Bruggen, sluizen en tunnels kunnen ook gehackt worden

Cybercrime is big business. Ook onze vitale infrastructuur ligt onder het vergrootglas. Hoe goed of slecht zijn onze bruggen, sluizen en tunnels beveiligd? Wie zorgt dat ze niet worden gehackt? Zijn infrabedrijven speciaal beschermd? En hoe is het geregeld nu ICT-beheer steeds vaker bij marktpartijen ligt? Matig tot slecht, zo lijkt het. “We hoppen van incident naar incident.”


Neem een kijkje op Raidforums.com en je treft een duistere wereld. ‘Join today to experience everything we have to offer such as leaks, database breaches and adult content’, zo luidt de aanmoediging om te komen ‘shoppen’ op dit hackersforum. Alles wat geld kan opleveren, wordt hier verhandeld: buitgemaakte wachtwoorden, sukkellijsten, databestanden, porno-accounts en gelekte informatie. Vandaag zijn er al meer dan drieduizend bezoekers geweest. BreadHump biedt het klantenbestand aan van een cricketclub. Shloubi verkoopt tips om WiFi-netwerken binnen te dringen. Bosco666 heeft gelekte data van een Vietnamese luchtvaartmaatschappij in de aanbieding. Het is allemaal te koop en kan gebruikt worden voor phishing, afpersing of identiteitsfraude. Meestal is het weggegooid geld. Soms leg je er een oliemaatschappij mee plat. Of een bouwbedrijf.

De handel in gevoelige informatie tiert welig. Zoals Raidforums.com zijn er duizenden platforms. En dat is slecht nieuws. Maar het wordt pas echt een nachtmerrie zodra onze vitale infrastructuur in gevaar komt. De toevoer van olie, kaas of verse eurobiljetten is niet vanzelfsprekend. De begaanbaarheid van bruggen, viaducten, snelwegen en tunnels evenmin. Ethische hackers luiden de noodklok. En dat is een understatement. “Het loopt, zeg maar, een beetje uit de klauwen”, zegt ethisch hacker Sijmen Ruwhof, die bedrijven moet beschermen. “We hoppen van incident naar incident.”

Screening medewerkers
De risico’s zijn al jaren bekend. In maart 2019 verscheen het rapport ‘Digitale dijkverzwaring: cybersecurity en vitale waterwerken’ van de Algemene Rekenkamer. Lang verhaal kort? Vitale waterwerken moeten beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat had destijds al veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. ‘Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd’, zo meldt het rapport. Crisisdocumentatie is verouderd en er worden geen volwaardige pentesten uitgevoerd. (Pen staat voor penetration, het van buitenaf inbreken in een computersysteem.)

Uit het rapport bleek concreet dat nog niet alle vitale waterwerken rechtstreeks waren aangesloten op het Security Operations Center (SOC) van RWS. Hierdoor bestond het risico dat RWS een cyberaanval niet of te laat zou detecteren. Verder zouden pentesten integraal onderdeel moeten worden van de maatregelen. En medewerkers van het SOC zouden beter gescreend moeten worden. Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat moest ‘stappen zetten’ om aan de doelstellingen te voldoen, actuele dreigingsniveau’s te onderzoeken en te besluiten of extra mensen en middelen nodig zijn.

Pentesten
De tijd verstreek. Van Nieuwenhuizen gaf in een kamerbrief op 15 juni 2020 aan ‘voortvarend’ aan de slag te zijn gegaan om de aanbevelingen uit te voeren. Zo is de intersectorale afhankelijkheid in kaart gebracht, zijn pentesten uitgebreid en zijn inmiddels bijna alle vitale objecten aangesloten op het SOC. Belangrijke functies bij het SOC zijn aangewezen als ‘vertrouwensfunctie’ en medewerkers zijn gescreend. In een update op 2 juni 2021 laat de minister aan de kamer weten dat dit en volgend jaar extra budget geïnvesteerd zal worden in de cyberweerbaarheid van RWS. Een bedrag wordt niet genoemd.

Met deze nieuwe impuls denkt RWS beter ‘in control’ te zijn. De genoemde testen bestaan naast pentesten uit kwetsbaarheidstesten en andere testen van de veiligheid van de procesautomatisering. Het type systeem en object is bepalend voor het soort test. “Het is een risicoafweging of een pentest of kwetsbaarheidstest wordt uitgevoerd”, laat RWS-woordvoerder Rob Hageman weten. RWS geeft hierover geen specifieke informatie. En dat is maar goed ook. Slapende honden zouden maar wakker worden en potentiële kwetsbaarheden zouden maar onder een vergrootglas komen te liggen.

Waternet onder verscherpt toezicht
Het klinkt allemaal voortvarend. Maar we weten waar mooie rapporten uiteindelijk terecht komen. De werkelijke strijd wordt gestreden op het slagveld. Elke organisatie kan getroffen worden. Ineens ben je aan de beurt. Drinkwaterorganisatie Waternet werd in april van dit jaar door de Inspectie Leefomgeving en Transport (ILT) onder verscherpt toezicht geplaatst omdat na het verzwijgen van een pentest en uit nader onderzoek bleek dat er onvoldoende grip was op de eigen cybersecurity. De Kamerleden Van Ginneken en De Groot (D66) stelden er Kamervragen over aan Cora van Nieuwenhuizen.

Het is de vraag of verdere centralisatie en digitalisering altijd de oplossing is. Veel bruggen, tunnels en sluizen zijn ooit gebouwd om fysiek beheerd te worden. Processen werden geautomatiseerd en veel bruggen en waterwerken zijn nu aangesloten op SOC’s van RWS, provincies en gemeentes. Vandaaruit worden ze aangestuurd met gescreende medewerkers. Is dat een stap vooruit? Ethisch hacker Sijmen Ruwhof is niet overtuigd: “Als je de beveiliging niet op orde hebt, brengt centralisatie en digitalisering grote risico’s met zich mee. Een hacker kan de centrale aansturing overnemen. Stel hij zet de bruggen open en maakt de aansturing kapot. Dan zit de samenleving met een groot probleem. Criminele hackers zullen dat niet zo snel doen. Die willen geld verdienen en niet de aandacht van opsporingsdiensten op zich vestigen, maar toch.”

Geautomatiseerd platform
TNO werkt momenteel aan een securityplatform en aan automatisering van SOC-diensten om bruggen, sluizen en tunnels te beschermen. “Het is nog niet klaar. We werken eraan”, laat woordvoerder Maarten Lörtzer weten. Het automatiseren van de beveiliging is volgens Lörtzer juist wel cruciaal want vanwege schrijnende personeelstekorten zijn er straks waarschijnlijk niet genoeg goed opgeleide security-specialisten beschikbaar. Op kunstmatige intelligentie gestoelde oplossingen detecteren afwijkende gebeurtenissen in een netwerk “sneller dan welke specialist ook”, stelt Lörtzer.

TNO snijdt het probleem cross-sectoraal aan. Onze infrastructuur loopt namelijk dwars door sectoren, regio’s en ministeries heen. Op alle niveau’s (en tussen publieke en private partijen) moet data worden uitgewisseld. En dat vergt investeringen. Met steun van het Ministerie van EZK is het consortium Automated Security OPerations (ASOP) opgezet met financiële bijdrages van de provincie Zuid-Holland, gemeente Den Haag en Metropoolregio Rotterdam-Den Haag (MRDH). Het consortium wil het genoemde platform de komende drie jaar ontwikkelen in een publiek-private samenwerking met Nederlandse cybersecuritybedrijven en publieke organisaties. Het zou een stunt zijn, zo’n volledig geautomatiseerd platform. Er komt geen mens meer aan te pas. Hopelijk werkt het.

Centralisatie
Jack Blok, cybersecurity-specialist van Arcadis, juicht alle initiatieven toe. Blok pleit voor centralisatie in de strijd tegen cybercrime, ook omdat infrabedrijven niet speciaal beschermd zijn. “Door het landelijk te regelen, bescherm je lagere overheden die niet het geld of de knowhow hebben om het goed aan te pakken”, vindt Blok. Dat bij aanbestedingen van infra-projecten het beheer steeds vaker bij marktpartijen komt te liggen, ziet de Arcadis-man niet als een ethisch dilemma. Als beheerders zich maar aan de Wbni houden, de Wet beveiliging netwerk- en Informatiesystemen. Dus ja, uitbesteden kan prima. Arcadis zelf neemt het asset management van objecten ook soms op zich. Volgens Blok kan het commercieel belang van een marktpartij nooit in strijd zijn met het belang van de burger omdat veiligheid voor iedereen het belangrijkst is: overheid, burger en bedrijf.

De daadkracht is bewonderenswaardig. Maar BreadHump, Shloubi en Bosco666 zitten niet stil. Zij vinden steeds weer iets nieuws om bedrijven en overheden te verrassen. Het is een duivels dilemma. Banken, accountants en IT-auditors pleiten voor een jaarlijkse controle van IT-systemen van organisaties. Ze willen weten of een onderneming weerbaar is tegen hackers en kunnen de audit gebruiken bij hun beslissing om te investeren in een bedrijf. Dat maakt dit lastige probleem nog een stukje ingewikkelder.

recente artikelen

gepubliceerd in diverse (vak)media

Afrika kweekvijver voor superslimme developers

Outsourcen naar Kenia, Oeganda, Ghana of Nigeria is in opkomst. “Er zit daar een gigantisch potentieel aan hoogbegaafden”, merken Nederlandse ondernemers.

Lees artikel »

Bruggen, sluizen en tunnels kunnen ook gehackt worden

Cybercrime is big business. Ook onze vitale infrastructuur ligt onder het vergrootglas. Alle hens moet aan dek want Shloubi en Bosco666 zitten niet stil op het dark web.

Lees artikel »

Personeel weggekocht? Bescherm kroonjuwelen

Als personeel wordt weggekocht, ligt uw unieke aanpak, intellectueel eigendom of klantenbestand ‘op straat’. Wat kunt u juridisch doen om kroonjuwelen te beschermen?

Lees artikel »

Hoe COVID-19 Ravi's sportschool sloopte

Compensatie voor iedere getroffen ondernemer? Ravian Numai (33) moet erom lachen. Zijn goedlopende sportschool The Monkey Business liep door gebrek aan steun op de klippen.

Lees artikel »

Peet Traub: "De ambtenaar beslist niks en doet niks"

Na een daverende opening op 4 februari 2020 met Mark Rutte is de Energie Academie in Den Haag alweer failliet. Dat is erg voor de leerlingen en voor ondernemer Peet Traub.

Lees artikel »

MBO-studenten willen circulariteit in bouw

De ontwerpwedstrijd SMARTCirculair is een jaarlijks terugkerend ritueel in het MBO-onderwijs. Veel studenten willen weg van de vastgeroeste tradities in de bouwsector.

Lees artikel »

Woningbouwimpuls jaagt projecten aan in 21 steden

Met een financiële bijdrage van de overheid kunnen vanaf volgend jaar 51.000 woningen worden gebouwd. Daarvan vallen er 32.579 in de categorie betaalbaar.

Lees artikel »

"Installatiebedrijven, hou toch die achterdeur dicht"

Van de instromende jongeren in de installatiebranche vertrekt 55 procent binnen twee jaar. Dramatisch! Directeur Sven Asijee van Wij Techniek moet de exodus stoppen.

Lees artikel »

Onbewerkt en biologisch voedsel écht (niet) beter

Door corona en problemen in slachthuizen is de consument scherp op voedselveiligheid. Toch biedt ook lokaal, onbewerkt en biologisch voedsel geen enkele garantie.

Lees artikel »

Op welke technologie zet kleine retailer de centen?

Hoe ziet een kleine retailer het verschil tussen een nutteloze hype en een onmisbare technologische doorbraak? Een verhaal over beacons, bitcoins, blockchain en bankmakerij.

Lees artikel »