De Nederlandse Cyber Security Raad waarschuwt dat veel vitale infrastructuren kwetsbaar zijn voor digitale dreigingen door de opkomst van industriële controlesystemen. De overheid en het bedrijfsleven zouden stappen moeten zetten om die beter te beveiligen, schrijft de CSR.
De Raad keek naar de 'cyberweerbaarheid' van industrial automation & control systems of iacs. Die worden onder andere gebruikt om vitale infrastructuur zoals bruggen en sluizen, waterzuiveringsinstallaties en logistieke processen aan te sturen. Veel van die systemen zijn van een afstand te bedienen. De CSR ziet niet direct risico's in de beveiliging van de systemen, maar waarschuwt wel voor de grote gevolgen als die aangevallen worden.
De Cyber Security Raad schrijft dat in een adviesrapport aan de ministers en staatssecretarissen van Justitie, Economische Zaken en Binnenlandse Zaken. De Raad baseert zich op een rapport van Gartner, dat keek naar het gebruik van iacs in Nederland.
De Raad doet geen specifieke uitspraken over de veiligheid van de systemen zelf, maar wel over de processen eromheen en de risico's die de systemen opleveren. Ook schrijft de Raad dat de vitale infrastructuur steeds kwetsbaarder wordt voor 'onopzettelijke uitval en kwaadwillende actoren'. Dat komt doordat er steeds meer van dergelijke systemen komen, die ook snel verouderen. Als de systemen uitgebuit worden, kan dat tot 'grote economische schade en maatschappelijke ontwrichting' leiden, waarschuwt de Raad.
Om de risico's te beperken, doet de Raad verschillende voorstellen. Zo zou de overheid er binnen belangrijke sectoren op moeten toezien dat er een uniform 'sectoraal controleraamwerk' komt. Nu wordt dat nog per vitale sector geregeld. In zo'n raamwerk staat wat de sector moet doen om iacs te beveiligen. De Raad wil dat dus gestandaardiseerd zien. De CSR wil ook dat er een steunpunt komt waar iacs-gebruikers kwetsbaarheden kunnen melden, en waar ze advies kunnen krijgen bij het aanschaffen en repareren van systemen. Dat steunpunt moet los komen te staan van het Nationaal Cyber Security Centrum. De Raad adviseert daar meer kennis te brengen over controlesystemen. Ook stelt de Raad voor om meer samen te werken tussen overheid en industrie, en dat er minstens eens in de twee jaar een grote oefening wordt gehouden waarin uitval van controlesystemen wordt gesimuleerd.
De Cyber Security Raad is niet de eerste partij die waarschuwt voor de grote gevolgen van digitalisering van de industrie. De Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde daar eerder al voor. Later adviseerde de Wetenschappelijke Raad voor het Regeringsbeleid dat de overheid moet kunnen ingrijpen bij zulke incidenten.