Verzwegen pentest Waternet ook niet gemeld aan toezichthouder en NCSC

Een tweede artikel heeft het bestaan van de pentest onthuld. De minister van Infrastructuur en Waterstaat geeft nu wat details bloot over deze securityzaak bij Waternet.

De onthulling van de verzwegen pentest is vlak voor publicatie van FtM's tweede artikel begin november nog wel door Waternet gemeld aan toezichthouder ITL. Die had eind oktober een gesprek gevoerd met de directie van het waterbedrijf naar aanleiding van het eerste artikel (van 19 september), waarin de beveiliging van de organisatie als ondermaats werd omschreven. De pentest die begin 2020 is uitgevoerd, is niet genoemd door de directeur in een sussende brief aan het bestuur van de stichting. In die brief schreef de directeur dat de onthullingen van FtM, op basis van uitgelekte documenten, slechts om "gedateerde bevindingen" zouden gaan.

Ontbrekende patches

Daarbij heeft de bestuurder verzwegen dat er in januari dit jaar een pentest is uitgevoerd waaruit ernstige beveiligingsproblemen zijn gebleken. Zo waren versleutelde wachtwoorden zwak en met dictionary attacks te kraken. Verder zwierven er bestanden van wachtwoordmanager KeePass rond op netwerkshares, werden KeePass- en Topdesk-wachtwoorden gevonden met in laatstgenoemde (een beheerplatform) verschillende wachtwoordresetverzoeken compleet met het nieuwe wachtwoord en de wijzigingsprocedure. Ook is er door de pentesters ontdekt dat er een niet meer ondersteunde Windows-versie wordt gebruikt en dat niet alle beveiligingsupdates waren geïnstalleerd.

In totaal waren er 11 grote kwetsbaarheden in de beveiliging van Waternet, waarvan er 5 als kritiek zijn aangemerkt. Nog eens 5 stuks zijn in het pentestrapport als 'hoog' risico ingeschaald, en de resterende kwetsbaarheid kreeg het kenmerk 'gemiddeld' mee. Deze problemen zouden niet vanuit de directie zijn opgepakt, hoewel enkele acties ter verbetering van de beveiliging op eigen initiatief van securityverantwoordelijken bij Waternet zijn uitgevoerd. Na de brief van de directie is een gekozen bestuurslid er achter gekomen dat er een pentestrapport was, waarvoor hij toen inzage heeft gevraagd maar dat werd hem geweigerd. Dit heeft FtM onthuld in het vervolgartikel van 2 november. Het hieruit naar voren komende beeld van gebrek aan aandacht voor beveiliging, plus een verbergcultuur, wordt nu effectief bevestigd door het ministerie van Infrastructuur en Waterstaat.

Toezichthoudende rol

Minister Cora van Nieuwenhuizen schrijft in antwoord op Kamervragen dat toezichthouder ILT in het gesprek van 27 oktober niet is geïnformeerd over het pentestrapport, of over uitkomsten van andere pentesten. "Daags na het gesprek heeft Waternet de ILT op de hoogte gesteld van een mogelijk voorgenomen publicatie van FtM over een pentestrapport van begin 2020. De ILT was voorafgaand aan de publicatie van Follow the Money (FtM) op 2 november 2020 niet op de hoogte van de inhoud van de rapportage over deze pentest."

De toezichthouder heeft dat verzwegen rapport op 2 november gelijk opgevraagd en een dag later alsnog ontvangen, meldt Van Nieuwenhuizen. Op de vraag of zij als bewindspersoon niet op de hoogte gesteld had moeten antwoorden, geeft ze een genuanceerde reactie. Het ongevraagd toesturen van de uitkomsten van vertrouwelijke pentesten is geen gangbare praktijk voor aanbieders van essentiële diensten, aldus de minister. "Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen."

'Vertrouwelijke pentest'

Uit haar antwoorden blijkt ook dat Waternet geen melding heeft gedaan bij het Nationaal Cyber Security Centrum, wat volgens de minister echter niet van toepassing is. De "vertrouwelijke pentest" is door Waternet niet gemeld bij het NCSC, wat ook niet verplicht was omdat het geen security-incident was. "Een pentest is een interne test door ethische hackers in opdracht van een aanbieder om de cyberveiligheid te checken en waar nodig te verbeteren. Er is bij een pentest geen sprake van een moedwillige inbreuk of cyberincident met significante gevolgen voor de continuïteit van de dienstverlening."

De minister reageert ontwijkend op een negental vragen over de bevindingen van de pentesters, de gebrekkige IT-opstelling van Waternet, de verzwijgende opstelling van de directie, en de mogelijke gevolgen daarvan. "Ik heb er begrip voor dat de Kamer in deze casus snel alles boven water wil halen. Ook voor mij heeft het de hoogste urgentie dat er door grondig onderzoek een compleet beeld ontstaat." Van Nieuwenhuizen verwijst hierbij naar het onderzoek dat toezichthouder ILT zelf heeft gestart, wat zij op 4 november aan de Kamer heeft laten weten.

Afwachten en (blijven) vertrouwen

"Dit onderzoek - dat is gericht op het drinkwaterrelevante deel van Waternet - richt zich naast de naleving van de Wbni (Wet beveiliging netwerk en informatiesystemen - red.), leveringszekerheid van drinkwater ook op de governance van de organisatie." Van Nieuwenhuizen wil nu eerst de resultaten afwachten van zowel dat lopende ILT-onderzoek als ook van een ander onderzoek, wat in opdracht van Waternet wordt uitgevoerd. "Pas als deze resultaten bekend zijn kan worden bepaald of interventies nodig zijn. De ILT heeft geen reden om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is."

Vooralsnog lijkt de bewindsvrouw wel te vertrouwen op het kwetsbaar gebleken waterbedrijf. "Waternet heeft mij medegedeeld dat er uit voorzorg een nog striktere scheiding tussen de procesautomatisering en kantoorautomatisering is aangebracht. Of en zo ja welke verdere maatregelen zijn getroffen door Waternet wordt meegenomen in het genoemde onderzoek van de ILT. Ik zal de Kamer hierover nader informeren." Niet alleen de organisatie maar ook het bestuur geniet nog vertrouwen van de minister: "Ik vertrouw erop dat het management en het bestuur van Waternet de ILT in de toekomst goed zullen informeren over welke maatregelen zijn genomen om aan de zorgplicht uit de Wbni te voldoen. Waternet verleent medewerking aan het onderzoek dat de ILT heeft opgestart."