Waterschappen onderzoeken hackgevaar waterwerken

Onder andere stuwen en gemalen zijn eenvoudig door kwaadwillenden te bedienen, bleek dinsdag uit een uitzending van EenVandaag. De Waterschappen onderzoeken nu de ernst van het gevaar.

Veere

In EenVandaag bleek dat in Veere de gemeentelijke rioolgemalen met het internet verbonden zijn en vervolgens simpel (met het wachtwoord 'Veere') benaderbaar. De aansturing gebeurt daarbij middels systemen die generiek met Industrial Control Systems (ICS) worden aangeduid. Volgens deskundigen is het dan niet zo moeilijk meer dergelijke apparatuur daadwerkelijk te bedienen en - in het geval van Veere - overstromingen te veroorzaken. 

Verwarming

Om te bewijzen dat het mogelijk is vergelijkbare apparatuur op afstand te bedienen heeft EenVandaag bij een kantoor van het Leger des Heils een dag de verwarming veel lager gezet. Het gevaar van een digitale inbraak ligt ten eerste in de verbinding met het internet en ten tweede in de manier waarop het ICS-systeem beveiligd is.

Werkgroep

Aan de waterschappen is de melding niet ongemerkt voorbij gegaan. "Het is natuurlijk belangrijk de sleutel niet onder de mat te hebben liggen", zegt perswoordvoerder Kees Meijer van de Unie van Waterschappen. De Unie heeft gisteren meteen een werkgroep in het leven geroepen. "Veel systemen worden via internet aangestuurd. Nu zijn we vooral aan het inventariseren waar dat gebeurt en waar er eventueel verbeteringen nodig zijn." De Unie van Waterschappen pakt de inventarisatie centraal aan, ook al zijn de waterschappen autonoom.

Doorgelicht
Bij het Waterschap  Rivierenland is het nieuws ook doorgedrongen, maar de infrastructuur is daar een half jaar geleden al doorgelicht, meldt een woordvoerder. "We denken voldoende waarborgen te hebben dat we kunnen voorkomen dat kwaadwillenden schade aanrichten, al kun je nooit zeggen dat alles honderd procent dicht is." Waterschap Rivierenland stuurt gemalen en zuiveringsinstallaties wel op afstand aan, maar dat gebeurt volgens de woordvoereder in een gesloten netwerk van het waterschap. Vanuit huis een installatie bedienen kan wel, maar dan moet de medewerker eerst inloggen op het bedrijfsnetwerk, om vandaaruit bijvoorbeeld een gemaal aan te zetten.
 

Onwetendheid

Toch weten veel organisaties niet precies hoe de vork in de steel zit, stelt het nieuwe Nationale Cyber Security Centrum (NCSC). Dat heeft gisteren een factsheet online gezet met uitleg over dergelijke 'ICS/SCADA-systemen' en wat organisaties kunnen doen om deze systemen optimaal te beveiligen als zij met het internet zijn verbonden. "De praktijk wijst uit dat veel organisaties onwetend zijn over welke van hun systemen direct via internet bereikbaar zijn. Een deel van die onwetendheid komt omdat systemen zijn aangelegd en/of worden beheerd door derden, waarmee geen of onvoldoende afspraken zijn gemaakt over beveiligingseisen", stelt het NCSC.