Stuw gehackt

Kunnen computerhackers stuwen en gemalen openzetten en zo overstromingen veroorzaken? Eenvoudig is het niet, maar waterschappen begrijpen dat ze zich beter moeten beschermen. ‘De beveiliging hobbelt achter de digitale ontwikkelingen aan.’

Waterschappen voeren beveiliging waterkering op

Telecomcentrales, zwembaden, bruggen, elektriciteitscentrales; veel installaties blijken kwetsbaar voor een digitale inbraak door mensen met minder goede bedoelingen. De angst krijgt af en toe een zetje door berichten uit het buitenland. Zo werd vorig jaar bekend dat de computer die de afwateringsklep van een stuwdam in de buurt van New York aanstuurt, bijna door een groep Iraniërs werd overgenomen. Ze hadden genoeg aan wat slimme zoekvragen op Google om de juiste inlog te vinden.

Het inzicht dat het hackers soms ook wel wat al te makkelijk wordt gemaakt, begon in Nederland zo’n vier jaar geleden. De gemeente Veere werd erop gewezen dat het wachtwoord waarmee haar op afstand bestuurde rioolgemaal werd beveiligd – ‘Veere’ – toch wel wat makkelijk was te achterhalen. Het rioolsysteem viel dus mogelijk te ontregelen met alle gevolgen van dien. De waterschappen vroegen zich af of zoiets ook mogelijk was bij al die stuwen, gemalen, sluizen en waterzuiveringsinstallaties die ze beheren? De Unie van Waterschappen riep meteen een stuurgroep in het leven.

Lektober
Informatiebeveiliging staat bij de overheid duidelijk op de agenda sinds 2011, toen de DigiNotar-affaire (waarbij digitale beveiligingscertificaten niet meer betrouwbaar bleken) opdook, evenals ‘Lektober’, een inventarisatie van beveiligingslekken bij overheden en bedrijven. De nadruk ligt daarbij op de gegevens die de overheid bewaart en de privacy-aspecten daarvan.

Bij waterschappen speelt dat soort kwetsbaarheden nauwelijks. Hun omgang met persoonsgegevens beperkt zich met name tot de belastingheffing en die is doorgaans ondergebracht bij regionale/gemeentelijke belastingsamenwerkingen. De aansturing van de installaties van waterschappen is van een andere orde en is daardoor wellicht wat later in beeld gekomen.

De betreffende systemen worden meestal aangeduid met de term SCADA (Supervisory Control And Data Acquisition). Het is de software waarmee meet- en regelsignalen worden beheerd en waarmee (via ‘PLC’s’) ook de feitelijke kleppen, motoren en andere mechanismen in industriële systemen worden bediend.

Piet Sennema, secretaris-directeur van Waterschap Aa en Maas, was van het begin af betrokken bij de inspanningen van de waterschappen. Hij is nog steeds voorzitter van de stuurgroep Informatieveiligheid van de waterschappen. Echt bezorgd klinkt hij niet. ‘Die besturingstechniek is over het algemeen dubbel uitgevoerd en ultimum remedium kun je het ook nog gewoon met de hand bedienen. Maar dat wil je natuurlijk niet, wij kunnen bijvoorbeeld de zuiveringsinstallatie vanaf elke plek digitaal bedienen.’

Overschakelen op handbediening is bij Aa en Maas nog niet nodig geweest. Maar Sennema ziet wel dat dit soort systemen kwetsbaarder is dan de systemen die met gegevens omgaan. ‘Bij de zuivering gaat het om de volksgezondheid en bij stuwen en gemalen gaat het over de waterveiligheid.’ Geen zaken om lichtvoetig over te doen dus. De beveiliging van stuwen en gemalen is een nog vrij nieuwe kwestie, stelt Marcel Spruit, lector Cyber security & safety aan de Haagse Hogeschool (HHS). Hij heeft de ontwikkelingen rond beveiliging bij de waterschappen goed gevolgd, mede binnen het onderzoeksprogramma Veilig Water van de HHS, waaraan ook de waterschappen en TNO deelnemen.

‘De waterschappen waren een aantal jaren terug nog erg fysiek ingesteld’, zegt Spruit. ‘Toen kwam er langzamerhand steeds meer automatisering, eerst lokaal, vervolgens via een lijntje en daarna gecentraliseerd via het internet. We praten dan over pas een paar jaar geleden. Het laatste waterschap dat zijn netwerken met elkaar integreerde, was vorig jaar. Pas toen kon een beheerder daar zijn mail doen en een gemaal controleren op hetzelfde systeem. De beveiliging hobbelt zoals gewoonlijk achter die ontwikkeling aan.’

Beveiligingsgebreken
De inventarisatie van de waterschappen in 2013 leverde volgens Sennema geen wereldschokkende kwetsbaarheden op, wel een reeks kleinere beveiligingsgebreken die in de lijn past van wat Spruit schetst. Dan bleken bijvoorbeeld computers met aansturingssoftware die zogenaamd ‘stand alone’ waren toch op de een of andere wijze op het grotere netwerk van het waterschap aangesloten – en dus kwetsbaar via het internet. Sennema: ‘We hebben een aantal van die dingen gedetecteerd en dat hebben we anders ingericht. Dat soort dingen is er wel uit.’

Externe deskundigen worden nu jaarlijks ingehuurd om hackpogingen te doen. ‘Daaruit blijkt dat we redelijk safe zijn en daarover rapporteren we ook aan het algemeen bestuur.’ Sennema somt moeiteloos een reeks maatregelen op die de waterschappen gezamenlijk of afzonderlijk hebben genomen: de stuurgroep werd opgericht, er is een inventarisatie gemaakt van de risico’s, er zijn risicoanalyses en scenario’s opgesteld en de Baseline Informatiebeveiliging Waterschappen (BIWA) is opgesteld, naar het voorbeeld van de BIR (rijk) en de BIG (gemeenten), om een richtlijn te hebben voor de aanpak van de beveiliging.

‘We hebben ook mensen opgeleid in de SCADA-techniek om te kijken waar de risico’s kunnen zitten’, zegt Sennema. ‘We delen de kennis en kunde en zijn aangesloten bij het NCSC om onveilige situaties digitaal te kunnen delen. En de eerste waterschappen doen dit jaar een audit op de BIWA. Alle waterschappen zien inmiddels wel het belang van een goede beveiliging.’ Bij Aa en Maas logt iedereen in met een inlognaam, een wachtwoord en een zescijferige code die van een zogeheten ‘token’ moet worden afgelezen.

Calamiteitenplan
Ook Spruit denkt dat het wel meeviel met de kwetsbaarheden. ‘Waar we in het onderzoeksprogramma vooral mee bezig zijn geweest, is het verbeteren van de systemen. Je praat wel over organisaties die van  origine in veiligheidsscenario’s denken. Je hoeft ze niet uit te leggen dat ze een calamiteitenplan moeten hebben. Ze hebben allemaal wel eens een incident gehad met een gemaal dat uitviel of zo. Ze lopen wat dat betreft wel voor op veel andere organisaties. Maar niet alles is goed. Er is wel een gat tussen wat ze gerealiseerd hebben en wat hun eigen ambitie is. Ze willen het nog beter op orde hebben dan het geval is.’

Denken in scenario’s is daarbij belangrijk, vindt Spruit. De waterschappen hebben daarbij een voordeel. ‘Als er iets fout gaat, kan er nog steeds iemand gebeld worden om een stuw handmatig te bedienen, want er zit nog steeds zo’n draaiwiel op. Een bank heeft binnen tien minuten een probleem als de flappentappen het niet doen. Maar als een sluis ongewenst open of dicht gaat, dan duurt het uren voordat het water een centimeter stijgt.

Een boer signaleert dat en er kan alsnog worden ingegrepen. De processen werken zodanig traag dat er niet veel haast bij is.’ Ook het feit dat alles pas over een paar jaar centraal wordt geregeld, helpt de waterschappen nog. ‘Als op een gegeven moment niemand meer weet hoe je zo’n sluis handmatig bedient – op gevoel – dan is er wel een probleem. Die fase hebben ze nu nog niet bereikt.’

Natte voeten
De kans op natte voeten door gekraakte stuwen en gemalen is dus niet erg groot. Daardoor is het voor cyberterroristen waarschijnlijk ook geen interessante optie, denkt Spruit. De genoemde stuwdam bij New York is van een heel andere orde en dan kom je wat Nederland betreft bij de grotere installaties en waterkeringen terecht die door Rijkswaterstaat worden beheerd. Een kunstwerk als de Oosterschelde-waterkering is volgens Spruit qua beveiliging een ‘Fort Knox’.

Rijkswaterstaat heeft een eigen Security Centre dat voortdurend in de gaten houdt hoe de organisatie zich het best kan beschermen tegen bedreigingen van de systemen die bruggen, sluizen en waterkeringen aansturen. Spruit denkt dat ‘het kwartje wel gevallen is’ bij de waterschappen. ‘Ik denk ook dat het de cultuur is. Het zijn allemaal ingenieursorganisaties. Er is weinig machtsdenken en de waterschappen praten ook makkelijker met elkaar. Die verplichtende zelfregulering rond informatieveiligheid die vanuit Den Haag is afgekondigd, is voor hen relatief makkelijk.’

Maar zowel hij als Sennema benadrukt dat beveiliging mensenwerk blijft. En, vooral, dat het een wapenwedloop is, met een groeiende groep hackers, cyberterroristen en steeds jeugdiger digitale onverlaten. Spruit: ‘Het grootste probleem is dat ze in een ontwikkeling zitten waarin de naaste toekomst veel grotere risico’s heeft. Als je er op tijd op inspeelt, kun je het aanpakken. Als je het laat lopen, heb je een probleem.’