Watersnood dreigt door cyberaanval

Rijkswaterstaat doet onvoldoende aan de digitale bescherming van de vitale waterwerken, oordeelt de Rekenkamer. Er is veel werk verzet bij het in kaart brengen van de risico's maar de maatregelen zijn niet uitgevoerd.

Thijs DoorenboschMeer van deze auteur

Overstroming — © CC0-Pixabay

CC0-Pixabay

De waterwerken zijn cruciaal voor de fysieke veiligheid van Nederland. Het gevolg van een succesvolle cyberaanval kan zijn dat delen van Nederland onder water komen te staan. De Algemene Rekenkamer constateert dat de minister van Infrastructuur en Waterstaat nog stappen moet zetten om aan de eigen doelstellingen voor cybersecurity te voldoen.

Vitale waterwerken functioneren op automatiseringssystemen die veelal stammen uit de jaren 80 en 90 van de vorige eeuw. Deze zijn in de loop der jaren gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.

Ambities lang niet gehaald

Nog niet alle vitale werken zijn aangesloten op het Security Operations Center (SOC). Rijkswaterstaat had de ambitie om dat project in 2017 af te ronden maar is daar eind 2018 nog steeds niet in geslaagd. Volgens de woordvoerder Roel Geeraerdts van de Algemene Rekenkamer is het technisch complex om de aansluiting te maken en daardoor ook een kostbare aangelegenheid. "We zijn niet ontevreden over hoe het rapport is ontvangen door het ministerie. De minister heeft aangegeven dat ze het lastig vindt om de Rijkswaterstaat regio's direct aan te sturen. Dat blijkt wel nodig want ze trekken blijkbaar niet tijdig aan de bel dat de ambitie niet kan worden gehaald vanwege budgettaire problemen. De minister ziet het rapport als steun in de rug om wel strakkere regie te voeren. Er zijn inmiddels nieuwe stappen gezet"

De Algemene Rekenkamer concludeert dat het ook aan een goed scenario ontbreekt om te reageren op cyberaanvallen als deze zich voordoen. Er worden geen of veel te weinig 'penetratietesten' uitgevoerd met behulp van ethische hackers. Ook vindt de Algemene Rekenkamer dat medewerkers van het SOC te weinig worden gescreend. Een verklaring omtrent gedrag (VOG) is voldoende om daar aan de slag te gaan.