De beveiliging van de digitale structuur van Waternet is volgens ingewijden ‘zo lek als een mandje’ (foto: Pixabay).

Na eerdere onthullingen door het journalistieke platform Follow The Money (FTM) die duidelijk maakten dat de digitale omgeving van Waternet kampt met ernstige beveiligingslekken, reageerde het waterbedrijf dat de bevindingen van FTM ‘gedateerd’ zouden zijn. Nu meldt FTM dat de Waternetdirectie daarbij een vernietigend, onafhankelijk rapport over de digitale veiligheid van het bedrijf heeft verzwegen.

Volgens FTM kampt het Amsterdamse nutsbedrijf al jaren met serieuze problemen in de beveiliging van zijn digitale omgeving. Op basis van een serie vertrouwelijke documenten en verklaringen van interne bronnen, onthulde FTM in september dat de beveiliging volgens ingewijden ‘zo lek is als een mandje’, en dat als er niets gebeurt, het een keer ‘finaal fout’ zal gaan. Directeur Roelof Kruize schreef een paar dagen na de FTM-publicatie een brief aan het bestuur van de stichting Waternet. Daarin meldde hij dat het nutsbedrijf door diverse externe partijen was onderzocht en dat er weinig aan de hand was.

Vernietigend rapport
Nu blijkt uit een nieuwe publicatie van Follow The Money dat Kruize daarbij één rapport nadrukkelijk heeft verzwegen. Waternet liet namelijk in januari 2020 de veiligheid van het interne digitale netwerk onderzoeken door het onafhankelijke onderzoeks- en adviesbureau Hoffmann. Directeur Kruize verzweeg het onderzoeksrapport in zijn brief over de stand van zaken van de digitale systemen en dijkgraaf Gerhard van den Top weigerde de resultaten ervan te delen met waterschap Amstel Gooi en Vecht. Volgens FTM is duidelijk waarom: het rapport is ronduit vernietigend.

Penetratietest
Het onderzoek was een zogeheten penetratietest. Een team van onderzoekers onderzocht of het lukte om de computersystemen van het nutsbedrijf binnen te dringen. Dat lukte. Zelfs heel gemakkelijk. ‘In no-time waren ze binnen,’ verklaart een interne bron aan FTM. Ook de rest van het systeem bleek zeer kwetsbaar te zijn, schrijft FTM. Het journalistieke platform ontving het vertrouwelijke rapport nadat het in september publiceerde over de tekortschietende digitale beveiliging van het nutsbedrijf. Het rapport van Hoffmann laat zien dat zowat elke beschermingslaag bij Waternet lek is. Volgens FTM rolt het waterbedrijf in feite de rode loper uit voor indringers die, eenmaal binnen, enorme maatschappelijke schade kunnen aanrichten. Het team van Hoffmann stelde uiteindelijk elf grote kwetsbaarheden in de beveiliging vast. Vijf daarvan krijgen het predicaat ‘kritiek’, vijf het label ‘hoog’, en eentje ‘gemiddeld’. FTM heeft besloten de lijst met risico’s die Hoffmann identificeert niet te publiceren, om misbruik te vermijden.

Informatie zou achterhaald zijn
Opmerkelijk is echter dat de top van Waternet zijn best lijkt te doen om de uitkomsten van het onderzoek binnenskamers te houden. Op 21 september, twee dagen na de eerste onthullingen van FTM, stuurt directeur Roelof Kruize een brief aan het bestuur van Waternet: de Amsterdamse wethouder Sharon Dijksma (PvdA) en de dijkgraaf van waterschap Amstel, Gooi en Vecht, Gerhard van den Top. Kruize stelt daarin dat de informatie van Follow the Money achterhaald zou zijn. Dat onderbouwt hij met een aantal audits en onderzoeken van o.a. PwC, Vewin en de Rekenkamercommissie van het waterschap. Die controles, uitgevoerd tussen december 2018 en april 2020, zouden allemaal Kruize’s stelling onderschrijven. Het rapport van Hoffmann noemt hij echter niet.

Dijkgraaf Van den Top
Daarnaast beschrijft FTM ook hoe dijkgraaf Van den Top omgaat met de explosieve informatie. Matthijs Pontier, een van de gekozen algemeen bestuursleden van waterschap Amstel, Gooi en Vecht, stelde het dagelijks bestuur van het waterschap naar aanleiding van de FTM-publicatie kritische vragen. Via-via had hij inmiddels ook gehoord van het Hoffmann-onderzoek en daarom vroeg hij ook om een kopie van het rapport over de penetratietest. Daags erna werd hem te verstaan gegeven dat hij het rapport niet zou krijgen. Pontier kreeg volgens FTM te horen dat het rapport te technisch zou zijn, waardoor zijn achterban het toch niet zou snappen. Hij kreeg het advies bij de penetratietest vandaan te blijven. Toen Pontier vervolgens zelf privacy- en security-officers van Waternet benaderde om zijn vragen beantwoord te krijgen, werd hem vanuit het waterschap dringend verzocht ‘daarmee te stoppen’.

Wederhoor
FTM heeft directeur Kruize, het bestuur van Waternet en waterschap AGV gevraagd om een reactie. De betrokkenen hebben besloten niet inhoudelijk op de vragen van Follow The Money te reageren, in afwachting van een extern onderzoek dat Waternet heeft uitgezet naar aanleiding van de eerdere FTM-onthullingen.