Bruggen, sluizen en tunnels kunnen ook gehackt worden

Cybercrime is big business. Ook onze vitale infrastructuur ligt onder het vergrootglas. Hoe goed of slecht zijn onze bruggen, sluizen en tunnels beveiligd? Wie zorgt dat ze niet worden gehackt? Zijn infrabedrijven speciaal beschermd? En hoe is het geregeld nu ICT-beheer steeds vaker bij marktpartijen ligt? Matig tot slecht, zo lijkt het. “We hoppen van incident naar incident.”


Neem een kijkje op Raidforums.com en je treft een duistere wereld. ‘Join today to experience everything we have to offer such as leaks, database breaches and adult content’, zo luidt de aanmoediging om te komen ‘shoppen’ op dit hackersforum. Alles wat geld kan opleveren, wordt hier verhandeld: buitgemaakte wachtwoorden, sukkellijsten, databestanden, porno-accounts en gelekte informatie. Vandaag zijn er al meer dan drieduizend bezoekers geweest. BreadHump biedt het klantenbestand aan van een cricketclub. Shloubi verkoopt tips om WiFi-netwerken binnen te dringen. Bosco666 heeft gelekte data van een Vietnamese luchtvaartmaatschappij in de aanbieding. Het is allemaal te koop en kan gebruikt worden voor phishing, afpersing of identiteitsfraude. Meestal is het weggegooid geld. Soms leg je er een oliemaatschappij mee plat. Of een bouwbedrijf.

De handel in gevoelige informatie tiert welig. Zoals Raidforums.com zijn er duizenden platforms. En dat is slecht nieuws. Maar het wordt pas echt een nachtmerrie zodra onze vitale infrastructuur in gevaar komt. De toevoer van olie, kaas of verse eurobiljetten is niet vanzelfsprekend. De begaanbaarheid van bruggen, viaducten, snelwegen en tunnels evenmin. Ethische hackers luiden de noodklok. En dat is een understatement. “Het loopt, zeg maar, een beetje uit de klauwen”, zegt ethisch hacker Sijmen Ruwhof, die bedrijven moet beschermen. “We hoppen van incident naar incident.”

Screening medewerkers
De risico’s zijn al jaren bekend. In maart 2019 verscheen het rapport ‘Digitale dijkverzwaring: cybersecurity en vitale waterwerken’ van de Algemene Rekenkamer. Lang verhaal kort? Vitale waterwerken moeten beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat had destijds al veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. ‘Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd’, zo meldt het rapport. Crisisdocumentatie is verouderd en er worden geen volwaardige pentesten uitgevoerd. (Pen staat voor penetration, het van buitenaf inbreken in een computersysteem.)

Uit het rapport bleek concreet dat nog niet alle vitale waterwerken rechtstreeks waren aangesloten op het Security Operations Center (SOC) van RWS. Hierdoor bestond het risico dat RWS een cyberaanval niet of te laat zou detecteren. Verder zouden pentesten integraal onderdeel moeten worden van de maatregelen. En medewerkers van het SOC zouden beter gescreend moeten worden. Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat moest ‘stappen zetten’ om aan de doelstellingen te voldoen, actuele dreigingsniveau’s te onderzoeken en te besluiten of extra mensen en middelen nodig zijn.

Pentesten
De tijd verstreek. Van Nieuwenhuizen gaf in een kamerbrief op 15 juni 2020 aan ‘voortvarend’ aan de slag te zijn gegaan om de aanbevelingen uit te voeren. Zo is de intersectorale afhankelijkheid in kaart gebracht, zijn pentesten uitgebreid en zijn inmiddels bijna alle vitale objecten aangesloten op het SOC. Belangrijke functies bij het SOC zijn aangewezen als ‘vertrouwensfunctie’ en medewerkers zijn gescreend. In een update op 2 juni 2021 laat de minister aan de kamer weten dat dit en volgend jaar extra budget geïnvesteerd zal worden in de cyberweerbaarheid van RWS. Een bedrag wordt niet genoemd.

Met deze nieuwe impuls denkt RWS beter ‘in control’ te zijn. De genoemde testen bestaan naast pentesten uit kwetsbaarheidstesten en andere testen van de veiligheid van de procesautomatisering. Het type systeem en object is bepalend voor het soort test. “Het is een risicoafweging of een pentest of kwetsbaarheidstest wordt uitgevoerd”, laat RWS-woordvoerder Rob Hageman weten. RWS geeft hierover geen specifieke informatie. En dat is maar goed ook. Slapende honden zouden maar wakker worden en potentiële kwetsbaarheden zouden maar onder een vergrootglas komen te liggen.

Waternet onder verscherpt toezicht
Het klinkt allemaal voortvarend. Maar we weten waar mooie rapporten uiteindelijk terecht komen. De werkelijke strijd wordt gestreden op het slagveld. Elke organisatie kan getroffen worden. Ineens ben je aan de beurt. Drinkwaterorganisatie Waternet werd in april van dit jaar door de Inspectie Leefomgeving en Transport (ILT) onder verscherpt toezicht geplaatst omdat na het verzwijgen van een pentest en uit nader onderzoek bleek dat er onvoldoende grip was op de eigen cybersecurity. De Kamerleden Van Ginneken en De Groot (D66) stelden er Kamervragen over aan Cora van Nieuwenhuizen.

Het is de vraag of verdere centralisatie en digitalisering altijd de oplossing is. Veel bruggen, tunnels en sluizen zijn ooit gebouwd om fysiek beheerd te worden. Processen werden geautomatiseerd en veel bruggen en waterwerken zijn nu aangesloten op SOC’s van RWS, provincies en gemeentes. Vandaaruit worden ze aangestuurd met gescreende medewerkers. Is dat een stap vooruit? Ethisch hacker Sijmen Ruwhof is niet overtuigd: “Als je de beveiliging niet op orde hebt, brengt centralisatie en digitalisering grote risico’s met zich mee. Een hacker kan de centrale aansturing overnemen. Stel hij zet de bruggen open en maakt de aansturing kapot. Dan zit de samenleving met een groot probleem. Criminele hackers zullen dat niet zo snel doen. Die willen geld verdienen en niet de aandacht van opsporingsdiensten op zich vestigen, maar toch.”

Geautomatiseerd platform
TNO werkt momenteel aan een securityplatform en aan automatisering van SOC-diensten om bruggen, sluizen en tunnels te beschermen. “Het is nog niet klaar. We werken eraan”, laat woordvoerder Maarten Lörtzer weten. Het automatiseren van de beveiliging is volgens Lörtzer juist wel cruciaal want vanwege schrijnende personeelstekorten zijn er straks waarschijnlijk niet genoeg goed opgeleide security-specialisten beschikbaar. Op kunstmatige intelligentie gestoelde oplossingen detecteren afwijkende gebeurtenissen in een netwerk “sneller dan welke specialist ook”, stelt Lörtzer.

TNO snijdt het probleem cross-sectoraal aan. Onze infrastructuur loopt namelijk dwars door sectoren, regio’s en ministeries heen. Op alle niveau’s (en tussen publieke en private partijen) moet data worden uitgewisseld. En dat vergt investeringen. Met steun van het Ministerie van EZK is het consortium Automated Security OPerations (ASOP) opgezet met financiële bijdrages van de provincie Zuid-Holland, gemeente Den Haag en Metropoolregio Rotterdam-Den Haag (MRDH). Het consortium wil het genoemde platform de komende drie jaar ontwikkelen in een publiek-private samenwerking met Nederlandse cybersecuritybedrijven en publieke organisaties. Het zou een stunt zijn, zo’n volledig geautomatiseerd platform. Er komt geen mens meer aan te pas. Hopelijk werkt het.

Centralisatie
Jack Blok, cybersecurity-specialist van Arcadis, juicht alle initiatieven toe. Blok pleit voor centralisatie in de strijd tegen cybercrime, ook omdat infrabedrijven niet speciaal beschermd zijn. “Door het landelijk te regelen, bescherm je lagere overheden die niet het geld of de knowhow hebben om het goed aan te pakken”, vindt Blok. Dat bij aanbestedingen van infra-projecten het beheer steeds vaker bij marktpartijen komt te liggen, ziet de Arcadis-man niet als een ethisch dilemma. Als beheerders zich maar aan de Wbni houden, de Wet beveiliging netwerk- en Informatiesystemen. Dus ja, uitbesteden kan prima. Arcadis zelf neemt het asset management van objecten ook soms op zich. Volgens Blok kan het commercieel belang van een marktpartij nooit in strijd zijn met het belang van de burger omdat veiligheid voor iedereen het belangrijkst is: overheid, burger en bedrijf.

De daadkracht is bewonderenswaardig. Maar BreadHump, Shloubi en Bosco666 zitten niet stil. Zij vinden steeds weer iets nieuws om bedrijven en overheden te verrassen. Het is een duivels dilemma. Banken, accountants en IT-auditors pleiten voor een jaarlijkse controle van IT-systemen van organisaties. Ze willen weten of een onderneming weerbaar is tegen hackers en kunnen de audit gebruiken bij hun beslissing om te investeren in een bedrijf. Dat maakt dit lastige probleem nog een stukje ingewikkelder.

recente artikelen

gepubliceerd in diverse (vak)media

“Wat gezondheid is moet iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »

Mark Soetman levert de primeur: rauw krabbenvlees

Start-up Crustalicious heeft een machine ontwikkeld die kleine krabben in zes stappen ontdoet van pcb's, zware metalen, ingewanden en schaal. Een wereldprimeur!

Lees artikel »

Meneer Parkinson gaat niet weg, maar boksen helpt wel

Parkinson dendert als een epidemie door Europa. Om het ziektebeeld te vertragen worden steeds meer bokstrainingen speciaal voor Parkinson-patiënten verzorgd.

Lees artikel »