Het water tegenhouden of juist laten wegstromen: het blijkt nog altijd kinderlijk eenvoudig om sluizen en gemalen in Nederland via internet te bedienen. Dat komt doordat waterschappen de cyberbeveiliging niet op orde hebben, meldt het blad Binnenlands Bestuur na eigen onderzoek.

De beveiligingssoftware wordt doorgaans maar vijf jaar lang bijgewerkt. Dat terwijl de computersystemen om de waterwerken te bedienen tot dertig jaar lang meegaan. Zonder updates groeit het gevaar: hackers blijven zoeken naar kwetsbaarheden in systemen. Wie een sluis of een gemaal hackt, kan bijvoorbeeld deuren openzetten of sluiten en het water dus tegenhouden of juist laten wegstromen, met alle gevolgen van dien.

Beveiligingsbril

Over de cyberbeveiliging van gemeenten en waterschappen wordt al langer geklaagd. Onder meer door slechte wachtwoorden blijken rioolgemalen en sluizen bijvoorbeeld gemakkelijk van afstand te bedienen. EenVandaag nam vijf jaar geleden de proef op de som en testte de beveiliging van het watersysteem van Veere. Het systeem bleek kinderlijk eenvoudig te hacken.

Computer-beveiligingsexpert Oscar Koeroo is geschrokken. “Waterschappen kijken nog steeds teveel door de operationele en functionele bril.” Koeroo maakte vijf jaar geleden de problemen zichtbaar door in de systemen in te breken. Hij is enigszins verrast dat er vijf jaar na dato nog steeds niets is veranderd. “Het is essentieel om ook door de beveiligingsbril te kijken, zeker bij systemen die 24 uur per dag in werking zijn.”

Kick van het ontwerpen

Professor Jan van Den Berg van de Cyber Security Academy kijkt er niet van op dat de beveiliging nog niet optimaal is. “Bij het digitaal maken van de besturing van zo'n sluis wordt er, net als bij het maken van een auto, nog steeds vooral gekeken naar de kosten en wat zo'n gemaal technisch allemaal voor moois kan. Ontwerpers zitten vast in de kick van het creëren van het beste gemaal.”

Van den Berg pleit voor een grotere rol voor de overheid: “Er zou een minister van Digitalisering moeten komen.”

Starre systemen

Ook Peter van Rooy, expert op het gebied van waterhuishouding, is niet verbaasd dat er nog beveiligingsproblemen zijn. “Dit zijn starre systemen, vergelijk het met olietankers, die kun je ook niet zomaar uit de oceaan halen en vervangen door betere. De gemaalsystemen die nu draaien zijn niet ontworpen op beveiliging maar functionaliteit.”

Toch vindt hij dat er meer moet gebeuren om sneller tot een beter resultaat te komen. “De starheid en logheid van een product mag geen excuus zijn.”

Handbediening

De Unie van Waterschappen laat in een reactie weten dat het inderdaad voorkomt dat software eerder verloopt dan de levensduur van een systeem maar dat er dan voorzorgsmaatregelen zijn, zoals het uitschakelen van overbodige functies. 

De Unie voegt er aan toe dat leveranciers en waterschappen druk bezig zijn met veiligheid en dat er altijd systemen zijn om op terug te vallen. “Sluizen en stuwen zijn ook altijd nog met de hand te bedienen. En je kunt nooit helemaal veilig zijn, je weet nooit wat er kan gebeuren'', aldus een woordvoerster.

Lees hier de reactie van de Unie van Waterschappen

Verbetering

Maar hoe staat het inmiddels met de beveiligingssoftware van de gemeente Veere, vijf jaar na de test van EenVandaag? "Binnen één week hebben we alles verbeterd", reageert Jacques Bult, senior-beleidsmedewerker van de gemeente Veere. “De IP-adressen zijn beter beveiligd en ook de wachtwoorden hebben we gewijzigd. Ons wachtwoord ‘Veere’  bleek inderdaad veel te simpel.”