Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rekenkamer: Nederlandse waterwerken zijn onvoldoende beschermd tegen cyberaanval

De Algemene Rekenkamer zegt dat de Nederlandse waterwerken op het gebied van cybersecurity onvoldoende beveiligd zijn. Zo zijn niet alle computersystemen aangesloten op een systeem dat aanvallen kan detecteren. De minister van I&W neemt de aanbevelingen uit het rapport over.

Volgens de Algemene Rekenkamer worden veel vitale waterwerken aangestuurd via computersystemen uit de jaren tachtig en negentig. Om besturing op afstand mogelijk te maken zijn deze systemen later gekoppeld aan computernetwerken, die volgens het onafhankelijk orgaan kwetsbaar zijn voor computercriminaliteit. Rijkswaterstaat vindt het te kostbaar en technisch uitdagend om deze oude systemen te moderniseren, dus wordt er voornamelijk ingezet op detectie van aanvallen 'en een adequate reactie daarop', schrijft de Algemene Rekenkamer.

Om de detectie te realiseren, moeten de netwerken van de 'vitale waterwerken' aangesloten worden op het SOC van Rijkswaterstaat. Hoeveel vitale waterwerken er zijn is niet bekend, wel is duidelijk dat 'nog lang niet alle' vitale waterwerken rechtstreeks zijn aangesloten op het SOC. Rijkswaterstaat had de ambitie om eind 2017 alle cyberaanvallen te kunnen detecteren, eind 2018 was dat volgens de Algemene Rekenkamer nog niet het geval.

Hierdoor bestaat volgens de instantie het risico dat Rijkswaterstaat een aanval niet of te laat detecteert. Volgens het onderzoek zijn nog niet alle waterwerken hierop aangesloten, omdat 'sommige regio's' terughoudend zijn bij het uitvoeren van de maatregelen. Zij zien het aansluiten van de computersystemen volgens het onderzoek 'mogelijk als een risico'. Welke regio's dit doen en welke mogelijke risico's zij zien, maakt het rapport niet bekend. Wel is het duidelijk dat het SOC het aansluiten niet af kan dwingen.

De Rekenkamer heeft een test uitgevoerd bij een waterwerk dat wel aangesloten is bij het SOC, om te kijken of en hoe goed het systeem werkt. 'Tot tweemaal toe' lukte ingehuurde ethische hackers het om toegang te krijgen tot de locatie. Dit door het personeel te misleiden. Zo werden ze een keer alleen gelaten bij een open sleutelkast en niet-vergrendelde werkstations. Een andere keer kregen ze een tijdelijke toegangspas zodat ze vrij door het gebouw konden bewegen. Daarbij hadden ze toegang tot belangrijke onderdelen zoals de serverruimtes en opslagruimtes voor 'kritische onderdelen'.

Bij het waterwerk hebben de hackers een laptop aangesloten op het netwerk. Daarbij hebben ze zich 'op verschillende manieren gedragen', variërend van het genereren van geen netwerkverkeer tot 'vrij opvallend' verkeer. In alle gevallen werden de hackers door het SOC gedetecteerd.

Het SOC zegt in het rapport een beperkte beschikbaarheid van kennis en personeel te hebben. Zo worden de binnenkomende meldingen van verdachte situaties geprioriteerd. Meldingen met een lage prioriteit blijven meerdere dagen liggen, zegt het SOC. Rijkswaterstaat heeft om aanvullende financiering gevraagd om de personeelsproblemen te verhelpen, maar dit is door de minister niet toegekend, schrijft het rapport.

Naast detectie van een cyberaanval is de reactie daarop ook een belangrijk onderdeel van de cybercriminaliteitmaatregelen van Rijkswaterstaat. Ook daarop heeft het rapport opmerkingen. Zo zijn crisiskaarten waarop staat met wie in het geval van een crisissituatie contact moet worden opgenomen, volgens het onderzoek niet actueel. Eind vorig jaar bestond er nog geen proces om die kaarten actueel te houden, dus werd de informatie pas aangepast als iemand van het SOC langskwam of zodra iemand een fout opmerkte. Ook netwerkoverzichten bleken in sommige gevallen meerdere jaren oud te zijn. Daarnaast doet Rijkswaterstaat volgens het onderzoek geen penetratietesten 'van enige omvang' om de automatiseringssystemen te testen op de cybersecuritymaatregelen.

De Algemene Rekenkamer concludeert dat de Nederlandse waterwerken nu nog onvoldoende beveiligd zijn tegen cyberaanvallen. De Rekenkamer geeft als aanbevelingen om onder meer een onderzoek uit te voeren naar het actuele dreigingsniveau voor computeraanvallen, om de resterende maatregelen - zoals volledige aansluiting op het SOC en het centrum te voorzien van voldoende mensen en middelen - te realiseren en om penetratietesten in te voeren. Daarnaast moeten er processen worden ontworpen om de crisiskaarten en netwerkoverzichten actueel te houden. De minister van Infrastructuur en Waterstaat geeft aan de aanbevelingen op te pakken.

De beveiliging van vitale waterwerken is belangrijk, omdat deze voorkomen dat Nederland overstroomt. Het moet kwaadwillenden volgens de Rekenkamer daarom onmogelijk worden gemaakt om op de computersystemen te kunnen inbreken. Vooral ook omdat de AIVD meldde in toenemende mate 'activiteiten te signaleren die erop gericht zijn digitale sabotage van vitale infrastructuur in Europa mogelijk te maken'. Deze angst is reëel, zo werd het Oekraïense stroomnetwerk twee jaar geleden mogelijk getroffen door een computeraanval. Rijkswaterstaat zegt nog geen cyberaanval te hebben waargenomen bij een waterkering.

In 2016 gaf Suzanne Rijnbergen van KPN bij een Tweakers-meetup over security en privacy een presentatie over onder meer cyberaanvallen op kritische infrastructuur.

Door Hayte Hugo

Stagiair nieuwsredactie

28-03-2019 • 11:57

77 Linkedin Google+

Reacties (77)

Wijzig sortering
Rijkswaterstaat vindt het te kostbaar en technisch uitdagend om deze oude systemen te moderniseren, dus wordt er voornamelijk ingezet op detectie van aanvallen 'en een adequate reactie daarop', schrijft de Algemene Rekenkamer.
Dit is gewoon een hele foute kijk op IT en beveiliging en zou op kritieke onderdelen gewoon van tafel geveegd moeten worden door een instantie (met verstand van zaken(ICT)) die hierboven staat. Deze stelling geeft blijk van onkunde van de beslissende personen, niet geheel onherkenbaar van overheid en ICT.
Om de detectie te realiseren, moeten de netwerken van de 'vitale waterwerken' aangesloten worden op het SOC van Rijkswaterstaat.
Detectie van mogelijke cyberaanvallen is natuurlijk een echte volledige bescherming, slechts een onderdeel van het geheel en de vraag blijft nog hoe geavanceerd het detectiesysteem is. Het zal misschien slecht een schijnveiligheid bieden als je je beseft hoe hoogstaand hacks tegenwoordig kunnen zijn van mogendheden die echt kwaad in de zin hebben.
[...]
Dit is gewoon een hele foute kijk op IT en beveiliging en zou op kritieke onderdelen gewoon van tafel geveegd moeten worden door een instantie (met verstand van zaken(ICT)) die hierboven staat. Deze stelling geeft blijk van onkunde van de beslissende personen, niet geheel onherkenbaar van overheid en ICT.
Je noemt de voorkeur onkunde, maar je geeft niet aan waarom het onkunde zou zijn. Om tot een voorkeur te komen zal gewoonlijk een afweging worden gemaakt. Stel de kosten voor vervanging en onderhoud zijn vele malen duurder dan behoud van een systeem, terwijl het nieuwe systeem wel nieuwer is maar nog steeds niet veiliger. Wat is er dan goed aan om heel veel geld in vernieuwing te stoppen waar je op gebied van veiligheid niets mee opschiet? Zulke afwegingen lijken me niet ondenkbaar. Zou het misschien zo kunnen zijn dat er geen goede oplossing is omdat de markt niet kan leveren wat de verwachting bij vernieuwing is, of tegen een veel te hoge prijs? Dat de onkunde of onwil bij leveranciers ligt en klanten er niet veel aan kunnen doen en dus keuzes moeten maken? Misschien niet de meest gewenste keuzes, maar is dat dan onkunde? Klanten hebben het niet altijd voor het zeggen. Bijvoorbeeld als er niet veel keuze is.
Je noemt de voorkeur onkunde, maar je geeft niet aan waarom het onkunde zou zijn.
In de quote geeft men aan dat men inzet op detectie van aanvallen. In mijn tweede alinea geef ik aan dat detectie maar een gedeelte van een beveiliging is en wellicht een zelfs maar een schijnveiligheid geeft als je kijk naar hoe hhogstaand hacks tegenwoordig kunnen zijn.
Stel de kosten voor vervanging en onderhoud zijn vele malen duurder dan behoud van een systeem, terwijl het nieuwe systeem wel nieuwer is maar nog steeds niet veiliger.
Dit artikel gaat over het niet veilig zijn van de oude systemen, als je dan een nieuw systeem gaat bouwen ga je natuurlijk zorgen dat deze systemen van zichzelf al veilig zijn en niet de tekortkomingen hebben die het artikel aankaart. Dus je opmerking heeft eigenlijk geen enkele betrekking op het probleem wat het artikel juist aankaart :) .
Zo natuurlijk is het helaas niet dat makers van nieuwe producten serieus aan beveiliging doen. De discussies daarover zijn al jaren oud. Je kan dan wel willen dat het zo is, maar dat maakt het geen praktijk. Het is dus te makkelijk om te zeggen dat een bedrijf of overheid onkundig is als ze niet doen wat jij zou eisen.
Uh..nogmaals..dit artikel gaat over het niet veilig zijn van verouderde systemen voor cruciale infrastructuur, als je dan opdracht geeft om de systemen te vervangen onwille van de veiligheid dan lijkt het mij dat je veiligheid meeneemt bij het bouwen van de nieuwe sytemen en dat je criteria opstelt en dit laat testen. Wat voor nut heeft het systemen te updaten omwille van de veiligheid als je systemen terugkrijgt die niet veilig zijn?
Ik stel niet dat het artikel gaat over het veilig zijn van verouderde systemen. Maar het uitgangspunt dat willen vernieuwen het gewenste resultaat gaat opleveren staat ook niet vast. Dat is juist een van de problemen bij dit soort systemen.

Er is pas een paar jaar aandacht voor beveiliging in die industrie voor nieuwe systemen. Maar dat wil niet zeggen dat je makkelijk of binnen financieel acceptable grenzen een ontwerp kan maken om een oud systeem om te bouwen naar een systeem met moderne beveiliging. De systemen zijn meer dan een paar kastjes, het is vaak genoeg een geheel waarbij apparatuur niet eens vervangen kan worden. Dan kan je wel willen dat er een nieuw systeem komt, maar ten kosten van wat? Dus waar zit de onkunde in als men kiest voor behoud? In het rapport van de rekenkamer lees ik niet dat er nooit gekeken is naar vernieuwing. Er staat dat er een voorkeur is voor behoud. En zoals al gezegd, een voorkeur komt meestal voort uit het hebben van een keuze. Zolang niet duidelijk is wat die keuze was en waarop die is gebaseerd zou ik niet al te snel stellen dat een voorkeur een teken van onkunde is als je zelf ook niet weet waarop die voorkeur gebaseerd is.
Zelfs het meest geavanceerde detectie systeem kan niks doen met valide verkeer met kwaadwillende bedoelingen. Volgens mij is dat verkeer volgens mij nog steeds het grootste risico bij de beveiliging van cruciale infrastructuur componenten

Dus idd je hebt helemaal gelijk.

Soms heb je liever een systeem met fatsoenlijke RBAC / hardnening dan een fancy soc wat op zoek gaat naar trends in bakken data. Snap dit eenzijdige verhaal dus ook niet helemaal... Alsof monitoring als beveiliging ooit een goed idee is, ik zie het meer als een laatste noodgreep die veel kost en weinig risico's mitigeert

[Reactie gewijzigd door Mellow Jack op 28 maart 2019 16:54]

Je kunt natuurlijk monitoring inrichten die direct mitigerende maatregelen aanstuurt. In dat geval kán monitoring helpen. Maar inderdaad monitoring an sich is gewoon aansturen op 'Als het kind verdronken is, dempt men de put'. - Dat wist men al in de zestiende eeuw

Opvallend dat het wordt toegepast op de waterwerken, die er juist zijn ter bescherming tegen dit gedrag.
Complexere en vaak grotere waterkeringen hebben mechanische beveiliging tegen dit soort sabbotage.

Als je Maeslantkering zou willen openen terwijl de druk op de deuren te groot is, klikken de scharnieren niet in positie. Daarnaast zijn er nog sommige hendels die je handmatig moet overhalen (lees: Mannetje moet langs met een autootje) voordat de motor contact maakt met de koppelingsbak.

Vrijwel elk 1:10000 jaar risicogebied kan je niet zomaar doen overstromen door een cyberaanval.
Kan je toelichten over welke scharnieren je het hebt? Naar mijn weten is er maar één scharnier (per arm) en dat is het bolscharnier.

En wat is je bron van het 'mannetje'? De website van Rijkswaterstaat spreekt namelijk over "volledige geautomatiseerd".
Ik heb aan dit project jaren geleden gewerkt tijdens mijn promotie waterbouwkundige constructies civiele Techniek. Het zou kunnen dat het proces nu volledig geautomatiseerd is want we zijn vele jaren verder.

Dit gaat niet over de bolscharnieren maar over het mechanisme die de opwaartsekracht moet tegenwerken via balast en de deuren moet afzinken op het moment dat de bolscharnieren de deur in semi-gesloten stand hebben gebracht. Als dit niet gebeurd wordt de stroming te snel en schuurt de bodem onder de kering weg bij grote stijghoogte verschillen.

Bij groot ongelijk piëzometrisch niveau niveau zijn ze weggedrukt van de rails.Je kan de deur daarom ook niet meer sluiten bij plotselinge stormvloeden :)

[Reactie gewijzigd door Littlemarc op 28 maart 2019 15:02]

En als je dus middels een aanval gehele systemen plat gooit, kan je hem ook niet dicht doen terwijl doet moet. Expliciet in dit geval (niet pro-actief beveiligen) ben je dus te laat en krijg je hem niet meer dicht als het echt moet.
Tja, dat klopt.

Maar je zou ook gewoon de transmissielijnen kunnen saboteren.

Geen energie=geen sluiting.
Daarnaast zijn er nog sommige hendels die je handmatig moet overhalen (lees: Mannetje moet langs met een autootje) voordat de motor contact maakt met de koppelingsbak.
Maar hoe wordt dat mannetje aangestuurd? Het zou met niet verbazen als dat via onbeveiligde e-mail of SMS gaat. Mensen zijn vaak juist de zwakke schakel in dit soort systemen. Ik neem aan dat er wel een beetje over is nagedacht, maar mensen zijn over het algemeen welwillend en niet argwanend.
Dat mannetje heeft hoop ik wel weet van protocollen wanneer een waterwerk in 'werking' gesteld moet worden, lijkt me. En anders wel een soort van 4 ogen principe...
m.a.w. Er zal een lampje bij die persoon moeten gaan branden als een waterwerking vraagt om actie terwijl er geen aanleiding is.
Voor een gemiddeld waterwerk kan ik niet spreken

Kosten open doen en sluiten Maeslantkering ~1,2 Miljoen Euro per geval.

Deze worden jaarlijks op het budget van RWS gezet aan de hand van weersvoorspellingmodellen.Dat mannetje handelt niet alleen. Sluiten komt zelden voor behalve bij de jaarlijkse controle in September. Je kan langsgaan als je wilt. Ze zijn blij met bezoekers (op afspraak).
Kosten open doen en sluiten Maeslantkering ~1,2 Miljoen Euro per geval.
Zijn dat de werkelijke kosten van het sluiten alleen? Of versturen ze een gouden telegram naar alle schippers die daardoor vertraging oplopen? Ze slepen de deuren naar het midden waar ze worden afgezonken. Waarom moet dat zoveel kosten?

[Reactie gewijzigd door Redsandro op 28 maart 2019 23:47]

Dit zijn directe kosten.

Ik weet niet of schippers worden gecompenseerd. Volgens mij moeten ze die kosten bij hun verzekering claimen maar dat kan ik nog navragen.

De kering is niet gebouwd voor recurrent gebruik maar voor incidentele (bij stormvloed) sluiting.

Na elke cyclus (open+dicht) wordt het hydraulisch systeem en electrisch systeem nagelopen en vinden reparaties plaats maar zo een klus kost je totaal ongeveer +- 100 k.

Maar er is meer !

Tijdens het sluiten verandert het stromingsprofiel immens en dit creeert gaten in de bodem + bodembescherming raakt beschadigd (stenen+netten). De grote kosten zitten in het baggerschip die de bodem rondom de kering moet scannen en vervolgens weer moet glad strijken. Dit is per m3 zand duur (kleine klus).

Dit is zo een schip;

https://www.vanoord.com/n...t-twee-sleephopperzuigers

Vervolgens moet de bodembescherming (scour protection) worden hersteld door een ander schip nadat de bathymetrie is hersteld door het baggerschip.

De kosten hiervan ~ +- 1-1,5 M

[Reactie gewijzigd door Littlemarc op 28 maart 2019 23:53]

Ik vermoedt dat het niet de echte kosten zijn, maar de opgetelde gederfde inkomens van alle schippers die er langs moeten ofzo.
Door dit topic moest ik even terug denken aan een onderzoek dat het CPB heeft gedaan naar de afhankelijkheid van de samenleving van bepaalde DDos beschermingsmechanismes (lees: software van bepaalde aanbieders) (nieuws: 'Afhankelijkheid banken van Akamai is twijfelachtig' - update). In dit rapport waren wat beoordelingsfouten geslopen (de verschillende typen DDOS aanvallen, volume en applicatie, waren op een hoop terecht gekomen. Ook een onderzoek dat met de beste bedoelingen zal zijn ingezet, en dan toch wat ruis veroorzaakt.

Door dat topic een observatie van mijn kant. Ten eerste vind ik het een prima initiatief van de rekenkamer om dit issue aan te kaarten. Liever dit dan dat we er achteraf achter moeten komen dat we te kwetsbaar waren. De vraag die ik mijzelf alleen stel is of de rekenkamer de geeigende instantie is om zich te bekommeren over onze digitale weerbaarheid (sorry, het woord cybersecurity krijg nog steeds niet uit mijn mond). Doet de rekenkamer dit bij gebrek aan een alternatieve instantie die dit namens de overheid kan controleren? Of loopt de rekenkamer een andere instantie hiermee voor de voeten? Digitale weerbaarheid is een specifiek issue waar specifieke kennis voor nodig is om de uitkomsten van onderzoek mee te kunnen interpreteren. Ik acht de rekenkamer een hele kundige partij, en die hackers zullen best meegedacht hebben wat relevant was om te testen, maar ik betrap mij er toch op dat de leidende rol voor een dergelijk onderzoek niet bij een rekenkamer zou moeten liggen.

Edit: typo's

[Reactie gewijzigd door teacup op 28 maart 2019 16:57]

Waar dan wel? Is zo'n instantie er al?
Nationaal Cybersecurity Center. (NCSC)
Hmm ik merk in het artikel dat aansluiten op het SOC belangrijk zou zijn maar daar is blijkbaar een personeelstekort waardoor die ook niet altijd even snel kunnen reageren dus wat is het nut dan nog van aansluiten op de SOC?
Net zoals veel dingen in het leven moeten er keuzes gemaakt worden over welke incidenten ze wel en niet oppakken, een kwestie van risicomanagement.

Wat je aangeeft is één van de problemen van een SOC, sommige SOC's verzamelen gewoon zoveel informatie dat er een paralysis ontstaat. Het bepalen van welke informatie je wil verzamelen is belangrijk, nog belangrijker is acteren op de belangrijke zaken.

Ondanks dat ze niet op alles zullen kunnen acteren blijft het wel belangrijk om te monitoren, meten is weten. Als je iets niet weet kun je er niets mee, als je het in ieder gevalt opslaat kun je er later nog mee aan de slag als dit nodig is (en nog kan).

[Reactie gewijzigd door Fylo op 28 maart 2019 13:18]

Net zoals veel dingen in het leven moeten er keuzes gemaakt worden over welke incidenten ze wel en niet oppakken, een kwestie van risicomanagement.
Precies en beseffen dat je in een niet onderhouden omgeving met monitoren weinig risico's mitigeert.

Een SOC zie ik meer als:
We hebben alles goed op orde en zoeken naar dat kleine beetje extra inzicht IPV we gaan inzicht krijgen dankzij de implementatie van een SOC (ja je krijgt inzicht maar wel van 10% van je vraagstuk)
Wat jij schetst is de ideale situatie echter is dat niet altijd mogelijk omdat de software bijvoorbeeld niet te updaten is, of de business zulke specifieke eisen heeft dat bepaalde security controls niet praktisch zijn. Een SOC is in dit geval dan een vorm van een "compensating control", en is dan een prima alternatief.

[Reactie gewijzigd door Fylo op 28 maart 2019 17:35]

Een alternatief voor wat? Ik beschrijf niet de ideale situatie. Ik beschrijf alleen dat een SOC je maar minimaal tot geen inzicht geeft in de security van je omgeving. Ik snap dat traditioneel denkende mensen nog een beetje denken in dit soort termen maar om daar nou de beveiliging van je infrastructuur aan op te hangen....
Een alternatief voor het gebrek aan écht werkende maatregelen, het liefst zou je natuurlijk gewoon de kwetsbaarheden wegnemen door bv patches. Ik ben het dus ook met je eens, begrijp me niet verkeerd :).
Vroeger gebruikten we het water zelf in oorlog tegen de vijand, nu is er een dreiging dat het tegen ons gebruikt word.

Vraag me wel af hoe effectief zo'n aanval zou zijn, zelfs als je allemaal sluizen openzet van afstand neem ik aan dat het enige tijd zal duren voor er echt catastrofale overstromingen ontstaan en dat zou dan toch tijd geven om op locatie(s) dingen recht te zetten.

Als zo'n aanval nu plaatsvind tijdens een zware storm zou het anders zijn, maar wat is de militaire waarde daarvan? Ik denk niet dat vijandige overheden dit soort acties zouden doen, eerder wat meer technisch onderlegde terroristen.

edit: ik noem militaire toepassing omdat het artikel het heeft op de aanval op het elektriciteitsnetwerk van Oekraine. Een elektriciteitsnetwerk heeft volgens mij degelijk militaire waarde.

[Reactie gewijzigd door AngryMartian op 28 maart 2019 12:04]

Stel: Je zou de Maeslantkering op afstand kunnen sluiten. Tijdens een storm wordt deze kering gesloten. Dit mag alleen niet te lang duren, want dan kan het water van de Rijn niet weg en overstroomd het achterland. Zou je de Maeslantkering op afstand kunnen sluiten en daarna saboteren, zodat de Rijn permanent gesloten is, dan wordt scheepvaart richting Duitsland lastig. De industrie in het Ruhrgebied zou een serieus probleem hebben. Een zelfde situatie is gebeurt bij de stuw bij Grave. De gevolgen voor de Rijn zouden veel erger zijn.
Als zo'n aanval nu plaatsvind tijdens een zware storm zou het anders zijn, maar wat is de militaire waarde daarvan? Ik denk niet dat vijandige overheden dit soort acties zouden doen, eerder wat meer technisch onderlegde terroristen.
Nogmaals, wat voor mensen zouden dit soort aanvallen doen? Economische sabotage lijkt jij naar te neigen, en dat is goed mogelijk.

Het is volgens mij ook belangrijker om te zorgen dat bediening op afstand niet hetzelfde is als mogelijkheid tot sabotage op afstand. Als dan inderdaad een belangrijke waterkering wordt gehackt is het dan toch mogelijk om op locatie dingen recht te zetten voor er echt catastrofale gevolgen zijn.
Ik zie het best voor me hoor: "Maak 200 bitcoin over naar deze wallet en we openen de kering weer". Zelfde grapje kun je doen met praktisch iedere brug of sluis. Als het mogelijk is in te breken is het niet de vraag of/waarom, maar wanneer het gebeurt.
Dat ben ik met je eens. De threat classification is dan wel degelijk anders als bij een militaire aanval lijkt mij.
Ik zie het meer als een ideaal target om een slapend virus te installeren wat via hetzelfde methodes word aangestuurd als het centrale systeem (lekker legitiem verkeer ;) ).

Het hoeft pas te ontwaken bij de situatie waarbij (1) de weermodellen het advies geven een (x) percentage van de sluizen te sluiten en (2) de centrale computer dit signaal ook afgeeft. Het enige wat het virus hoeft te doen is ervoor te zorgen dat er niet gebeurd.

Ik kan niet inschatten of een scenario als hierboven echt schade zal uitoefenen (ligt ook aan het weer en de hoeveelheid hulptroepen bij rws) maar kan me goed voorstellen dat het een hoop ellende kan veroorzaken.

Naast natuurlijk alle financiële ellende die veroorzaakt kan worden wat ook militaire kanten kan hebben. Het is natuurlijk een voordeel als een compleet land (of continent) ontregeld is voordat je het gaat aanvallen en is dit maar een klein onderdeel van het aanvalsplan.

Stap 1. Alles ontregelen.
Stap 2. Alles onderuit halen (internet + stroomnet)
Stap 3. Berg bommen erop :p

Moet je voorstellen dat dan alle draaiboeken bij alle ministeries tegelijkertijd succesvol uitgevoerd moeten worden om chaos te voorkomen en als dat lukt krijg je alsnog een berg bommen op je kop
Ik ken de situatie op deze kering niet maar ben wel betrokken bij soortgelijke projecten en daar zou de storingsmonteur heel simpel de internet netwerkverbinding kunnen verbreken, systeem op hand nemen en de situatie weer kunnen herstellen naar de gewenste situatie.
Wat niet wegneemt dat de cyber security voor zulke objecten goed geregeld moet zijn uiteraard.

[Reactie gewijzigd door WouterG op 29 maart 2019 08:42]

"internetverbinding" gniffel
Netwerkverbinding, fixed ;)
Bij een dergelijke aanval verwacht ik daarom ook dat meerdere "objecten" tegelijk het doel zullen zijn. Alle sluizen, keringen en buffervolumes langs rivieren vormen samen een complex regelsysteem dat actief onze waterhuishouding in balans houdt.

Zou je als aanvaller in staat zijn meerdere elementen in dat systeem tegelijk te beinvloeden dan lijkt mij dat dit behoorlijk wat overlast kan veroorzaken. Overstroomde gebieden kunnen aardig immobiliserend werken, zeker als een aantal objecten tegelijk moeten worden gecorrigeerd.

Ook ben ik wel benieuwd of wij in Nederland op dergelijke scenario's trainen. Wat doe als meerdere van die objecten in je systeem niet doen wat je verwacht. Hoe pak je dit aan, krijgen bepaalde objecten prioriteit, kan in noodsituaties over speciaal transport (helikopters) worden beschikt? En liggen hiervoor draaiboeken klaar hoe dit transport af te roepen? Goed voor de bewustwording lijkt mij om enkele absolute worst case scenario's te doorlopen, hoe onwaarschijnlijk die ook lijken.
Ook ben ik wel benieuwd of wij in Nederland op dergelijke scenario's trainen. Wat doe als meerdere van die objecten in je systeem niet doen wat je verwacht. Hoe pak je dit aan, krijgen bepaalde objecten prioriteit, kan in noodsituaties over speciaal transport (helikopters) worden beschikt? En liggen hiervoor draaiboeken klaar hoe dit transport af te roepen? Goed voor de bewustwording lijkt mij om enkele absolute worst case scenario's te doorlopen, hoe onwaarschijnlijk die ook lijken.
Dit lijkt mij zelfs essentiëler dan eventuele technische aanpassingen inderdaad. En niet alleen theoretisch op papier nalopen, maar ook echt in een simulatie vorm.
Dan zet je een batalion vrachtwagens in
Zet bruggen op de halve stand en er kan geen verkeer overheen en geen boot onderdoor.
Dit is ontregelend ja, maar nog niet hetzelfde als het uitschakelen van elektriciteit. Alleen echt kritieke infrastructuur heeft een aggregaat volgens mij ( mobiele zendmasten hebben accu's / aggregaat voor 24h oid? ).

En het is ook militair niet zo heel belangrijk, er zijn legeronderdelen specifiek gericht op onder meer het snel opzetten van noodbruggen en met een luchtmobiele brigade kan je militairen inzetten ook op plaatsen waar je op dat moment geen toegang hebt via bruggen/wegen.

Ik denk echt dat dreiging van het waterbeheersysteem militair niet zo'n grote waarde heeft, en meer gezocht dient te worden bij ofwel technisch onderlegde terroristen ofwel iemand die bijvoorbeeld de overheid af wilt persen.
Als iemand letterlijk alle waterwerken in Nederland tegelijk open zet (of in sommige gevallen juist sluit) gok ik dat er genoeg schade is aan gebouwen, netwerken en infrastructuur dat Nederland heel snel niet meer in staat is om welke militaire inzet dan ook te bekostigen. Aan de andere kant zou het wel onwaarschijnlijk zijn als een land zo'n aanval alleen tegen Nederland uit zou voeren aangezien ze als de echt militair willen ingrijpen, eerst nog door tal van andere landen moeten.
Wat ik mij dus afvraag is hoe snel die impact op zal schalen, en hoeveel dit gemitigeerd kan worden door overal handmatig overrides te gebruiken om de status quo te herstellen. Op afstand bedienbaar != niet op locatie te corrigeren toch? Ik ben het met je eens als er een ontzettend grote gecoördineerde aanval plaatsvind op de waterwerken infrastructuur dat dit een ontzettend groot gevaar oplevert, ik vraag mij echter wel af hoe reëel het is dat het op zo'n schaal gebeurt, en zelfs als het op zo'n schaal gebeurt moet het mogelijk zijn om ter plekke sluizen/bruggen/gemalen/stormkeerringen met de hand te bedienen.

Als je zo'n grote gecoördineerde aanval opzet in combinatie op een aanval op het telecommunicatie netwerk ben je een heel stuk verder van huis omdat dan het handmatig corrigeren van de verkeerde status van waterwerken niet meer goed te coördineren valt.
Als ik zo'n aanval zou uitvoeren, zou ik ook de verbindingen die gebruikt zijn voor de aanval (die waarschijnlijk dezelfde zijn als via waar medewerkers van deze diensten gebruik van moeten maken) overbelasten. Overal mensen naar toe sturen om handmatig de boel te bedienen is ook lastig, kijk maar eens hoe vaak het wel al niet gebeurd dat een brug niet reageert en een servicemonteur pas na uren op locatie kan zijn. Sterker nog, als een dergelijke aanval in een vakantieperiode én 's nachts én in een weekend gebeurt lijkt mij die eerste responstijd helemaal opgerekt te gaan worden.

Het jammere van dit verhaal is dat alle systemen die aan het internet gekoppeld zijn tijdens de koppeling al van goede beveiliging voorzien hadden kunnen worden.
Het zijn beheersystemen uit de jaren 80 / 90, denk niet dat die toen zij ontworpen en geïmplementeerd werden tegen alles hadden kunnen beschermen wat je er nu tegenaan kan gooien tenzij ze te updaten zouden zijn.

Ben het wel met je eens dat de first response niet super snel zou zijn, maar dat voorbeeld van die servicemonteur van die weigerende brug zou misschien ook iets met een te lakse SLA kunnen zijn. Of, zoals niet zo lang geleden ergens als ik het mij goed herinner, een systeem wat zou oud was dat nieuwe monteurs er niet voldoende kennis over hadden ( zat niet meer in het standaard lesmateriaal oid. ) en er dus een zogenaamde expert moest komen ( in dit geval dus gewoon een ouder iemand die nog wel de benodigde kennis had ).

Net zoals first response tijden die je kan verbeteren door scenario's te oefenen, moet ook de benodigde kennis natuurlijk wel behouden blijven bij een voldoende grote groep mensen. Zou wat zijn als zoiets dergeleijks gebeurd en Rijkswaterstaat heeft van all zijn technisch personeel maar een klein aantal wat voldoende kennis van de getroffen systemen heeft.
Wat ik van relaties bij Rijkswaterstaat weet zijn voor veel van die objecten object specifieke beheerteams. Mogelijk dat meerdere kleinere objecten onder een regionaal team vallen. Mijn inschatting is dus dat bijvoorbeeld Rijkswaterstaat heel wat kundige technici kan mobiliseren wanneer nodig. Alleen of dit soort waterinfarct situaties worden geoefend, dat is een tweede.
Helaas heeft RWS niet veel kundig personeel meer. Dat een een beleidskeuze. Onderhoud rn management gaat via aanbesteding.

De oude garde die RWS nog heeft gaan ook langzamerhand met pensioen.

Maar het is niet alleen RWS die dit probleem heeft. Sommige ingenieurs worden relatief slecht betaalt dus verlaten het vakgebied steeds meer. Ze worden data scientists of zoals ik bankier. Techniek does not pay behalve (soms) IT.
Een technische baan doe je ook niet voor het geld, maar omdat je dan werk kan doen dat gedurende je hele loopbaan interessant genoeg blijft om met lol naar je werk te kunnen gaan O-).

Ik meen trouwens wel iets in wat je zegt te herkennen. Zo herken ik uit de verhalen van diegenen die ik bij RWS ken dat het accent van het uitvoeren van werkzaamheden naar het opdrachtgeverschap is verschoven. RWS besteed klussen aan, en de klussen worden door aannemers en onderaannemers uitgevoerd. Die aanpak heeft denk ik wel het risico dat de kennis bij RWS en bij de (onder)aannemers kan uithollen. De aanpak lijkt mij erg kosten gedreven. Ook observeer ik dat RWS ook veel met mensen buiten de deur werkt, via ingenieursbureau's. Ook dit helpt niet met het consolideren van kennis binnen de organisatie.

Voor de ontwikkeling waarover we het in dit topic hebben kan trouwens de routine met uitbesteden naar RWS toekomen. De kennis nodig voor het verbeteren van de beveiliging zal lang net altijd als kennis binnen de RWS organisatie aanwezig zijn, zeker als we het hebben over het aangesloten zijn op de nieuwste ontwikkelingen. Het in stand houden van een SOC is iets heel anders dan het definiëren van een SOC 2.0 en het uitrollen van een dergelijke verandering. Het kan hierbij helpen dat je organisatie routine heeft met uitbesteden van werk buiten de deur, en dat ze routine heeft om kennis te zoeken die ze zelf niet heeft.
De waterlinie is van oudsher een strategisch verdedigingsmiddel.

Dus toch wel militair mogelijk belangrijk.
Van oudsher ja. Hoe werkzaam was deze linie tussen 10 en 15 mei 1940?
Wat goed toen Napoleon wilde binnenvallen met Paard en wagen maar nu vliegt men dus de tijden dat dit zinvol was zijn achter ons.
Mwa, het is niet zo effectief meer als dat het was. Maar je kan een redelijk onvoorbereide invasiemacht toch bemoeilijken door alles blank te zetten. Maar dit zal ze tegenwoordig eerder ophouden dan tegenhouden.(if at all, laten we niet de amfibie voertuigen vergeten die militairen ook hebben)
al is het een middag / paar uur, is al voldoende voor complete ontregeling van infrastructuur en voorzieningen. in Springfield, Illinois is dat recentelijk (2jr?) terug plaatsgevonden. Door een waterpomp te overbelasten geloof ik (sensor/alarm uit, druk opvoeren)
Ja klopt, en wat was het resultaat? Volgens mij was er uiteindelijk dus niks aan de hand, het was meer een proof of concept dan dat er door het falen van die ene pomp ineens catastrofale overstromingen ontstonden.
Sluizen op afstand dubbel of driedubbel open zetten gaat niet. De stuur- en schakelketen is zodanig ontworpen dat dit niet gaat. Hiervoor zal je in de machinekamer (of aparte schakelkamer bij grotere sluizen) moeten kunnen komen om relais/contactoren met de hand te kunnen bedienen.

[Reactie gewijzigd door BFmango op 28 maart 2019 12:31]

Dat is heel mooi om te horen, dat beperkt de impact van een gecoördineerde hack nog verder dan wat ik aannam.
Een grote dreiging is verzilting van ons drinkwater. Als de sluizen bij de Afsluitdijk ongecontroleerd worden opengezet zal op den duur het IJsselmeer verzilten waar we op dit moment een significant deel van ons drinkwater uit halen.
Vraag me wel af hoe effectief zo'n aanval zou zijn, zelfs als je allemaal sluizen openzet van afstand neem ik aan dat het enige tijd zal duren voor er echt catastrofale overstromingen ontstaan en dat zou dan toch tijd geven om op locatie(s) dingen recht te zetten
Een grote dreiging is verzilting van ons drinkwater. Als de sluizen bij de Afsluitdijk ongecontroleerd worden opengezet zal op den duur het IJsselmeer verzilten waar we op dit moment een significant deel van ons drinkwater uit halen.
Zelfs met alle sluizen open vraag ik mij af hoelang het zou duren voor het water in het IJsellmeer voldoende verzilt is dat het niet meer te gebruiken is als drinkwater. En zoals ik al stelde eerder, de duur waarop die sluisen dan open zouden staan lijkt mij dus niet genoeg om daadwerkelijk een dreiging te zijn?
Hoe lang het duurt voordat het verzilt weet ik niet, zo goed zit ik niet in de materie. Wat ik wel weet is dat dit scenario (cyberaanval op sluizen, verzilting van IJsselmeer) daadwerkelijk geoefend is door Defensie. Het lijkt me daarom een reëele mogelijkheid.
De chinezen ook, in wereldoorlog II om de opmars van japan te stoppen hebben ze de dijken van de gele rivier doorbroken. maar schatting 800.000 mensen verdronken.

De waterlinie was leuk toen we nog met zwaarden en pijl en boog streden.
De waarde is tegenwoordig vrij laag met de moderne luchtmacht en artellerie.

Maar als je een polder kan laten vollopen met een hack heb je daar denk ik de tijd niet echt voor om het levensbedreigend te laten zijn omdat het gewoon veel te langzaam gaat. Natte voeten misschien.

Tenzij ze tot een stormvloed wachten en de kering op het slechtse moment openen.
Tenzij ze tot een stormvloed wachten en de kering op het slechtse moment openen.
Uit andere reacties is op te maken ( en tja gezond verstand onderstreept het ook nog :D ) dat dit ook niet altijd mogelijk is. Bij de Maeslantkering kunnen de delen niet geopend worden door de druk van stormtij bijvoorbeeld, als ik het goed begrepen heb.
De waarde is tegenwoordig vrij laag met de moderne luchtmacht en artellerie.
Neem aan dat ook amfibische voertuigen van de landmacht ook wel raad zouden weten met een ondergelopen polder.
Ja, en ik denk dat je meer nederlanders zou verdrinken dan vijandelijke troepen.
Maar ik hoop dat onze regering dat niet toe staat. Maar nood breekt wetten en vervolgens dijken.


NB: Het moment zou dus zijn net voor de druk te hoog wordt. Waarschijnlijk zou er dan zelfs een probleem met sluiten kunen zijn door diezelfde druk. winning. Bedankt voor de tip ;)
Goed om te zien dat de effectiviteit van het SOC goed onderzocht wordt aangezien dit een arbeidsintensief en kostbare security control is. Het ziet er naar uit dat het SOC effectief is in dit geval, daardoor zou het geen probleem moeten zijn om meer (financiële) resources te investeren. Als ze dit opschalen naar alle andere waterwerken zal dit op de lange termijn door de opschaling weer goedkoper worden en efficiënter, het is allicht goedkoper dan de hele waterwerken op digitaal gebied te vernieuwen :-).

Later even het volledige rapport goed doornemen.
Hoe belangrijk is het nou helemaal om besturing op afstand mogelijk te maken als je daardoor het risico loopt op mogelijk fatale cyberattacks?
Misschien leuk om een keer te posten wat de overheid wel gelukt is om te beveiligen. Het is redelijk duidelijk dat er vrijwel niks van de overheid is wat wel veilig is en tegen een "Cyberaanval" kan..
En dat vor een land die zijn zaken redelijk in orde heeft kun je nagaan bij andere landen
de waterwerken hebben dus geen flood protection? :+

Wat dat betreft is dit een voorloper van problemen die we ook kunnen verwachten bij IOT.
Technisch vaak wel mogelijk om dingen te koppelen, en laten werken, maar vaak wordt dan vergeten dat de "beveiliging" vroeger was dat het geisoleerd was.
En niemand valt erover dat ze alle cyberaanvallen willen kunnen detecteren?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True