Uit onderzoek van de Inspectie Leefomgeving en Transport (ILT) blijkt dat de drinkwaterorganisatie Stichting Waternet (Waternet) zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Waternet staat sinds vorige week onder verscherpt toezicht. Dit wordt veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Er zijn geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.
Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
De Wbni regelt een zorgplicht - het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd - en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd. De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.
Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.
Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.
Borging van drinkwaterprocessen vindt vooral op operationeel niveau (werkvloer) plaats. Op strategisch niveau (waaronder directie en stichtingsbestuur) is waarborging van de drinkwatertaak en de cybersecurity nog onvoldoende aanwezig. In het ontwerp van de bestuurlijke structuur ontbreekt integraal toezicht op de drinkwatertaak. Bovendien is er nog geen gestructureerd risicomanagement en vinden evaluatie en bijsturing nog niet genoeg plaats.
De ILT vindt dat Waternet ten tijde van het ILT-onderzoek onvoldoende grip heeft op haar cybersecurity. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Hoeveel groter de kans of impact voor het drinkwater is, laat zich niet eenvoudig kwantificeren. De beveiliging leunt niet op één maatregel. De maatregelen werken aanvullend op elkaar en verhogen als geheel de weerstand tegen cyberaanvallen of verkleinen als geheel de impact. Hoe groot het negatief effect van ontbrekende of niet optimaal werkende maatregelen is, is niet exact aan te geven.
De tekortkomingen in de besturing vormen een oorzaak van de risico’s op het gebied van cybersecurity en de (overige) voorwaarden voor waarborging van de drinkwatertaak. Dit toont het belang van verbetering van de besturing ten behoeve van waarborging van de drinkwatertaak.
Waternet heeft inmiddels al een aantal stappen gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen. De ILT stelt Waternet de komende periode onder verscherpt toezicht en gaat toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Het verscherpt toezicht duurt tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen - in het bijzonder die van cybersecurity - in voldoende mate op orde heeft.
De ILT houdt bij Waternet toezicht op de drinkwatervoorziening en op het deel van de cybersecurity dat betrekking heeft op de drinkwaterveiligheid en leveringszekerheid. In de media kwam in september en november 2020 het signaal naar voren dat de cybersecurity bij Waternet niet op orde zou zijn en dat de besturing bij Waternet verbeteringen ten aanzien van cybersecurity zou belemmeren. Dit signaal, in combinatie met de uitkomst van een bestuurlijk gesprek met Waternet over dit signaal, was voor de ILT reden om te besluiten tot een eigen onderzoek. Het doel van dit onderzoek was vast te stellen in hoeverre er sprake was van risico’s voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. Het onderzoek is uitgevoerd in de periode van 24 november 2020 tot 5 februari 2021.
Vier breed over de rechte stukken, spannende slipstreamduels en een slotfase met de nodige incidenten: aan spektakel was er bepaald geen gebrek in de negende en voorlaatste ronde van de Porsche TAG Heuer Esports Supercup. Op de digitale variant van het Circuit de la Sarthe, ook bekend als het Circuit des 24 Heures in Le Mans had de Australiër Joshua Rogers opnieuw een perfect evenement met pole-position en overwinningen in zowel de sprint- als de hoofdrace. Max Benecke, de Duitse coureur van het Nederlandse team Porsche24 driven by Redline, kende wederom een lastig weekeinde. Na problemen in de kwalificatie startte hij in de achterhoede. Weliswaar kon hij weer de nodige plaatsen goedmaken, maar hij raakte betrokken bij een incident en moest daardoor genoegen nemen met de 20e plaats in de sprint en de 24e positie in de hoofdrace.
Lees meer: Spektakel aan de Sarthe in Porsche TAG Heuer Esports Supercup Share
Gewaarschuwd mens telt voor twee. De ‘t Jongens achter de #Burgerfabriek #Harderwijk hebben –een flink pak boter op hun hoofd. Om niet eerst met de gemeente in gesprek te gaan en luisteren naar hun gratis adviezen. Met “Drive-Thru” is de functie “kantine” aan de Baanweg 30, erg ruim opgerekt. Een beetje ondernemer hoort de voorwaarden te weten. Als je schijt hebt aan regels en te lui bent om te lezen en zelf geen formulier kan invullen. Vroeg of laat loop je tegen de lamp. -Beetje dom- Nu staat op website van De Fabriek, “Cancelled” en “Plezier is in deze tijd verboden aldus de gemeente.😉”. Omdat de ene broer lol wil maken kan andere broer zijn vergunningen voor meerdere jaren kwijt raken. Wel gemakkelijk om de schuld aan de gemeente Harderwijk te geven. ’t Jongens -Jammer van een leuk idee – . Niet de gemeente heeft de boel verpest - maar de ‘t Jongens hebben de boel verziekt in Het Nachthok.