Rijkswaterstaat is al enkele jaren bezig met een inhaalslag om de aanbevelingen uit het rapport van de Algemene Rekenkamer (ARK) ‘Digitale Dijkverzwaring: cybersecurity en vitale waterwerken’ op te volgen. Volgens minister Harbers van IenW zijn er vooral met het RWS-versterkingsprogramma inmiddels flinke stappen gezet. Steeds meer objecten worden aangesloten op het Security Operations Centre (SOC).
“Rijkswaterstaat heeft de afgelopen jaren hard gewerkt om de aanbevelingen uit het rapport van de ARK op te volgen”, schrijft de minister in een brief aan de Tweede Kamer. “Bij de instandhoudingsmaatregelen de komende jaren wordt rekening gehouden met cybersecurity en nationale en economische veiligheid. Daarnaast wordt de cyberweerbaarheid verder verbeterd door middel van het RWS-versterkingsprogramma. Eén van de maatregelen betreft de uitbreiding van het Security Operations Centre (SOC), waarin objecten gemonitord worden van het Hoofdwatersysteem, Hoofdwegennet en het Hoofdvaarwegennet. Sinds de start van het versterkingsprogramma zijn de belangrijkste objecten geschouwd en zijn de eerste 30 van de circa 60 extra objecten (bovenop de al bestaande aangesloten objecten) aangesloten op het SOC. Het merendeel van de overige aansluitingen zal dit jaar plaatsvinden.”
Voorbereiding op cybercrisis
Andere voorbeelden van maatregelen die tot uitvoering worden gebracht binnen het versterkingsprogramma zijn het uitvoeren van een Baseline Informatiebeveiliging Overheid (BIO) onderzoek, het uitvoeren van cybertesten als onderdeel van de functionele inspectietesten (FIT), het trainen en oefenen in voorbereiding op een cybercrisis.
Niet alle maatregelen uitgevoerd
In maart 2019 constateerde de ARK in zijn rapport dat de cybersecurity van vitale waterwerken verre van waterdicht was: “Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen”, stelde de Rekenkamer vast. “Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. Crisisdocumentatie is verouderd en er worden geen volwaardige pentesten uitgevoerd. Uit het onderzoek blijkt dat nog niet alle vitale waterwerken rechtstreeks zijn aangesloten op het Security Operations Center van Rijkswaterstaat. Hierdoor bestaat het risico dat Rijkswaterstaat een cyberaanval niet of te laat detecteert. De minister van Infrastructuur en Waterstaat moet nog stappen zetten om aan de eigen doelstellingen voor cybersecurity te voldoen.”
Aanbevelingen
De Algemene Rekenkamer beval de minister van Infrastructuur en Waterstaat aan om het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Ook is het volgens de ARK voor een snelle en adequate reactie op een crisissituatie van essentieel belang dat informatie up-to-date is. Pentesten zouden integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken. Verder zou moeten worden bezien of medewerkers van het SOC beter moeten worden gescreend.
Geopolitieke spanningen
Met de huidige geopolitieke spanningen, zoals de oorlog in Oekraïne, worden actuele dreigingen alleen maar sterker. Er is daarom voor gekozen om de opschalingsprocedures te verkorten, want ook Rijkswaterstaat kan tenslotte een strategisch doelwit zijn. Volgens de deskundigen zou de dienst wanneer het SOC een acute aanval ziet, binnen vijf minuten in crisismodus moeten kunnen zitten. Het lukt nu veel sneller om de afweging te maken of er moet worden overgeschakeld naar een crisismodus of niet. In de huidige geopolitieke omgeving is er tenslotte geen tijd voor een uitgebreide ambtelijke discussie; het is belangrijk om snel te kunnen schakelen. Rijkswaterstaat werkt daarom momenteel in een ‘ecosysteem’ samen met het Nationaal Cyber Security Centrum (NCSC) en enkele grote uitvoerders binnen de overheid.
Besloten briefing
Tijdens de begrotingsbehandeling van het ministerie van IenW in november 2021 werd een motie van PVV-Kamerlid Barry Madlener aangenomen met het verzoek aan de minister om de Kamer nader te informeren over de veiligheid van de hoofdnetwerken. Minister Harbers zegt toe dat later dit jaar te doen, maar gezien het vertrouwelijke en veiligheidsgevoelige karakter van de informatie, zal dat gebeuren in een besloten technische briefing.
