Nieuws Hackers

Hacker dringt door in controlekamer waterwerk: cyberterrorist kan ons land onder water zetten

Een hacker die werkte in opdracht van de Algemene Rekenkamer heeft ongemerkt de controlekamer kunnen binnendringen van een groot waterwerk. De Rekenkamer concludeert in een donderdag gepubliceerd rapport dat grote waterkeringen als de Deltawerken niet afdoende zijn beveiligd tegen cyberaanvallen. ‘Het risico bestaat dat Rijkswaterstaat een cyberaanval niet of te laat detecteert’. 

De Hartelkering Beeld anp

Het is dan ook niet uitgesloten dat terroristen, of hackers in dienst van vreemde mogendheden, delen van Nederland onder water kunnen zetten.

Hoe groot het gevaar precies is, kan de Rekenkamer niet goed inschatten. De controleur van de regering adviseert minister Cora van Nieuwenhuizen (Infrastructuur en Waterstaat) daarom het ‘actuele dreigingsniveau’ te onderzoeken. Voor zover bekend zijn er tot nu toe geen grote cyberaanvallen op de Deltawerken en andere cruciale waterverdedigingswerken gepleegd. Het kan ook zijn dat die aanvallen niet ontdekt zijn. Niet alle vitale waterwerken zijn namelijk aangesloten op het veiligheidscentrum van Rijkswaterstaat, het Security Operations Center (SOC).

Welke waterwerken (bruggen, tunnels, sluizen en waterkeringen) het kwetsbaarst zijn laat de Rekenkamer in het midden, om kwaadwillende hackers niet wijzer te maken. Om die reden wil het instituut evenmin zeggen hoeveel vitale waterwerken Nederland telt. Naast de Deltawerken vallen daar in elk geval de Hollandsche IJsselkering bij Krimpen aan den IJssel en de stormvloedkering Ramspol bij Kampen onder. De woordvoerder zegt in een toelichting dat deze waterkeringen van cruciaal belang zijn voor de veiligheid van Nederland. De controle over deze infrastructuur is volgens hem ‘een zaak van leven of dood’. Als die keringen en sluizen op een verkeerd moment worden opengezet, komen grote delen van Nederland onder water te staan.

Proef op de som

De Rekenkamer heeft voor zijn onderzoek niet alleen de bestaande veiligheidsprocedures tegen het licht gehouden, maar ook twee praktijktesten uitgevoerd. Ethische hackers hebben in opdracht van de Rekenkamer twee grote waterwerken proberen te ‘kraken’. Bij een daarvan kon de onderzoeker ongezien de controlekamer binnendringen. Daar had hij het rijk alleen en kon hij zonder wachtwoord inloggen op het computersysteem van het waterwerk. Toen hij vervolgens een laptop probeerde aan te sluiten, werd dat wel opgemerkt door het SOC.

Een ander waterwerk konden de onderzoekers ontregelen door fysiek in te breken bij een meetstation en daar handmatig de meetgegevens aan te passen. Sommige waterkeringen gaan automatisch open of dicht bij een bepaalde waterstand of golfhoogte, dus door die metingen te manipuleren kunnen kwaadwillenden de werking van de waterkering beïnvloeden. Dit tweede waterwerk is niet aangesloten op het SOC, dus Rijkswaterstaat krijgt daar geen alarm als indringers zich meester maken van het computersysteem.

Rijkswaterstaat heeft de afgelopen jaren de beveiliging van vitale waterkeringen zoals de Deltawerken wel aanzienlijk verbeterd, maar heeft daarbij onvoldoende doorgepakt, stelt de Rekenkamer. Hoewel de benodigde veiligheidsmaatregelen enkele jaren geleden al in kaart zijn gebracht, is tot nu toe maar 60 procent daarvan uitgevoerd. ‘Rijkswaterstaat ziet onvoldoende toe op de uitvoering van het resterend deel, dwingt die uitvoering niet af en heeft geen actueel overzicht van de resterende maatregelen’, concludeert de Rekenkamer. ‘Ook maakt cyberveiligheid nog geen volwaardig onderdeel uit van reguliere inspecties.’ De Rekenkamer hamert erop dat alle vitale waterinfrastructuur zo snel mogelijk op het SOC wordt aangesloten. Ook zouden werknemers van Rijkswaterstaat die belangrijke waterkeringen bedienen beter gescreend moeten worden op hun antecedenten. Sollicitanten hoeven nu slechts een Verklaring Omtrent Gedrag te overleggen, maar dat is een heel lichte toets. 

Minister Van Nieuwenhuizen schrijft in een reactie dat ze ‘de conclusies en aanbevelingen ziet als een ondersteuning van de reeds door mij in gang gezette strategie om de cyberveiligheid verder te verbeteren’. Ze wil eerst in kaart brengen hoe groot de cyberdreiging nou echt is voordat ze besluit welke aanvullende maatregelen er nodig zijn.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden