Kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd, frustreren de overheid steeds meer. Dat blijkt uit onderzoek van AG Connect en Binnenlands Bestuur. Het beleid met updates en patches is slecht. En de problemen nemen toe, zeggen securityexperts.

Dat blijkt uit onderzoek van AG Connect en Binnenlands Bestuur. Het duurt te lang voordat leveranciers patches gereed hebben voor gaten in de soms decennia oude systemen.

Met speels gemak krijgt de hacker via de IoT-zoekmachine SHODAN toegang tot een rioleringssysteem van een grote gemeente. De CISO van de desbetreffende gemeente schrikt zich een hoedje. Er wordt direct van alles in werking gesteld om het gat te dichten, maar daarvoor is een ‘patch’ nodig van de leverancier. Die heeft deze niet gereed. Om de juiste patch te leveren moet de leverancier deze eerst ontwikkelen en soms naar de locatie komen. De ethische hacker wordt na het tekenen van een geheimhoudingscontract bedankt voor zijn werk, maar het duurt nog een half jaar voordat het gat is gedicht.

CISO’s, experts en wetenschappers van gemeenten en waterschappen en de rijksoverheid herkennen het zojuist genoemde voorbeeld, dat door één van de CISO’s met Binnenlands Bestuur en AG Connect is gedeeld. Bijna negen op tien ondervraagden stelt zelfs dat dat problemen met ICS/SCADA bij overheden groter worden. Dat zit hem met name in de vrijgave van patches die niet tijdig voorhanden zijn. De achterstand bij overheden is groot en veel systemen werden nog voor de komst van internet gebouwd. Ze zijn daardoor een blok aan het been voor de verantwoordelijke ambtenaren geworden.