De cybersecurity van Waternet is zo lek als een mandje. De leiding negeert waarschuwingen over de onveiligheid van de digitale omgeving en volgens interne bronnen is het een kwestie van tijd voordat het ‘finaal’ fout gaat. Dat schrijft het journalistieke platform Follow the Money (FTM) vrijdag 19 september op basis van interne documenten en gesprekken met medewerkers.
In het artikel staat dat er bij Waternet onder meer computers draaien die zo oud zijn dat ze niet meer onderhouden kunnen worden. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid, die adviezen geeft inzake de cyberveiligheid van vitale infrastructuur, moeten zulke ‘end-of-life’ computers buiten gebruik worden gesteld omdat ze niet voldoende beschermd kunnen worden.
Verouderde computers
Volgens FTM begon Waternet in 2010 aan een grote operatie om processen en systemen vergaand te digitaliseren. Maar in de praktijk blijkt dat er soms datalekken zijn, dat er met verouderde computers wordt gewerkt, dat de toegang tot het netwerk slecht is beveiligd en dat de systeemarchitectuur niet op orde is. Managers zouden er voor zorgen dat beveiligingsmaatregelen worden teruggedraaid of uitgesteld, omwille van het ‘gebruiksgemak’ van de medewerkers.
Onbeveiligde devices
Zo mogen medewerkers met verouderde privé-devices werken op het netwerk van Waternet. Die devices kunnen niet door Waternet worden gecontroleerd en veroorzaken majeure beveiligingsrisico’s. Als een werknemer zijn werkaccount op zijn gehackte privé-computer draait, is het een koud kunstje om via dat account het netwerk van Waternet binnen te komen.
Angstcultuur
Medewerkers die verantwoordelijk zijn voor de digitale veiligheid waarschuwen al jaren voor de risico’s en willen maatregelen nemen. Volgens Follow the Money heeft Waternet niet één specifiek beveiligingsissue. De documenten laten zien dat er een bedrijfscultuur heerst waarbij waarschuwingen van security officers structureel worden genegeerd en veiligheid ondergeschikt is gemaakt aan gebruiksgemak en ingesleten gewoontes. De organisatie zit kennelijk zo in elkaar dat de medewerkers die verantwoordelijk zijn voor de digitale veiligheid overruled kunnen worden door andere managers. Bij de security-afdeling zou een angstcultuur zijn ontstaan. Kritiek wordt niet gewaardeerd en als je tegen bepaalde managers in gaat, volgen er represailles.
