“Je moet er niet aan denken dat bijvoorbeeld de Maeslantkering vanwege een vliegende storm met springtij moet sluiten, maar dat deze vanwege een cyberaanval openblijft”, zo begon Kamerlid Nico Drost (CU) zijn bijdrage aan het Kamerdebat over cybersecurity bij vitale waterwerken. Minister Van Nieuwenhuizen liet in reactie weten dat cyberaanvallen als een reële kwetsbaarheid worden gezien en nadrukkelijk ook worden meegenomen in de nieuwe faalkansberekeningen van vitale keringen. De Tweede Kamer vindt dat Rijkswaterstaat snel aan de slag moet met het Security Operations Center (SOC) dat al in 2017 operationeel had moeten zijn.
Aanleiding voor het Kamerdebat was het in maart verschenen rapport van de Algemene Rekenkamer met acht aanbevelingen voor het verbeteren van vitale waterwerken tegen cyberaanvallen. Een van de aanbevelingen van de Rekenkamer betrof de aansluiting van waterwerken op het Security Operations Center (SOC) van Rijkswaterstaat. Het SOC moet Rijkswaterstaat in staat stellen een cyberaanval te detecteren. Dat had al in 2017 een feit moeten zijn maar de volledige aansluiting van alle vitale waterwerken is nog niet klaar. Alle Kamerleden vonden dat de minister alles op alles moet zetten omdat zo snel mogelijk te realiseren. Kamerlid Van Brenk (50+) stelde in eerste instantie een deadline van eind dit jaar. De minister achtte dit onhaalbaar en zei tot het SOC zo snel mogelijk te realiseren.
Geheimhouding
Waarom de minister dit onhaalbaar achtte, werd uit het debat niet helemaal duidelijk maar dat kan zijn geweest omdat de Kamerleden en de minister niet helemaal vrijuit konden spreken. De Kamerleden hadden voorafgaand aan het debat een geheime briefing gehad waaruit ze niet mochten citeren.
Geld was in ieder geval geen probleem, zo stelde de minister. De aanbevelingen van de Algemene Rekenkamer kunnen volgens haar binnen het huidige budget worden uitgevoerd. Wel wil ze straks als er een actueel dreigingsbeeld is – een van de acht aanbevelingen van de Rekenkamer – opnieuw bezien of er voldoende geld is om de vitale waterwerken te beschermen tegen cyberaanvallen.
Verouderde software
Wat er wel mee te maken kan hebben is de verouderde software waar Rijkswaterstaat nog mee werkt en de vervanging daarvan. Suzanne Kröger (GL)kaartte dit aan. “Rijkswaterstaat geeft aan zich niet te willen gaan richten op modernere systemen, maar op detectie en response. Maar moeten we die oude computersystemen niet sowieso moderniseren?”, zo vroeg Kröger zich af.
In reactie op deze vraag liet minister Van Nieuwenhuizen weten dat vervanging niet alleen kostbaar is maar soms de continuïteit van het netwerk in gevaar kan brengen. Ze wees erop dat regionale afdelingen van Rijkswaterstaat daar huiverig voor zijn. “Zij zijn bezorgd of het middel niet erger is dan de kwaal, omdat het bewuste object in de tussentijd natuurlijk wel goed moet blijven functioneren”.
Van Nieuwenhuizen riep op verstandig om te gaan met de vervanging van oude apparatuur. “Als we maar enigszins het gevoel hebben dat ze kwetsbaar zijn, gaan we ze vervangen. Als dat niet nodig is omdat het standalone is en er een back-up is, doen we dat nog niet. Daar wordt van geval tot geval naar gekeken.”
Handbediening
Kröger vroeg de minister ook naar de werking van de vitale waterwerken zonder de autorisatie van een computer 200 kilometer verder op. Van Nieuwenhuizen verzekerde haar dat vitale onderdelen zo zijn ingericht dat ze ook standalone kunnen opereren. “In veel gevallen gaat het om mechanische varianten en kan er door mensen met de hand iets dichtgedraaid worden en dat soort praktische zaken. Vitale objecten worden ook lokaal bediend. Het is voor ons ontzettend belangrijk om dat te blijven borgen, ook naar de toekomst toe, zodat we nooit helemaal afhankelijk zijn van een digitaal systeem””, zo voegde de minister toe.
PEN-testen en screening
Kamerlid Rutger Schönis (D66) hamerde vooral op de uitvoering van penetratietesten die laten zien of een waterwerk voldoende weerbaar is of niet. Wat D66 betreft moet een PEN-test een integraal onderdeel zijn van de cybersecurity van alle kunstwerken. Schönis diende een motie in die de verzoekt de regering om het doen van volwaardige pentesten op de industriële automatiseringssystemen van alle vitale waterwerken.
De Kamer stond ook uitgebreid stil bij de aanbeveling van de Algemene Rekenkamer de screening te verbeteren van personeel dat te maken heeft met digitale besturingssystemen. Kamerlid Remco Dijkstra (VVD) vroeg daarna. “Hoe staat het met de ‘mindware’, de cultuur, en om de vraag hoe je omgaat met je personeel?”, vroeg Dijkstra. In reactie liet minister Van Nieuwenhuizen weten dat
beheerders en bedieners van op afstand bedienbare objecten bij Rijkswaterstaat al jaren een awareness training volgen. Maar de minister erkende geschokt te zijn door het onderzoek van de Algemene Reken Kamer en het screeningsniveau moet wat haar betreft op een hoger niveau komen. Ze wees met name op het bewustzijn, ook op het ministerie zelf. “Aan de ene kant het vergroten van het bewustzijn van mensen die dit werk doen zodat ze niet, soms toch onbewust, risicovolle situaties creëren. En anderzijds is het erop gericht dat mensen niet bewust met kwaadwillende partijen gemene zaak maken.”
Vergezicht
De volgende stap in het cybersecurity-dossier is duidelijk de schets van het actuele dreigingsbeeld waar nu aan wordt gewerkt. Toch gaf de minister al een doorkijk naar wat er daarna moet gebeuren. Zo hoopt ze dat de actiepunten die op dit onderwerp zijn afgesproken met de waterschappen worden uitgevoerd. De inbedding van ‘security by design’ in hele organisatie is voor wat haar betreft ook een belangrijk aandachtspunt. Ze wees erop dat de wereld van de cybersecuroty heel snel veranderd en dat het moeilijk zal zijn die bij te benen. “Je kunt dat als land niet in je eentje. Je hebt internationale samenwerking nodig om zo alert mogelijk te blijven. Want, helaas, de bad guys hebben de neiging om altijd net een stapje harder te rennen”, zo constateerde Van Nieuwenhuizen.
