Ik las vandaag twee berichten in de pers die mijn aandacht trokken. Hoe kunnen geheime stukken gemakkelijk zwart gelakt worden? En houden we droge voeten in het gebied van het Waterschap AGV?
Zag u ook die dossiers van burgers die door de Belastingdienst beschuldigd werden van fraude. Dat ging zo van “Nou ja, je wilt zo nodig je dossier van ons krijgen? Nou, hier is het! Compleet zwart gelakt!”
Dat is handig! Laksoftware!
En vroeg u zich ook af of er honderden ambtenaren met een zwarte viltstift werden toegerust om zich thuis, vanwege corona, achter de keukentafel te zetten en pagina, na pagina zwart te lakken. Nou in het blad voor de ambtenaar, Binnenlands Bestuur, zag ik vandaag deze advertentie.
Dat is handig! Technologie om WOB verzoeken sneller af te handelen. Zet hem in de stand “extra lakken”, dat spaart een hoop tijd!
And now, for something completely different.
In Follow The Money (FTM) stond vandaag een verontrustend stuk over de beveiliging van de automatisering van Waternet, onderdeel van het Hoogheemraadschap Amstel, Gooi en Vechtstreek, kortweg AGV. Of, beter gezegd, het vrijwel ontbreken van beveiliging van hun software.
Over Waternet
In het stuk van Sebastiaan Brommersma staat dit over Waternet:
“Waternet verzorgt in Groot-Amsterdam de gehele drinkwater-kringloop en is daar verantwoordelijk voor het functioneren van de riolering, bruggen, sluizen en gemalen. Voor de 1,4 miljoen inwoners van het waterschap Amstel, Gooi en Vecht is het onder meer verantwoordelijk voor de afvoer en de schoonmaak van rioolwater; ook beheert Waternet het waterpeil.
Stuk voor stuk hoogst verantwoordelijke taken. Niettemin kampt het Amsterdamse nutsbedrijf al jaren met serieuze problemen in de beveiliging van zijn digitale omgeving.”
De directeur en de dijkgraaf (de burgemeester van het waterschap AGV) hielden de problemen met de beveiliging onder de pet. Nog een stukje het artikel in FTM over onderzoek naar de beveiliging:
Het onderzoek werd uitgevoerd door onderzoeks- en adviesbureau Hoffmann en betrof een zogeheten penetratietest (pentest). Een team van onderzoekers onderzocht of het lukte om de computersystemen van het nutsbedrijf binnen te dringen. Dat lukte – en hoe. ‘In no-time waren ze binnen,’ verklaart een interne bron. Ook de rest van het systeem bleek zeer kwetsbaar te zijn.
Denk dan nog even over de taken van Waternet “het functioneren van de riolering, bruggen, sluizen en gemalen.” en “verantwoordelijk voor de afvoer en de schoonmaak van rioolwater; ook beheert Waternet het waterpeil”. Laat dit even op u inwerken.
Lek als een mandje?
Als die systemen van Waternet inderdaad zo lek zijn als een mandje, dan kan dat betekenen dat een hacker misschien een brug kan openen, het waterpeil in een polder verhogen of een gemaal uit zetten. En dat is op zijn zachtst gezegd een buitengewoon onplezierige gedachte. Maar ook het besmetten met gijzelsoftware, zoals dat eerder met de universiteit Maastricht en op andere plekken gebeurde met als gevolg dat niemand meer een brug, sluis of gemaal kan bedienen kan gebeuren.
Soft- en hardware die zulke basale systemen bedienen moeten goed beveiligd en redundant uitgevoerd zijn om ongelukken te voorkomen.
Laten we hopen dat we droge voeten houden en dat Waternet nog eens goed naar hun systemen kijkt.