatregelen nodig. Er moet meer worden geïnvesteerd in screening, monitoring en software waarmee ongebruikelijke handelingen van medewerkers worden gesignaleerd. Alleen zo kan de dreiging van binnenuit worden beperkt.
“Wat betreft cybersecurity is de mens vaak de zwakste schakel. Het screenen van medewerkers is een goed begin, maar er is zeker nog meer nodig.”
Bron: ‘Waterforum (editie 3), juni 2019’ door ‘Esther Rasenberg’
Lees hier het volledige artikel.
HUDSON CYBERTEC
