Rekenkamer: ministerie moet cyberveiligheid waterwerken verbeteren

De Rekenkamer benadrukt in haar rapport dat miljoenen Nederlanders fysiek afhankelijk zijn van de betrouwbaarheid van waterwerken.

Een medewerker van Rijkswaterstaat bij de Hollandsche IJsselkering.
Een medewerker van Rijkswaterstaat bij de Hollandsche IJsselkering. Foto Robin Utrecht/ANP

Tunnels, bruggen, sluizen en waterkeringen moeten beter beschermd worden tegen cyberaanvallen. Dat concludeert de Algemene Rekenkamer in een rapport dat donderdag is gepubliceerd. Het Ministerie van Infrastructuur en Waterstaat voldoet niet aan zijn eigen doelstellingen voor cybersecurity.

De Rekenkamer benadrukt in haar rapport dat de “fysieke veiligheid van Nederland” op het spel staat. Als een pomp wordt uitgezet, kan dit bijvoorbeeld overstromingen veroorzaken. “Miljoenen mensen zijn afhankelijk van de betrouwbaarheid van die waterwerken. Ook de economische en ecologische belangen zijn groot. Uitval kan leiden tot maatschappelijke ontwrichting en raakt andere vitale sectoren, zoals de distributie van elektriciteit.”

Volgens de Rekenkamer zijn de systemen achter waterwerken kwetsbaar. De automatiseringssystemen zijn vaak decennia oud. Deze zijn vervolgens gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken, waardoor de “kwetsbaarheid voor cybercriminaliteit” toenam.

Lees ook dit opiniestuk: Laat cyberveiligheid niet aan de burger over

Grootte dreiging onduidelijk

Het moderniseren van het gehele systeem zou te duur en technisch ingewikkeld zijn. Daarom richt Rijkswaterstaat zich op de “detectie van aanvallen” en de reactie daarop. De cyberveiligheidsmaatregelen die Rijkswaterstaat daarvoor zelf nodig acht, zijn echter lang niet allemaal uitgevoerd. Dit komt er onder meer doordat cybersecurity geen volwaardig onderdeel uitmaakt van inspecties. Ook zou Rijkswaterstaat de uitvoering van de maatregelen niet afdwingen bij regionale onderdelen.

Verder zijn de waterwerken die als “vitaal” worden beschouwd niet allemaal aangesloten op het zogenoemde Security Operations Center (SOC) van Rijkswaterstaat. Hierdoor is het mogelijk dat het agentschap een cyberaanval niet of te laat detecteert. Ook is belangrijke informatie niet up-to-date en zijn er geen concrete plannen voor als er een cyberaanval plaatsvindt.

De Rekenkamer adviseert het ministerie van Infrastructuur en Waterstaat onder meer om te onderzoeken of extra mensen of middelen nodig zijn. Ook zou het moeten onderzoeken hoe groot de dreiging van een cyberaanval op waterwerken nou eigenlijk is.

Minister Cora van Nieuwenhuizen (Infrastructuur en Waterstaat, VVD) schrijft in een reactie alle aanbevelingen van de Rekenkamer over te nemen. “Ik laat binnen het ministerie een strategie uitwerken die de cybersecurity voor alle infrastructuur opschroeft, zo ook die van de waterkeringen.”