Onze vitale waterwerken lopen gevaar
Bij een cyberaanval op onze – digitaal aangestuurde – waterwerken is het leed niet te overzien. Afdoende maatregelen om de cybersecurity volledig te waarborgen zijn daarom absoluut noodzakelijk, stelt Kamerlid Corrie van Brenk.
De Algemene Rekenkamer maakt zich in het rapport Digitale Dijkverzwaring zorgen over de veiligheid van onze vitale waterwerken. Bij een cyberaanval is het leed niet te overzien. De minister zou in 2017 de zaken voor elkaar moeten hebben gehad – namelijk aansluiting bij het Security Operations Center SOC – maar daar zijn we nu anno 2019 nog lang niet.
Boter bij de vis
Minister Cora van Nieuwenhuizen maakt uitvoering van de aanbevelingen van de Rekenkamer afhankelijk van het onderzoek naar het dreigingsbeeld. “Maar dat kan écht niet”, reageert Corrie van Brenk. “No way! Aansluiting op het Security Operations Center SOC is hoe dan ook noodzakelijk. Dat zou al in 2017 hebben plaatsgevonden. Nu moet er boter bij de vis komen, en wij willen toezegging van de minister dat dit gaat gebeuren. De tijd van onderzoeken en twijfel is voorbij; geld en aanscherping van de procedure moet nú!”
► De volledige inbreng van Corrie van Brenk bij het debat over de cybersecurity van de Nederlandse waterwerken met minister Van Nieuwenhuizen van Infrastructuur & Waterstaat:
“Al bij haar aantreden heeft de minister aangegeven werk te willen maken van cybersecurity op haar beleidsterreinen. Een streven waar 50PLUS volledig achter staat. Op het gebied van waterwerken werd het programma BWR (Beveiligd Werken Rijkswaterstaat) opgestart en grotendeels doorlopen. Prima.
Tot zover de complimenten. De Algemene Rekenkamer heeft geconstateerd dat de strategie van detectie en respons weliswaar is ingericht, maar nog niet is voltooid. Het Security Operations Center (SOC) is hiertoe ingericht, maar ‘de ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 nog niet gerealiseerd’. Rijkswaterstaat zou dus een cyberaanval bij een vitaal waterwerk pas kunnen bespeuren als het al te laat is. Dat is op zijn zachtst gezegd zorgwekkend, zeker in het licht van de constatering dat sommige regio’s terughoudend zijn bij het nemen van extra maatregelen. Waarom zijn zij terughoudend, vraag ik de minister. En wat doet u hiertegen?
Daarnaast geeft het SOC aan te beschikken over te weinig kennis en capaciteit. Dat lijkt mij ondenkbaar en onwenselijk. Zeker gezien het feit dat bij een onderzocht vitaal waterwerk nog geen maatregelen ter detectie van een cyberaanval zijn getroffen. Ook pentesten worden lang niet altijd uitgevoerd. Dus nogmaals een concrete vraag: wat doet u hieraan?
Een andere belangrijke vraag is: waarom was de genoemde ambitie, die al eind 2017 gehaald had moeten zijn, eind 2018 nóg niet gehaald? Is dat inmiddels wel het geval?
Een aantal waterwerken die Rijkswaterstaat beheert, zijn vitaal. Een aanval op de IT van deze waterwerken kan grote gevolgen hebben voor Nederland. Het kan een kwestie van leven of dood worden. Daarom is het noodzakelijk dat alle vitale waterwerken rechtstreeks zijn aangesloten op het Security Operations Center (SOC) van Rijkswaterstaat. De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 daarmee nog niet gerealiseerd. Hierdoor bestaat het risico dat RWS een cyberaanval niet of te laat detecteert. Is dat nog steeds het geval of zijn we inmiddels bij?
Dat de financiering niet geregeld is kan geen argument zijn, het geld had er al in 2017 moeten zijn. Kan de minister ons garantie geven dat geld geen probleem mag zijn?
De minister maakt uitvoering van de aanbevelingen van de Rekenkamer afhankelijk van het resultaat van het onderzoek naar het dreigingsbeeld. No way, dat kan echt niet. Aansluiting op SOC is hoe dan ook noodzakelijk. Dat zou al in 2017 hebben plaatsgevonden. Nu moet er boter bij de vis komen, en wij willen toezegging van de minister dat dit gaat gebeuren.
Want als we met zijn allen de cybersecurity van vitale waterwerken zo cruciaal vinden, en dat vinden we, dan moeten we alles in het werk stellen om het geheel zo snel mogelijk zo veilig mogelijk te krijgen. Bedreigingen moet je immers niet alleen bestrijden. Net zo belangrijk is dat je bedreigingen voorkómt. Dát is het doel van een sluitende cybersecurity!
Al bij al geeft dit alles een ongemakkelijk gevoel, hetzelfde gevoel als 50PLUS heeft bij het achterstallige onderhoud aan wegen en bruggen, waar we binnenkort ook over praten. We rekenen op niet mis te verstane antwoorden en doortastend optreden van de minister!”
© 29 mei 2019