Management

Security
water

Verzwegen pentest Waternet ook niet gemeld aan toezichthouder en NCSC

Verbergcultuur bij Waternet bevestigd door antwoorden op Kamervragen.

© Pixabay CC0 Public Domain
11 november 2020

Verbergcultuur bij Waternet bevestigd door antwoorden op Kamervragen.

De vernietigende pentest van begin dit jaar bij Waternet is niet alleen verzwegen voor het bestuur, maar ook voor toezichthouder ILT (Inspectie voor de Leefomgeving en Transport). De directeur heeft in een brief van eind september de pentest niet genoemd, en de directie heeft die IT-beveiligingstest opnieuw verzwegen in een gesprek eind oktober met de ILT. Brief en gesprek waren naar aanleiding van een kritisch artikel door Follow The Money (FtM). Een tweede artikel heeft het bestaan van de pentest onthuld. De minister van Infrastructuur en Waterstaat geeft nu wat details bloot over deze securityzaak bij Waternet.

De onthulling van de verzwegen pentest is vlak voor publicatie van FtM's tweede artikel begin november nog wel door Waternet gemeld aan toezichthouder ITL. Die had eind oktober een gesprek gevoerd met de directie van het waterbedrijf naar aanleiding van het eerste artikel (van 19 september), waarin de beveiliging van de organisatie als ondermaats werd omschreven. De pentest die begin 2020 is uitgevoerd, is niet genoemd door de directeur in een sussende brief aan het bestuur van de stichting. In die brief schreef de directeur dat de onthullingen van FtM, op basis van uitgelekte documenten, slechts om "gedateerde bevindingen" zouden gaan.

Ontbrekende patches

Daarbij heeft de bestuurder verzwegen dat er in januari dit jaar een pentest is uitgevoerd waaruit ernstige beveiligingsproblemen zijn gebleken. Zo waren versleutelde wachtwoorden zwak en met dictionary attacks te kraken. Verder zwierven er bestanden van wachtwoordmanager KeePass rond op netwerkshares, werden KeePass- en Topdesk-wachtwoorden gevonden met in laatstgenoemde (een beheerplatform) verschillende wachtwoordresetverzoeken compleet met het nieuwe wachtwoord en de wijzigingsprocedure. Ook is er door de pentesters ontdekt dat er een niet meer ondersteunde Windows-versie wordt gebruikt en dat niet alle beveiligingsupdates waren geïnstalleerd.

In totaal waren er 11 grote kwetsbaarheden in de beveiliging van Waternet, waarvan er 5 als kritiek zijn aangemerkt. Nog eens 5 stuks zijn in het pentestrapport als 'hoog' risico ingeschaald, en de resterende kwetsbaarheid kreeg het kenmerk 'gemiddeld' mee. Deze problemen zouden niet vanuit de directie zijn opgepakt, hoewel enkele acties ter verbetering van de beveiliging op eigen initiatief van securityverantwoordelijken bij Waternet zijn uitgevoerd. Na de brief van de directie is een gekozen bestuurslid er achter gekomen dat er een pentestrapport was, waarvoor hij toen inzage heeft gevraagd maar dat werd hem geweigerd. Dit heeft FtM onthuld in het vervolgartikel van 2 november. Het hieruit naar voren komende beeld van gebrek aan aandacht voor beveiliging, plus een verbergcultuur, wordt nu effectief bevestigd door het ministerie van Infrastructuur en Waterstaat.

Toezichthoudende rol

Minister Cora van Nieuwenhuizen schrijft in antwoord op Kamervragen dat toezichthouder ILT in het gesprek van 27 oktober niet is geïnformeerd over het pentestrapport, of over uitkomsten van andere pentesten. "Daags na het gesprek heeft Waternet de ILT op de hoogte gesteld van een mogelijk voorgenomen publicatie van FtM over een pentestrapport van begin 2020. De ILT was voorafgaand aan de publicatie van Follow the Money (FtM) op 2 november 2020 niet op de hoogte van de inhoud van de rapportage over deze pentest."

De toezichthouder heeft dat verzwegen rapport op 2 november gelijk opgevraagd en een dag later alsnog ontvangen, meldt Van Nieuwenhuizen. Op de vraag of zij als bewindspersoon niet op de hoogte gesteld had moeten antwoorden, geeft ze een genuanceerde reactie. Het ongevraagd toesturen van de uitkomsten van vertrouwelijke pentesten is geen gangbare praktijk voor aanbieders van essentiële diensten, aldus de minister. "Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen."

'Vertrouwelijke pentest'

Uit haar antwoorden blijkt ook dat Waternet geen melding heeft gedaan bij het Nationaal Cyber Security Centrum, wat volgens de minister echter niet van toepassing is. De "vertrouwelijke pentest" is door Waternet niet gemeld bij het NCSC, wat ook niet verplicht was omdat het geen security-incident was. "Een pentest is een interne test door ethische hackers in opdracht van een aanbieder om de cyberveiligheid te checken en waar nodig te verbeteren. Er is bij een pentest geen sprake van een moedwillige inbreuk of cyberincident met significante gevolgen voor de continuïteit van de dienstverlening."

De minister reageert ontwijkend op een negental vragen over de bevindingen van de pentesters, de gebrekkige IT-opstelling van Waternet, de verzwijgende opstelling van de directie, en de mogelijke gevolgen daarvan. "Ik heb er begrip voor dat de Kamer in deze casus snel alles boven water wil halen. Ook voor mij heeft het de hoogste urgentie dat er door grondig onderzoek een compleet beeld ontstaat." Van Nieuwenhuizen verwijst hierbij naar het onderzoek dat toezichthouder ILT zelf heeft gestart, wat zij op 4 november aan de Kamer heeft laten weten.

Afwachten en (blijven) vertrouwen

"Dit onderzoek - dat is gericht op het drinkwaterrelevante deel van Waternet - richt zich naast de naleving van de Wbni (Wet beveiliging netwerk en informatiesystemen - red.), leveringszekerheid van drinkwater ook op de governance van de organisatie." Van Nieuwenhuizen wil nu eerst de resultaten afwachten van zowel dat lopende ILT-onderzoek als ook van een ander onderzoek, wat in opdracht van Waternet wordt uitgevoerd. "Pas als deze resultaten bekend zijn kan worden bepaald of interventies nodig zijn. De ILT heeft geen reden om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is."

Vooralsnog lijkt de bewindsvrouw wel te vertrouwen op het kwetsbaar gebleken waterbedrijf. "Waternet heeft mij medegedeeld dat er uit voorzorg een nog striktere scheiding tussen de procesautomatisering en kantoorautomatisering is aangebracht. Of en zo ja welke verdere maatregelen zijn getroffen door Waternet wordt meegenomen in het genoemde onderzoek van de ILT. Ik zal de Kamer hierover nader informeren." Niet alleen de organisatie maar ook het bestuur geniet nog vertrouwen van de minister: "Ik vertrouw erop dat het management en het bestuur van Waternet de ILT in de toekomst goed zullen informeren over welke maatregelen zijn genomen om aan de zorgplicht uit de Wbni te voldoen. Waternet verleent medewerking aan het onderzoek dat de ILT heeft opgestart."

4
Reacties
Bop 18 februari 2021 18:49

Onder het motto: pentest, 'vet koel', maar waar heb je het over?

Hier de uitleg van deze afko*.
* Afkorting.

"A penetration test, colloquially known as a pen test, pentest or ethical hacking, is an authorized simulated cyberattack on a computer system, performed to evaluate the security of the system."

Niet meer bij WN 12 november 2020 00:29

Niet verrassend, management heeft geen vertrouwen in IT en ziet elke poging om beveiliging of best practice te implementeren als hinderlijk. Meestal worden pogingen om de beveiliging op te schroeven afgedaan met opmerkingen als "dit is geen team player mentaliteit" of "vertrouw je je collega's niet?".
10 jaar geleden was dit al het geval. Eerdere beveiligings problemen zijn onder de mat geveegd. Het is een wonder dat dit niet eerder aan het ligt is gekomen.

Martin Stevense 11 november 2020 17:59

Een pentest in januari met een rapport dat kort daarna wordt besproken (intern, vooruit). Hoe kan het dan dat in september pas acties worden ondernomen? Water is vitaal (inderdaad Pieter van der Hoog, mee eens) en dat moet dus veel sneller worden aangepakt. Een aanval is echt geen illusie tegenwoordig, en dat gaat alleen maar sterker gelden. Acties verwacht van directie en ministerie. Nu. Of eigenlijk: februari al.

Pieter van der Hoog 11 november 2020 12:22

Een verbijsterend artikel. Met name de brief van de minister. Daar wordt om de hete brij heen gedraaid en er wordt gesust. Nee geen kwaadwillige inbreuk, maar wel een groot risico (Kans * Impact = Risico). Niet NCSC informeren 'want er was geen incident'. Bestuur niet informeren, ILT eerst niet en daarna laat informeren. Pentester wegzetten als interne actie/initiatief. Alle vertrouwen uitspreken in Waternet....
Allemaal uit te leggen, maar negeert het feit dat drinkwater tot de vitale infrastructuur van Nederland hoort volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid.
Het zou de minister sieren als ze wat daadkrachtiger had gereageerd in de zin van 'eens maar nooit weer' en de regels aan te scherpen. En het zou de directeur van Waternet sieren om zijn verdere loopbaanplannen af te stoffen. Trouwens alle lof voor interne medewerkers die direct hun eigen verantwoordelijkheid hebben opgepakt.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.