Digitale dijkverzwaring: cybersecurity en vitale waterwerken

Bron Algemene Rekenkamer. Omslag rapport.

Bron: Algemene Rekenkamer

Onderzoek naar de manier waarop de minister van IenW zich voorbereidt op cyberaanvallen op de vitale waterwerken die voor haar worden beheerd door Rijkswaterstaat. Welke instrumenten heeft Rijkswaterstaat als beheerder in handen om cyberdreigingen en -aanvallen te detecteren en zich te beschermen tegen cyberdreigingen voor de waterkeringen? In hoeverre werken de instrumenten om cyberdreigingen en -aanvallen te detecteren? En bieden ze voldoende bescherming? Welke scenario’s liggen klaar voor wanneer zich een cyberaanval voordoet; met welke maatregelen kan Rijkswaterstaat voorkomen dat andere vitale sectoren ook geraakt worden bij een aanval (cascade-effecten)? En hoe werkt de respons bij detectie van kwetsbaarheden en incidenten bij Rijkswaterstaat?

Conclusies
De conclusies zijn uitgewerkt in hoofdstuk 5. Het rapport gaat in op de onderzoeksvragen over de voorbereiding en reactie van Rijkswaterstaat op cyberincidenten en –crises. De conclusies (citaten):

  • We hebben gezien dat Rijkswaterstaat geen specifiek cybersecurityscenario heeft binnen het gehanteerde crisismodel, hoewel dit voor vele andere scenario’s wel het geval is.
  • Ook bleek dat onderdelen van belangrijke crisisdocumentatie verouderd of onjuist waren en dat er geen proces is om deze regulier bij te werken. In geval van een crisis kan Rijkswaterstaat daardoor niet steunen op volledige, actuele en betrouwbare informatie.
  • Tot slot constateren we dat Rijkswaterstaat geen volwaardige pentesten uitvoert op de industriële automatiseringssystemen en hiermee afwijkt van de Baseline Informatiebeveiliging Rijk (BIR).
  • Bij de voorbereidingen van Rijkswaterstaat op cybercrises blijkt dat zij nog geen proces heeft ingericht om de crisiskaarten en netwerkoverzichten in afstemming met de regio’s regelmatig te actualiseren.
  • Rijkswaterstaat heeft een gebrek aan kennis en expertise om, conform de BIR, pentesten uit te voeren op de automatiseringssystemen van vitale waterwerken. Zonder pentesten kan Rijkswaterstaat de cybersecuritymaatregelen voor objecten niet in de praktijk toetsen.

Lees meer