THEMA: ICT-AUTOMATISERING


Cyberaanval van binnenuit De Australische gemeente Maroochy, Queensland, liet in 1999 142 rioolgemalen plaatsen. Het hele rioolstelsel werd uitgerust met een draadloos Scada besturingssysteem. Een jaar later vertoonde het stelsel ineens 47 besturings- fouten die tot onverwachte overstortingen leidden van in totaal 1 miljoen liter ongezuiverd rioolwater. De gemeente had niet direct door wat de oorzaak was en had ook geen maatregelen getroffen voor cybersecurity, zoals het aan- brengen van noodstops.


Achteraf bleek dat een medewerker van het bedrijf dat de rioolgemalen had geïnstalleerd eerder dat jaar was ont- slagen. Hij was zo boos op zijn voormalige werkgever dat hij bij het bedrijf het besturingssysteem kopieerde en op zijn eigen laptop zette. Hij ontvreemde ook communicatie- apparatuur waarmee hij de rioolgemalen op afstand kon bedienen. Onderzoek bracht de gemeente op het spoor van de gefrustreerde ex-medewerker. Hij kreeg twee jaar celstraf.


Bron: Working paper Cybersafety Analysis of the Maroochy Shire Sewage Spill, Massachusetts Institute of Technology, mei 2017


en Rijkswaterstaat werd een ander voorbeeld gegeven waar- bij het bijna misging: een medewerker sloot met behulp van verouderde documentatie een laptop aan op een waterwerk dat in werking was. Hierop ontstond een storing in het water- werk en werd het onbedienbaar. Doordat de noodstop nog wel functioneerde, kon worden ingegrepen. ‘Het is echter niet ondenkbaar dat dit incident had kunnen leiden tot fysieke on- gelukken of schade aan het waterwerk’, is te lezen in het rapport van de Algemene Rekenkamer.


Trainingen


Hudson Cybertec heeft samen met het Nederlands Normali- satie Instituut een cybersecuritytraining ontwikkeld voor iede- reen die betrokken is bij productie- en procesinstallaties. Gezien het grote aantal aanmeldingen voor deze constateert Marcel Jutte dat er in de watersector steeds meer aandacht is voor cyberveiligheid. Toch blijft hij bezorgd, omdat hij vindt dat het invoeren van de ‘digitale dijkverzwaring’ voor vitale waterwerken niet snel genoeg gaat. “En dat terwijl de risico’s


Marcel Jutte


(Hudson Cybertec): “Wat betreft cyber- security is de mens vaak de zwakste schakel. Het screenen van medewerkers is een goed begin, maar er is zeker nog meer nodig.”


juist toenemen. Bijvoorbeeld door het Internet of Things (IoT). Steeds meer installaties maken gebruik van IoT-apparaten, maar als dat niet goed wordt georganiseerd, brengt dat extra veiligheidsrisico’s met zich mee.”


Detectie Volgens Rijkswaterstaat is het technisch te uitdagend en te kostbaar om de oudere systemen te moderniseren. Daarom richt de organisatie zich met name op de signalering van een cyberaanval en een adequate reactie om die aanval on- schadelijk te maken. Gedurende het onderzoek van de Alge- mene Rekenkamer is in samenwerking met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd bij een van de vitale wa- terwerken. Daarbij verschaften de ingehuurde hackers zich toegang tot de controlekamer. De aanvallers werden echter direct opgemerkt door het SOC, toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.


Met dit soort pentesten wil de minister de veiligheid van de waterwerken de komende jaren verder verbeteren. Het gaat dan om hackers die het systeem van buitenaf op de proef stellen. Voor het beperken van de gevaren van binnenuit lij- ken echter meer maatregelen nodig. Er moet meer worden geïnvesteerd in screening, monitoring en software waarmee ongebruikelijke handelingen van medewerkers worden ge- signaleerd. Alleen zo kan de dreiging van binnenuit worden beperkt.


WATERFORUM JUNI 2019


29


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48