Onderzoek Algemene Rekenkamer

Thales: 'Waterwegen onnodig lang kwetsbaar'

- 5 April 2019

Vorige week verscheen er een uitgebreid rapport van de Algemene Rekenkamer waarin geconstateerd wordt dat de minister van Infrastructuur en Waterstaat nog de nodige stappen moet zetten om aan de eigen doelstellingen voor cybersecurity rond vitale waterwerken te voldoen. Je leest er hier alles over

Vandaag verscheen er van de afdeling cybersecurity van Thales een reactie: "De veiligheid van Nederland staat onder druk. Hackers zouden in staat zijn op afstand de apparatuur te bedienen die ons land beschermt tegen het water. Rijkswaterstaat worstelt al jaren met deze uitdaging, terwijl het probleem in principe met een telefoontje kan worden opgelost."

Kritische beveiliging

De Algemene Rekenkamer heeft alarm geslagen bij het ministerie van Infrastructuur en Waterstaat omdat de Operationele Technologie (OT) van onze waterwegen niet goed beveiligd is tegen digitale aanvallen. Oudere apparatuur, die draait op oudere software, is onvoldoende bestand tegen moderne dreigingen vanuit cyberspace.

Voor de digitale beveiliging van de Nederlandse Waterwerken is volgens het onderzoek al veel werk verricht, maar “de ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 nog niet gerealiseerd. Hierdoor bestaat het risico dat Rijkswaterstaat een cyberaanval bij een vitaal waterwerk niet of te laat detecteert”. Risico’s wegnemen door de systemen te moderniseren is volgens Rijkswaterstaat technisch uitdagend.

Perspectief Thales

“Vanuit onze internationale ervaring met Operationele Technologie en cybersecurity hebben wij een zeer goed beeld van de risico’s waar de Nederlandse waterwerken mee te maken hebben. De dreiging is reëel”, bevestigt Oscar van Os, Manager Security Operations Center (SOC) bij Thales, internationaal specialist in de beveiliging van kritische infrastructuren.

Hij denkt ook dat de oplossing van de genoemde problemen binnen handbereik ligt. “Wij helpen al meer dan 15 jaar, over de hele wereld, bij de beveiliging van de OT én IT omgevingen van nucleaire installaties, waterzuiveringsinstallaties, defensie en andere kritieke infrastructuur waar cybersecurity van levensbelang kan zijn. Daarvoor maken wij onder meer gebruik van geïntegreerde CSOCs: Cyber Security Operations Centers die niet alleen kijken naar de IT-kant, maar juist ook naar Operationele Technologie. Die ervaring is per direct beschikbaar.”

OT-technologie, waar bijvoorbeeld de SCADA-systemen en PLC’s van de machines binnen de waterwerken onder vallen, vraagt om fundamenteel andere expertise dan bij de cybersecurity in de informatietechnologie gebruikelijk is. “Rijkswaterstaat heeft een goed plan en een helder beeld van waar ze naartoe willen. Maar met name aan de OT-kant proberen ze nu kennis en ervaring op te bouwen waar wij al vele jaren over kunnen beschikken, terwijl ze zelf ook al aangeven dat de specialisten die ze daarvoor nodig hebben steeds moeilijker te vinden zijn. Door samenwerking op te zoeken met ervaren marktpartijen kunnen ze de gewenste resultaten veel sneller bereiken.”

'Pas op met pentests'

Volgens de Algemene Rekenkamer is het, om de huidige situatie te verbeteren, nodig het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Ook zou het voor een snelle en adequate reactie op een crisissituatie van essentieel belang zijn informatie up-to-date te brengen. Pentesten zouden integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken. Verder zou moeten worden bezien of medewerkers van het SOC beter moeten worden gescreend.

Over die pentesten is Van Os echter kritisch: “Daar moeten ze heel erg mee uitkijken. De oude software die op dergelijke productie OT-omgevingen draait is daar niet altijd tegen bestand. Als door zo’n test een machine vastloopt, is het leed niet te overzien.” Veiliger en effectiever is volgens Van Os continue monitoring van de IT/OT-omgeving. “De Machine Learning technologie en Artificial Intelligence in onze systemen kan incidenten in de IT-omgeving correleren aan de OT-omgeving, waardoor we toekomstige incidenten op IT- en OT-niveau kunnen voorspellen en voorkomen.”

Volgens Van Os kan de cybersecurity industrie bij alle overige genoemde uitdagingen vrijwel onmiddellijk van dienst zijn. “We kennen de dreigingen, we hebben de tools en de expertise om incidenten in dergelijke omgevingen te detecteren, en onze medewerkers zijn op het hoogste veiligheidsniveau gescreend en gecertificeerd. Het enige wat Rijkswaterstaat zou moeten loslaten is het idee dat ze het helemaal zelf moeten oplossen. Als de dreiging zo groot is, en de techniek gecompliceerd, is samenwerking met ervaren experts echt de beste manier om snel tot een goede oplossing te komen.”

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK