This page contains a Flash digital edition of a book.
THEMA: ICT & AUTOMATISERING


Watersector heeft cybersecurity nog lang niet op orde’


De ontwikkeling van Water 4.0 brengt ook risico’s met zich mee. Hoe meer ict er wordt ingezet voor sturing van de wa- terinfrastructuur en hoe meer apparaten verbinding krijgen met internet, des te groter de kans op hacks en infecties met kwaadwillende software. Het Cybersecuritybeeld Nederland 2017 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) noemt een aantal incidenten in de water- sector. De drinkwatervoorziening had vorig jaar te maken met randsomwarebesmettingen en phishingaanvallen. Criminelen gebruikten hiervoor vertrouwde e-mailadressen van leveran- ciers. Hetzelfde gebeurde bij het keren en beheren van op- pervlaktewater, waarbij ook nog een aantal datalekken werd gemeld en bovendien eigen medewerkers uit ontevredenheid de ict saboteerden. Volgens voormalig journalist en internet- veiligheidsexpert Brenno De Winter, die regelmatig met de watersector van doen heeft, zijn deze voorbeelden in lijn met zijn eigen ervaringen. “Er is volop sprake van verkeerd gecon- fi gureerde systemen, ouderwetse protocollen en verouderde soft- ware. De meeste aanvallen zijn mogelijk


omdat bedrijven hun


werk niet goed doen. Hackers ko- men meestal met standaardtools binnen”, zegt De Winter, die eer- der liet zien dat de ict achter de OV-chipkaart zo lek was als een mandje.


“Er gebeurt structureel te weinig. Bij 99,9 procent van de hacks, weten we uit onderzoek, was het softwarelek al meer dan een jaar bekend.” Volgens De Winter zijn drinkwaterinstallaties, gemalen en sluizen ideale objecten voor afpersers. “Wij gaan jouw systeem in de war schoppen, maar voor twee ton beslui- ten we dat niet te doen. Dan zit er niets anders op dat geld te betalen. Er zijn volop van dat soort criminele businesscases.”


Brenno de Winter


Doorlopend risicomanagement Voor De Winter luidt de kernvraag: moet vitale infrastructuur wel op een publiek toegankelijk netwerk zijn aangesloten? “Als dat al moet, dan moeten we dat doen met de juiste risicobe- leving en geen servers van anderen gebruiken voor de opslag van data, alle verbindingen versleutelen, meer doen dan alleen wachtwoorden gebruiken en continu monitoren.” Ook door- lopend risicomanagement en detectie van nieuwe dreigingen is geboden, aldus De Winter. “Wees voorbereid voor als het misgaat en heb de acties klaar om de gevolgen te beperken. Maak analyses van de meest kwetsbare onderdelen van de ict-infrastructuur en richt daar de beveiliging op in. Dat is nog geen automatisme in de watersector. De basis moet op orde zijn. Zorg voor goede back-ups en inlogprocedures. Wacht- woorden zijn niet meer van deze tijd. Een ontslagen mede- werker die een digitale handtekening achterhoudt, kan veel schade aanrichten. Laatst moest een bedrijf naar de rechter stappen om data van een oud-medewerker terug te krijgen.”


De Algemene Verordening Gegevensbescherming (AVG) - in de volksmond ‘de privacywet’ - biedt een extra stok achter de deur om de cybersecurity op orde te hebben. Elke hack waar persoonlijke gegevens bij in het geding zijn, moet een bedrijf verplicht melden. Met ingang van 25 mei is de Euro- pese regelgeving in ons land van kracht. Bedrijven die hun lekken niet rapporteren, kunnen sancties van miljoenen eu- ro’s tot vier procent van hun wereldwijde jaaromzet tegemoet zien. De Winter zou graag zien dat bedrijven transparant zijn en gedetailleerd over hun incidenten verhalen, zodat andere bedrijven daarvan kunnen leren. “Dat gebeurt nog te weinig.” Opvolging van Informatiebeveiligingsnormen, zoals ISO 27001 of de nieuwe BIO-normen voor de overheid (Baseline Informa- tiebeveiling Overheid), kan volgens De Winter ook veel ellende voorkomen. “Zoiets dwingt organisaties met hun beveiliging bezig te zijn en basale zaken op orde te hebben.”


Actieprogramma Overigens heeft minister Cora van Nieuwenhuizen (Infrastruc- tuur en Waterstaat) internetveiligheid inmiddels op het netvlies. Binnen het Bestuursakkoord Water, zo kondigde ze tijdens een recent Kameroverleg aan, wil ze samen met de andere overheidslagen tot een actieprogramma komen om ’s lands kritische drinkwaterinfrastructuur voor aanvallen te behoeden. In juni wil Van Nieuwenhuizen haar plannen aan de Tweede Kamer voorleggen, tijdens het algemeen overleg Water.


Projectleider Christian Ziemer van de Duitse Water 4.0-werk- groep onderschrijft het belang van ict-beveiliging. Duitsland heeft al in 2015 de cyberbeveiliging van zijn vitale infrastruc- tuur wettelijk geregeld. “Ook voor de Duitse drinkwatersector geldt dat de beveiliging op orde moet zijn. Dat moet jaarlijks worden getest. Maar naast regelgeving en veiligheidsstan- daarden moet het onderwerp tussen de oren van medewer- kers zitten. Een ogenschijnlijk onschuldige usb-stick in de bedrijfs-pc stoppen kan heel gevaarlijk zijn. Bewustwording is nog wel het belangrijkste aspect.”


WATERFORUM MEI 2018


35


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48