De digitale inbraak in een Amerikaans drinkwaterbedrijf, waarbij hackers het natriumhydroxidegehalte in het drinkwater wisten te verhogen van 100 ppm naar 11.100 ppm, zal in Nederland vooralsnog niet leiden tot nader onderzoek naar de cybersecurity in de drinkwatersector. Dat laat de Inspectie Leefomgeving en Transport, toezichthouder op de Nederlandse drinkwaterbedrijven, weten op vragen van WaterForum.
Vewin, de brancheorganisatie van de waterbedrijven, is ook niet gealarmeerd door de Amerikaanse hack: “De tien drinkwaterbedrijven in Nederland hebben op basis van de Drinkwaterwet en de Wet beveiliging netwerk- en informatiesystemen (Wbni, red.) een aantoonbare zorgplicht voor de beveiliging van netwerk- en informatiesystemen. Toezicht en handhaving vinden plaats door de toezichthouder, de Inspectie Leefomgeving en Transport”, laat een woordvoerster weten.
‘Geen aanleiding voor nader onderzoek’
Dit wordt bevestigd door de Inspectie Leefomgeving en Transport (ILT): “In de Drinkwaterwet zijn eisen gesteld aan leveringsplannen van de drinkwaterbedrijven, die op basis van scenario’s maatregelen moeten bevatten die verstoring van de drinkwatervoorziening voorkomen. Daartoe behoort ook cybersecurity. De ILT beoordeelt de leveringsplannen, keurt deze goed en ziet toe op de naleving van de wettelijke eisen. Aanvullend op de Drinkwaterwet dienen drinkwaterbedrijven maatregelen te nemen in het kader van de Wbni. Ook hier ziet de ILT toe op de naleving van de wettelijke eisen.” Volgens de ILT is er vanwege de Amerikaanse hack “vooralsnog geen aanleiding voor nader onderzoek. In de reguliere toezichtstaak van de ILT – in het kader van de Drinkwaterwet en Wbni – is aandacht voor cybersecurity en de risico’s van een eventuele digitale inbreuk.”
Waternet
Overigens is de ILT, op verzoek van minister Van Nieuwenhuizen van IenW, momenteel wel bezig met een nader onderzoek naar de cybersecurity bij een Nederlands drinkwaterbedrijf. Dit is naar aanleiding van een alarmerend artikel op de website van het journalistieke platform Follow The Money (FTM) uit september 2020. De cybersecurity van het Amsterdamse Waternet zou zo lek zijn als een mandje, schreef FTM op basis van interne documenten en gesprekken met medewerkers. 50Plus-Kamerlid Corrie van Brenk heeft de minister daarover tientallen vragen gesteld. De minister gaf in haar antwoord op die vragen aan er begrip voor te hebben dat de Kamer in deze casus snel alles boven water wil halen. “Ook voor mij heeft het de hoogste urgentie dat er door grondig onderzoek een compleet beeld ontstaat. Daarom worden deze vragen meegenomen in het door de ILT geïnitieerde onderzoek. Dit onderzoek – dat is gericht op het drinkwaterrelevante deel van Waternet – richt zich naast de naleving van de Wbni en leveringszekerheid van drinkwater ook op de governance van de organisatie”, aldus de minister in haar schriftelijke beantwoording van de Kamervragen. Zij voegde er overigens aan toe dat de ILT geen reden heeft om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is.
Vertrouwelijke briefing
Begin februari heeft de Tweede Kamer achter gesloten deuren een technische briefing van het ministerie gehad over cybersecurity in de watersector. “Maar ik had toen een plenair debat, dus moest de vertrouwelijke briefing missen”, laat Corrie van Brenk in een reactie weten. In de Amerikaanse hack zag zij overigens geen aanleiding voor het stellen van aanvullende Kamervragen: “We zitten nu bovendien in het verkiezingsreces. De nieuwe fractie mag ermee aan de bak!” Van Brenk zal na de verkiezingen niet terugkeren in de Kamer.
Menselijk ingrijpen voorkwam ramp in Florida
Ondanks de geruststellende woorden van de ILT en de minister, zullen de ict’ers in de watersector toch met belangstelling naar de Amerikaanse hack hebben gekeken. De cyberaanval die begin deze maand probeerde het zuiveringsproces bij een drinkwaterbedrijf in Florida te verstoren, werd uiteindelijk gedwarsboomd door de tussenkomst van een menselijke operator. Hoewel systeemstoringen zouden hebben verhinderd dat water met gevaarlijke niveaus van natriumhydroxide de consument zou bereiken, roept het incident in Florida toch vraagtekens op over de veiligheid van een met internet verbonden waterinfrastructuur. “Volledig loskoppelen voelt als de gemakkelijkste manier om dit te stoppen, en veel mensen zullen zo denken,” vertelde de Amerikaanse cybersecurity-expert Norm Anderson aan het internationale waterplatform GWI. “Wat ik echter hoop dat hieruit voortkomt, is dat mensen zich realiseren dat ze de ‘best practices’ op het gebied van cyberbeveiliging moeten gaan volgen en niet bang hoeven te worden voor de technologie.”
‘Inbreuk in principe niet mogelijk’
Volgens de ILT is de digitale infrastructuur in de Nederlandse watersector echter anders dan die in de VS. “Drinkwaterbedrijven in Nederland dienen beveiligingsmaatregelen te nemen om te voorkomen dat een kwaadwillende toegang krijgt tot de procesautomatisering”, legt de ILT-woordvoerster uit. “Een inbreuk in de procesautomatisering via TeamViewer – zoals in de VS – is bij Nederlandse drinkwaterbedrijven in principe niet mogelijk. Daarnaast dienen de bedrijven veiligheidsmaatregelen te nemen, zodat bij eventuele digitale verstoring geen gevaar ontstaat voor de continuïteit van de levering van kwalitatief deugdelijk drinkwater.”
