Het Normaal Amsterdams Peil (NAP) geeft de hoogte van het zeewater aan. Op de foto: het viaduct over de A4 tussen Badhoevedorp en Schiphol; het onderrliggende wegdek ligt 3,8 meter beneden NAP.
© Tim Boric

Digitale beveiliging Waternet lekt aan alle kanten: ‘Het gaat een keer finaal fout’

4 Connecties

Onderwerpen

Waterschap Waternet NCTV

Locaties

Amsterdam
35 Bijdragen

Al jaren negeert het Amsterdamse Waternet waarschuwingen over de onveiligheid van zijn digitale omgeving. Interne documenten bevestigen dat de cybersecurity van het bedrijf zo lek is als een mandje. Intussen is Waternet wel verantwoordelijk voor de levering en zuivering van drinkwater, het functioneren van rioleringen en het besturen van bruggen, sluizen en gemalen. Volgens interne bronnen is het een kwestie van tijd voordat het ‘finaal fout’ gaat.

Dit stuk in 1 minuut

Waar gaat dit artikel over?

  • Nederland kent een aantal diensten en bedrijven die samen onze ‘vitale infrastructuur’ vormen: denk aan elektriciteit, waterbeheer, toegang tot internet en (mobiele) telefonie. Als een onderdeel van de vitale infrastructuur uitvalt, kan dat grootschalige maatschappelijke ontwrichting veroorzaken. Daarom werken overheid, bedrijfsleven, hulpverleningsinstanties en inlichtingendiensten samen om de bescherming van zulke vitale producten, diensten en processen te waarborgen en te verbeteren.

  • Waternet is onderdeel van deze vitale infrastructuur. De dienst zorgt voor de levering en zuivering van drinkwater, beheert en monitort de riolering en het waterpeil, en bedient sluizen, bruggen en gemalen op afstand. Waternet bedient bij elkaar een kleine anderhalf miljoen mensen en is verantwoordelijk voor het waterbeheer in Amsterdam en omstreken. Daarnaast beschikt Waternet over een waaier aan gegevens over zijn klanten.

Waarom is dit artikel van belang?

  • De dienst begon in 2010 aan een grote operatie om processen en systemen vergaand te digitaliseren. In de praktijk blijkt dat veel zaken niet goed zijn geregeld, dat er soms datalekken zijn, dat er met verouderde computers wordt gewerkt, dat de toegang tot het netwerk slecht is beveiligd en dat de systeemarchitectuur niet op orde is. Zorgelijk is dat managers geregeld voor elkaar krijgen dat beveiligingsmaatregelen worden teruggedraaid of uitgesteld, omwille van het ‘gebruiksgemak’ van de medewerkers.

  • Er draaien onder meer computers bij Waternet die zo oud zijn dat ze niet meer onderhouden kunnen worden. De Nationaal Coördinator Terrorismebestrijding en Veiligheid, die adviezen geeft inzake de cyberveiligheid van vitale infrastructuur, stelt dat zulke ‘end-of-life’ computers buiten gebruik horen te worden gesteld. Desondanks heeft Waternet ze nog altijd in gebruik.

  • Interne bronnen zeggen dat het niet de vraag is óf het een keer grondig fout gaat bij de dienst, maar wanneer.

Hoe onderzocht FTM dit?

  • FTM sprak met diverse interne bronnen en bestudeerde een pak interne documenten. Ook spraken we privacy- en beveiligingsexperts.

Lees verder

Koningsdag doet in 2020 in Amsterdam in bijna niets denken aan andere jaren. Ondanks het mooie weer blijft de traditionele intocht van in het oranje uitgedoste feestgangers uit. Onder invloed van corona is er weinig animo voor de jaarlijkse massale polonaise door de binnenstad.

Ook op de security-afdeling van het Amsterdamse waterbedrijf Waternet is er die dag weinig reden tot feest. Onder druk van het management is er voor de zoveelste keer een beveiligingsmaatregel teruggedraaid. De mannen en vrouwen die verantwoordelijk zijn voor de digitale veiligheid van het bedrijf zijn het zat. Wat een poppenkast,’ schrijft een van hen in een interne e-mail aan het veiligheidsteam. ‘Het eigenbelang van bepaalde personen weegt steeds zwaarder dan het Waternet belang,’ haakt een ander in. Gefrustreerd komen de security officers tot de conclusie dat deze situatie ‘niet lang is vol te houden’.

De e-mailwisseling typeert de verhoudingen bij het waterbedrijf, waarbij waarschuwingen en adviezen van privacy en security officers stelselmatig aan de kant worden geschoven. Dat blijkt uit vertrouwelijke documenten waarover FTM beschikt. Deskundigen en interne bronnen – die vanwege persoonlijke belangen anoniem blijven – zeggen dat het niet de vraag is of Waternet gehackt wordt, maar wanneer’. En als dat gebeurt, zijn de risico’s groot – en niet alleen voor de bijna anderhalf miljoen klanten van het bedrijf.

Waterduizendpoot

De stichting Waternet wordt in 2006 opgericht als liefdesbaby van de gemeente Amsterdam en het Waterschap Amstel, Gooi en Vecht. Bij de oprichting brengt de gemeente de Dienst Waterbeheer en Riolering en het Waterleidingbedrijf Amsterdam in de stichting onder. Het waterschap doet hetzelfde met zijn uitvoeringsorganisatie.

Het bestuur van de stichting bestaat uit de Amsterdamse wethouder voor water (nu Sharon Dijksma), de Dijkgraaf van het waterschap (nu Gerhard van den Top) en een onafhankelijke voorzitter (nu Martien den Blanken). De dagelijkse leiding is in handen van algemeen directeur Roelof Kruize en directeur Financiën en Control Kees van den Berge. Laatstgenoemde is ook verantwoordelijk voor de digitale beveiliging van Waternet.

Kaart van het verzorgingsgebied van Waternet [bron]

De gemeente en het waterschap zijn van meet af aan de enige opdrachtgevers van het bedrijf, dat gevestigd is in twee glimmende torens aan de Amsterdamse Omval. Waternet voert een baaierd van activiteiten uit. In de regio Groot-Amsterdam levert het drinkwater aan liefst 1,3 miljoen mensen en is het onder meer verantwoordelijk voor het zuiveren van water, het functioneren van riolering en voor de bruggen, sluizen en gemalen, die het op afstand bedient. Daaronder valt ook de Zeesluis in IJmuiden. In het beheersgebied van het waterschap behoren onder andere de afvoer en schoonmaak van rioolwater tot het takenpakket, plus het beheer van het waterpeil.

Waternet voert daarnaast een aantal droge taken uit voor zijn opdrachtgevers. Voor Amsterdam incasseert de stichting bijvoorbeeld de drinkwater- en rioolrechtgelden, en ook de 1,4 miljoen inwoners van het beheersgebied van het waterschap moeten de waterschapsbelasting naar Waternet overmaken.

Door het uitgebreide palet aan bezigheden vervult Waternet een cruciale rol in het dagelijks leven van velen. En adel verplicht.

‘Hoe meer digitalisering, hoe meer kwetsbaarheden’ 

Waternet is er zelf verantwoordelijk voor dat de vitale diensten die het verleent, adequaat worden beschermd, inclusief de netwerk- en informatiesystemen die het daarvoor gebruikt. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) hebben vitale dienstverleners de plicht ‘technische en organisatorische maatregelen te nemen’ om de risico’s voor die systemen te beheersen. Die verplichting is er niet voor niets. Volgens het NCTV staat de vitale infrastructuur in ons land door de toenemende digitalisering steeds vaker bloot ‘aan bedreigingen, die voortkomen uit cybercrime, cyberspionage en cybersabotage.

‘In de regel kun je zeggen: hoe groter het risico als het misgaat, hoe hoger de eisen die je mag stellen’

Die bedreigingen kunnen overal vandaan komen, zei Pieter van Gelder, hoogleraar Veiligheidskunde aan de TU Delft, in 2018 in het vakblad H20. Van ontevreden werknemers die hun werkgever een hak willen zetten en de sluizen opengooien, tot cybercriminelen en vijandige staten die onze kritieke infrastructuur willen platleggen op zoek naar losgeld of erger. Een incident in deze sector kan desastreuze gevolgen hebben. Van Gelder waarschuwde: ‘...hoe meer digitalisering, hoe meer kwetsbaarheden.’

Waternet heeft volgens de Algemene Verordening Gegevensbescherming (AVG) ook de plicht om de gigantische hoeveelheid NAW-gegevens, BSN en bankrekeningnummers van zijn klanten te beschermen. ‘Een verwerker van persoonsgegevens is verplicht passende maatregelen te treffen,’ zegt Ot van Daalen, privacy-advocaat en onderzoeker aan de Universiteit van Amsterdam. ‘In de regel kun je zeggen: hoe groter het risico als het misgaat, hoe hoger de eisen die je mag stellen.’

De lat ligt dus hoog wat betreft de beveiliging. Alleen is dat sinds de enorme digitaliseringsslag die het bedrijf vanaf 2010 inzette, precies waar de schoen wringt.

‘Zo lek als een mandje’

Om kwetsbaarheden te voorkomen, zorgen beveiligers van IT-systemen er in de regel voor dat er een gelaagd afweermechanisme wordt geïmplementeerd in en om een netwerk (defense in depth). Onderdeel van zo’n gelaagde structuur is onder meer dat er maatregelen worden getroffen die voorkomen dat iemand binnendringt (first line of defense), er meerdere interne controles en triggers zijn geïnstalleerd en wordt voorkomen dat gevoelige informatie uit het netwerk kan wegvloeien, of kan worden gejat, gecorrumpeerd of gegijzeld.

Waternet kampt op elk van die beveiligingslagen met monumentale problemen

Uit stukken die FTM in handen heeft en de gesprekken die wij voerden, blijkt dat Waternet op elk van die beveiligingslagen met monumentale problemen kampt. Verschillende interne bronnen zeggen niet voor niets dat de digitale beveiliging van Waternet ‘zo lek als een mandje is’.

‘Die problemen veroorzaken stuk voor stuk risico’s die je echt niet kunt nemen. Zeker niet in een openbare nutsvoorziening,’ zegt security-specialist Floris Meester, die op verzoek van FTM de vertrouwelijke stukken analyseerde. ‘Je kunt pas een definitief oordeel vellen over de beveiliging als je het hele beveiligingslandschap overziet. Maar afgaande op deze stukken zie ik dat hier onacceptabele risico’s worden genomen. Dit gaat fout. Dat durf ik hardop te zeggen.’

Een stortvloed aan problemen 

In strijd met zijn eigen ICT-richtlijn staat Waternet toe dat werknemers binnen het interne netwerk gebruik maken van privé-devices, zoals telefoons, laptops en tablets. Die worden unmanaged devices genoemd: Waternet kan ze niet controleren. Anders dan bij de managed devices die Waternet zelf aan zijn medewerkers ter beschikking stelt, kan Waternet daarop ook geen security updates uitvoeren. Dat maakt het netwerk bij voorbaat kwetsbaar voor hackers. ‘Ik zou dit nooit toestaan,’ zegt Meester.

1. De achterdeur staat open

Om toch enige controle te krijgen op deze apparaten, nam de security-afdeling van Waternet extra maatregelen. Zo werd het in april dit jaar onmogelijk om Waternet Outlook-accounts nog langer met privé-accounts op privé-computers te synchroniseren en om klantgegevens naar de PC op de zolderkamer van de werknemer te downloaden. Mensen deden dat volgens bronnen op grote schaal, om thuis comfortabel te kunnen werken: ‘Er worden complete datasets aan klantenbestanden gedownload door grote groepen werknemers.’ En die computers thuis zijn niet altijd veilig: ‘Als Henk zijn computer niet of niet goed beveiligt of thuis een puber heeft die alles download wat los en vast zit, dan loop je het risico dat hackers via zijn computer toegang krijgen tot vertrouwelijke informatie. Waternet is de controle kwijt.’

Maar data loss is niet eens het grootste probleem. Als een werknemer zijn werkaccount op zijn gehackte privé-computer draait, is het volgens Meester een koud kunstje om via dat account het netwerk van Waternet binnen te wippen: ‘Vergelijk het met de situatie dat je een duur beveiligingssysteem in je huis installeert, maar de achterdeur open zet.’ 

Dat de privacy en security officers eenvoudige, veilige en werkbare alternatieven voorstelden, maakte niet uit

Waternets Chief Information Security Officer (CISO), Silvia Bunte-Thelen, legde destijds uit waarom het verhinderen van die synchronisatie met Outlook bittere noodzaak was: ‘Het veilig houden van onze systemen [en persoonsgegevens] lukt alleen wanneer we in control zijn op onze devices. Het gebruik van de app op onbekende devices brengt dermate risico’s met zich mee dat we het niet langer acceptabel vinden.’

Ze kreeg haar zin. Bijna. Want onder druk van de incassoafdeling en het Hoofd Water Facturatie werd de invoering van de maatregel op het laatste moment uitgesteld. De reden: de blokkade zou het gebruiksgemak van de werknemers mogelijk in de weg zitten. Dat de privacy en security officers eenvoudige, veilige en werkbare alternatieven voorstelden, maakte niet uit. De maatregel werkt gewoon niet lekker.

2. Kritieke kwetsbaarheden genegeerd

Hoewel Waternet zijn werknemers goed beveiligde iPhones ter beschikking stelt, zijn er volgens interne bronnen al langer honderden mensen die liever hun eigen smartphone gebruiken. Gratis nadeel: ook daarbij heeft Waternet geen grip op de beveiliging. Daarom scherpten de security officers – nadat dit in januari al was aangekondigd – in mei van dit jaar het update-beleid aan: de unmanaged telefoons moesten tenminste de een-na-laatst beschikbare beveiligingsupdate hebben, anders werd het gebruik van Waternet-applicaties geblokkeerd.

Klinkt eenvoudig. Toch waren er vooral veel hoger geplaatste werknemers die er moeite mee hebben. Zij voeren de updates niet uit, of hebben telefoons waar zelfs geen updates meer voor te krijgen zijn. Resultaat: het updatebeleid werd binnen een paar dagen door het management teruggedraaid, ondanks uitdrukkelijke bezwaren van de security officers.

Op vragen van FTM antwoordt Waternet dat de beveiliging van unmanaged devices inmiddels is aangescherpt: ‘De mogelijkheid om Outlook en Teams als app op unmanaged devices te installeren en te gebruiken is verdwenen. Er kan alleen gebruik gemaakt worden van de Web versies van Office-applicaties met 2-staps verificatie (2FA). Je mag Waternet gebruikersgegevens (= login) op je zakelijke of privé smartphone gebruiken mits je het toestel volledig door IT laat managen [cursivering van FTM – red.]. We dwingen hierbij een recent patchniveau af.’ Een van onze bronnen meldde echter vorige week dat Waternet nog steeds N-3 hanteert: een unmanaged device mag maximaal drie patches achterlopen; dat is niet bepaald ‘recent’.

Waternet haalt met het N-3 beleid liefst dertien extra kritieke kwetsbaarheden in huis

Dat vindt een van de security officers ook. In een e-mail van eind mei beschrijft hij en détail dat Waternet met het N-3 beleid liefst dertien extra kritieke kwetsbaarheden in huis haalt. Kwetsbaarheden die voor ieder van de ongeveer 500 unmanaged telefoons eenvoudig en op afstand kunnen worden uitgebuit. Zo krijgt een hacker toegang tot vertrouwelijke informatie, kan hij data corrumperen of verwijderen en het systeem platleggen. Aangezien Waternet circa 1800 werknemers heeft, is het percentage dat kennelijk met een draagbaar lek op zak rondloopt, absurd hoog.

Voorts heeft Waternet inmiddels veel interne documenten verhuisd naar Microsoft SharePoint. Wie via MS Office werkt, heeft automatisch toegang tot delen daarvan. Dat geldt ook voor de mensen die thuis op hun eigen computer MS Office hebben geïnstalleerd, en daarvoor hun Waternet-licentie gebruiken: dan is de tweestaps-verificatie waarop Waternet zich beroept, niet meer nodig. (Niets weerhoudt thuisgebruikers er overigens van zo’n licentie aan hun zus of buurman te geven, die dan ook kunnen inloggen op Waternets Sharepoint, meldt een bron.) Een security officer bekritiseert deze procedure in een interne e-mail, ge-cc’d aan de CISO:

E-mail van securitity officer, 24 april 2020

De bezorgde security officer vraagt het management en de CISO dringend om het updatebeleid op te schroeven. Hij onderstreept daarbij dat er voor iedereen die onder het strengere beleid tegen problemen aanloopt, werkbare alternatieven beschikbaar zijn, ‘zonder dat Waternet wordt gedwongen om in te leveren op security’. Zijn noodkreet maakt geen indruk. Het updatebeleid wordt niet aangescherpt en hij krijgt zelfs geen antwoord. Kritieke kwetsbaarheden of niet.

Meester reageert geschokt: ‘Dit mag je echt niet negeren. De kwetsbaarheden die deze officer beschrijft, zijn bloedlink. Dit is op je rug gaan liggen, met je armen en je benen omhoog, en smeken om gehackt te worden.’

3. Kwetsbare desktops en servers 

Een hacker die eenmaal binnen is, zal meteen op zoek gaan naar zwakke plekken en interessante data. Van beide heeft Waternet er legio. Uit de documenten waarover FTM beschikt, blijkt dat een groot aantal desktops op Windows 7 draaien. Dat besturingssysteem is sinds 14 januari 2020 ‘end-of-life’. Dat betekent dat er geen veiligheidsupdates en -patches meer worden aangeboden. Dat maakt de desktops zeer kwetsbaar, net als een roedel end-of-life servers die, ondanks waarschuwingen uit 2018 van de vorige Chief Information Security Officer, nog altijd zachtjes bij Waternet staan te zoemen.

End-of-life

Het gebruik van end-of-life producten is met name voor machines die verbonden zijn met het internet zeer riskant. Dit hangt samen met het feit dat gaten in de beveiliging van softwaresystemen online worden gepubliceerd en massaal worden gedeeld. In de regel geldt: hoe langer een systeem bestaat, hoe meer kwetsbaarheden er bekend zijn. Als die niet opgelost worden, wordt een systeem dus met de dag kwetsbaarder. Machines die niet meer worden ondersteund lopen daarom volgens het ministerie van Economische Zaken en Klimaat een verhoogde kans om aangevallen te worden.

Microsoft zelf zegt over het gebruik van Windows 7 na de end-of-life datum: ‘If you continue to use Windows 7 after support has ended, your PC will still work, but it will become more vulnerable to security risks and viruses because you will no longer receive software updates, including security updates, from Microsoft. Microsoft strongly recommends that you move to a new PC running Windows 10.’

Lees verder Inklappen

Waternet weet dat deze desktops kwetsbaar zijn, zo blijkt uit een intern document uit maart van dit jaar. In dat document vraagt een afdelingshoofd aan de CISO om ‘akkoord te geven op de situatie dat tot 1 oktober er [desktops] binnen Waternet aanwezig zijn waarop Windows 7 is geïnstalleerd en geen support plaatsvindt’.

En dat is opvallend, omdat dit afdelingshoofd zich volkomen bewust is van de risico’s daarvan: ‘Waternet [loopt] een groot security risico [met de Windows 7 desktops] [..] Dit risico is groot aangezien [de desktops] in verbinding staan met ons interne netwerk. De risico’s op bijvoorbeeld ransomware nemen in de tijd toe, omdat hoe langer de support ontbreekt, hoe meer kwetsbaarheden er bijkomen.’

Aanvraag voor een uitzondering op het veiligheidsbeieid, 10 maart 2020

Het verzoek wordt gehonoreerd. Volgens interne bronnen waren er bij Waternet in juni nog ‘honderden’ end-of-life (virtuele) desktops in gebruik; de laptops zijn inmiddels allemaal over naar Windows 10.

‘Ze nemen hiermee een groot risico,’ zegt Meester. 'Dit zijn bij uitstek de zwakke plekken in een organisatie die hackers zoeken. Wie handig is, kan via de bekende beveiligingsgaten de accounts overnemen van medewerkers die op de desktops inloggen. Dan kun je alles doen wat zij mogen. En als de instellingen verkeerd zijn, misschien nog wel meer.’

Het NCSC/NCTV is uitgesproken. Nadat FTM bij hen informeerde naar het beleid omtrent end-of-life computers en servers bij vitale diensten, kwam dit antwoord: ‘In de (artikelen 7 en 8 van de) Wbni is bepaald dat vitale aanbieders die als AED zijn aangewezen, verplicht zijn om adequate beveiligingsmaatregelen te nemen. [..] In de Roadmap Digitaal Veilige Hard- en Software (RVHS) van EZK wordt de productlevenscyclus benadering als uitgangspunt genoemd, wat inhoudt dat alle fasen van de productlevenscyclus van belang zijn voor het verhogen van de digitale veiligheid van hard- en software. Dat betekent onder meer dat het buiten gebruik stellen van producten waarvan de digitale veiligheid niet meer kan worden geborgd omdat ze end-of-life zijn, onderdeel zou moeten zijn van de digitale veiligheidsstrategie van organisaties en bedrijven.’

4. Overautorisatie werknemers 

Om te voorkomen dat iedereen binnen een netwerk overal bij kan, is het gebruikelijk dat er een autorisatiematrix wordt gebruikt. Daarin wordt bijgehouden wie welke bevoegdheden heeft en wordt geregeld dat werknemers alleen toegang krijgen tot gegevens en systemen die zij nodig hebben. Een goed functionerende matrix garandeert dat als een hacker iemands account overneemt, hij evenmin overal bij kan, maar alleen bij de beperkte bevoegdheden van dat account. Deze compartimentering van autorisaties is een basisbeginsel in digitale veiligheid.

Maar ook hier is het mis. Uit de stukken blijkt dat inzicht in de bevoegdheden van medewerkers in de IT-systemen nagenoeg ontbreekt. Hierdoor hebben medewerkers structureel te veel bevoegdheden en toegang tot informatie die buiten hun eigenlijke bevoegdheid ligt.

Drie datalekken die de privacy officers labelen met de bijna wervende omschrijving ‘inzicht in gevoelige gegevens voor iedereen’

Het is een van de meest hardnekkige beveiligingsproblemen van Waternet. Tijdens interne audits in 2015 en 2017, waarbij ook de auditor van de gemeente Amsterdam (ACAM) betrokken was, werd dit probleem – inclusief de bijbehorende risico’s voor ‘misbruik en privacy’ – al aangekaart en voorgelegd aan de directie. Maar ze bestaan nog steeds, bevestigt een interne bron:

‘Men is intern wel bezig met een identity system, maar dat gaat tergend langzaam. Er wordt ook nog steeds gewerkt op basis van een “open, tenzij” principe. Dat betekent in de praktijk dat alle informatie en gegevens van klanten standaard inzichtelijk zijn voor iedereen. Dit staat volledig haaks op de need-to-know en de privacy by design principes die Waternet zou moeten hanteren.’

De verklaring wordt ondersteund door een intern overzicht van datalekken. Dat laat zien dat er in de periode tussen de twee audits uit 2015 en 2017 drie datalekken zijn geconstateerd die de privacy officers labelen met de bijna wervende omschrijving ‘inzicht in gevoelige gegevens voor iedereen’. Desondanks constateerden de auditors in 2017 dat het probleem toen twee jaar lang niet was opgepakt, ‘omdat het onvoldoende prioriteit kreeg’.

En nog altijd gaat het geregeld fout. Zo vermeldt voornoemd overzicht dat er in april dit jaar een bestand met NAW-gegevens, bankrekeningnummers en geldbedragen van ongeveer 200.000 klanten intern openstond en dat ‘Iedere Waternet medewerker’ het kon inzien. En ook in juli, oktober en november 2019 en februari 2020 waren er datalekken door overautorisatie, waarbij vertrouwelijke gegevens van klanten toegankelijk waren voor medewerkers die daartoe niet bevoegd waren.

Overautorisatie speelt niet alleen bij klantgegevens, maar ook bij toegang tot de vitale diensten. Ook daar bestaat het risico dat mensen meer rechten krijgen dan de bedoeling is. ‘Het zijn dit soort omstandigheden die misbruik door een malicious insider in de hand werken,’ stelt Meester. De dreiging van binnenuit, waarvoor Van Gelder waarschuwde.

5. Slechte netwerkarchitectuur

Waternet heeft meer dan 150 servers draaien die ‘zonder restricties vrij met het internet mogen praten’. Een beveiligingsprobleem dat de toenmalige CISO, Peter Schaap, al in april 2018 onder de aandacht bracht bij het management. Schaap benadrukte dat zo een verhoogd risico ontstaat dat malware binnendringt en dat er ‘eenvoudig ingebroken kan worden op Waternet systemen en daarmee ook de drinkwater en -zuiver vestigingen’.

Er gebeurt niets. Een paar maanden later klimt hij opnieuw in de pen. Vooruitlopend op een serie interne meetings stuurt hij de teammanagers een e-mail. Daarin legt hij het probleem nogmaals uit en benadrukt dat het onderdeel is van een serie problemen die ‘de hoogste prioriteit hebben’ en die voorkomen dat Waternet het gewenste ‘basisbeveiligingsniveau’ behaalt. Voor de volledigheid merkt de CISO daarbij op dat deze problemen al eerder met de directie zijn besproken. In een volgende mail legt hij uit dat ‘er servers zijn die zonder restricties vrij met het internet mogen praten’:

Surfen op internet via de servers, april 2018 [klik voor de tekst]

Interne bronnen bevestigen – alle pogingen van Schaap ten spijt – dat servers nu nog steeds vrij met het internet kunnen babbelen. 

Meester is helder: ‘Dit is wel een indicatie dat het een zooitje is. Als je servers vrij met internet kunnen communiceren, heb je je netwerk niet goed ingericht.’ Dat Schaap in zijn bericht van april 2018 schrijft dat de medewerkers vanaf de servers kunnen surfen over het internet, maakt de situatie volgens Meester extra ernstig: ‘Als dat zo is, dan maak ik mij ernstige zorgen. Er hoeft maar een medewerker op een verkeerde link op een site of een phishing mail te klikken en dan zit er een hacker in je netwerk, die alles kan versleutelen of wegsluizen.’

Dat is een reëel risico. In april en in mei van dit jaar bijvoorbeeld voerden medewerkers van Waternet braaf hun gebruikersnaam en wachtwoord in nadat zij daartoe een verzoek hadden gekregen via een phishing mail.

Interne melding datalek (door phishing), 29 april 2020

Zo’n situatie kan volgens Meester leiden tot een incident als op de Universiteit van Maastricht. Ook daar was de inrichting van het netwerk niet op orde, met als resultaat dat de onderwijsinstelling eind vorig jaar ten prooi viel aan ransomware. Pas nadat er bijna twee ton werd overgemaakt naar een bank ergens in het zuiden van Rusland, kreeg de universiteit de regie terug over haar gegijzelde bestanden.

‘Die hack was een ramp voor studenten,’ aldus Meester, ‘maar dit is een openbare nutsvoorziening. Dan zijn de gevolgen veel groter. Zeker als de CISO zegt dat je via die servers ook bij de systemen voor de drinkwater- en zuiveringsinstallaties kunt komen. Dan heb je het over kritieke infrastructuur die gegijzeld of gemanipuleerd kan worden.’

Waternet antwoordt op vragen van FTM: ‘Er zijn processen en procedures die in gang gezet worden bij een vermoeden van een zogeheten “breach”.’ Maar de interne monitoring is niet op orde. De medewerkers die het slachtoffer werden van de bovengenoemdde phishing mail, moesten zelf naar de security officers stappen om te melden dat er iets was misgegaan. Er was nergens binnen het systeem een alert afgegaan.

Mentaliteitsprobleem

Waternet heeft niet één specifiek beveiligingsissue. De documenten laten zien dat er een bedrijfscultuur heerst waarbij waarschuwingen van security officers structureel worden genegeerd en veiligheid ondergeschikt is gemaakt aan gebruiksgemak en ingesleten gewoontes. Precies zoals de security officers schreven op de verjaardag van de Koning. 

De bronnen van FTM bevestigen dit beeld. ‘Het gaat vooral om de mindset,’ zegt een van hen. ‘Je kunt al deze problemen wel oplossen, maar zolang security niet serieus wordt genomen, komen er gewoon nieuwe voor in de plaats. Als er niet snel iets gebeurt gaat dit finaal fout.’ Een ander voegt toe: ‘Wat mij de meeste zorgen baart, is dat er een cultuur heerst waarin klantveiligheid niet centraal staat. Dan bedoel ik de veiligheid van de mensen die drinkwater krijgen, in polders wonen en de fauna. Want bij een overstroming of vergiftiging van water zijn dieren en de natuur ook de dupe.’

‘De organisatie zit kennelijk zo in elkaar dat de CISO overruled kan worden door andere managers’

Bovendien is er een angstcultuur ontstaan binnen de security-afdeling, zo verklaart een andere bron: ‘Er is geen sprake van een veilige omgeving. Kritiek wordt niet gewaardeerd en als je tegen bepaalde managers in gaat, volgen er represailles. Mensen durven zich niet uit te spreken.’

Meester ziet nog een belangrijke oorzaak voor de ontstane problematiek: ‘De organisatie zit kennelijk zo in elkaar dat de CISO overruled kan worden door andere managers. Dat is raar. Het hele idee van beveiliging is juist dat de CISO in het managementteam zit en beslissingen kan nemen over beveiliging. Dit is in mijn ogen onverantwoord bestuur.’

‘Je kunt heel Amsterdam onder water zetten’

Geen uitspraken die je graag hoort over een bedrijf dat dagelijks bijna anderhalf miljoen mensen van drinkwater voorziet, hun persoonsgegevens beheert en bruggen, sluizen en gemalen op afstand bestuurt. Want wat staat de inwoners van het beheersgebied te wachten als de systemen van het bedrijf worden platgelegd door ransomware of als hackers besluiten om bruggen en sluizen open te zetten? ‘De grap wordt wel eens gemaakt dat je dan heel Amsterdam onder water kunt zetten,’ zegt een interne bron.

Dat nog los van de privacyrisico’s voor de ruim een miljoen klanten van Waternet. Want de gevolgen van een lek van hun gegevens kunnen verstrekkend zijn. ‘Bsn-nummers behoren tot de meest gevoelige gegevens die je kunt verwerken,’ zegt Van Daalen, ‘omdat die gekoppeld zijn met een heleboel andere diensten. Als daar iets mee misgaat, kun je spreken van een extreem datalek.’

Afgaande op de interne stukken en de gesprekken die FTM voerde, kun je jezelf afvragen of Waternet zijn wettelijke verplichtingen wel serieus neemt. Iets wat je in een tijd waarin cybercriminaliteit en DDoS-aanvallen volgens de NCTV schering en inslag zijn, nooit zou moeten hoeven doen.

Borst natmaken

De documenten waarover FTM beschikt, laten ook een bepaalde moedeloosheid zien. Die is goed te verklaren als je leest dat waarschuwingen van privacy en security officers structureel genegeerd worden.

Die moedeloosheid wordt geschraagd door ervaring. In 2017 trok een medewerker van de crediteurenadministratie aan de bel vanwege een lek in het betaalsysteem. Omdat er niets met zijn waarschuwingen werd gedaan, besloot de gokverslaafde administrateur van de mogelijkheid gebruik te maken en sluisde grote sommen geld naar zijn eigen rekening door. Pas nadat de ING bij Waternet aan de bel trok, greep het bedrijf in. Resultaat: anderhalf miljoen euro van de belastingbetaler door de gootsteen.

‘Als bepaalde managers geen zin in de security-maatregelen hebben, gebeurt het gewoon niet’

Veel hoop op verandering hebben de bronnen die wij spraken niet. Zo stelt een van hen: ‘Security leeft totaal niet. Ze vinden het vooral lastig voor de business. Er wordt ook niet uitgelegd waarom adviezen niet worden gevolgd of alternatieven afgewezen. Als bepaalde managers er geen zin in hebben, gebeurt het gewoon niet. Ondertussen worden er wel risico’s genomen die ze niet overzien. Dat kan niet bij een vitaal bedrijf.’ 

En Waternet is nog niet klaar. In het Strategisch Plan Digitalisering 2020 staat dat het het bedrijf de komende jaren nog veel meer processen digitaal wil laten verlopen. De privacy en security officers kunnen hun borst natmaken.

Wederhoor Waternet

Pas een week nadat FTM Waternet een serie vragen had gestuurd, kwam er antwoord. Volgens Waternet wordt aan veel problemen ‘gewerkt’ en zijn andere ‘bijna opgelost’. Onze bronnen melden dat ook zij dat antwoord geregeld kregen – soms jaren achtereen.

1. Hoe kunnen de hierboven geschetste risico’s voor de systemen van Waternet, haar vitale onderdelen en haar klanten worden verantwoord en heeft Waternet een verklaring voor het ontstaan van de hiervoor genoemde bevindingen?

Het lastige van deze vraag is dat er verschillende aannames in zitten en hierop ook conclusies worden getrokken. Maar we zullen zo goed mogelijk in gaan op je vragen.

Over toegangsbeveiliging
De mogelijkheid om Outlook en Teams als app op unmanaged devices te installeren en te gebruiken is verdwenen. Er kan alleen gebruik gemaakt worden van de Web versies van Office-applicaties met 2- staps verificatie (2FA). Je mag Waternet gebruikersgegevens (= login) op je zakelijke of privé smartphone gebruiken mits je het toestel volledig door IT laat managen. We dwingen hierbij een recent patchniveau af.

Er wordt hard gewerkt aan het IDU (instroom, doorstroom, uitstroom) proces voor het verlenen van autorisaties aan medewerkers. Nu wordt gewerkt aan invoering van een “least privileged” systeem. Daarmee krijgt een medewerker alleen de rechten die echt nodig zijn om zijn werk om een juiste wijze uit te voeren.

Waternet bestrijdt dat (zoals je schetst bij bevinding c) door onjuiste autorisaties datalekken zijn ontstaan. Ons bekende datalekken worden gemeld bij de Autoriteit Persoonsgegevens.

Over servers
Zoals gemeld is het afgelopen jaar bijna de gehele kantoorautomatisering gemigreerd naar Windows 10, zowel voor de laptops als de (virtual)desktops op de vestigingen. Het is voor een organisatie niet vreemd om nog oudere systemen operationeel te hebben om de bedrijfsvoering door te kunnen laten gaan. Waternet heeft nog een beperkt aantal systemen die draaien op oudere besturingssoftware. Deze systemen zijn voor de bedrijfsvoering van cruciaal belang. We hebben maatregelen getroffen om de toegang tot deze systemen tot een minimum te beperken en waar mogelijk volledig te isoleren. Er wordt hard gewerkt het gebruik van deze servers te beëindigen.

Het aantal servers dat via het internet moet kunnen communiceren wordt steeds verder ingeperkt. Voor sommige servers blijft de noodzaak voor internet connectiviteit bestaan vanwege de functionaliteit van de applicaties die erop draaien, voor deze servers zijn aanvullende maatregelen getroffen. Vergeleken met enkele jaren terug is dit aantal behoorlijk teruggebracht. Systemen van procesautomatisering hebben geen van alle direct toegang tot het internet.

2. Hoe kan Waternet nu nog garanderen dat de vitale waterprocessen, sluizen, gemalen, bruggen en de gevoelige gegevens van haar klanten veilig zijn tegen aanvallen van buitenaf en/of malicious insiders? Welke (nood)systemen, vangnetten en protocollen bestaan er om de processen en klanten te beschermen?

De procesautomatisering en kantoorautomatisering zijn technisch gescheiden van elkaar. De operationele omgeving is niet direct benaderbaar vanaf het internet of het interne kantoorautomatiseringsnetwerk. Er zijn processen en procedures die in gang gezet worden bij een vermoeden van een zogeheten “breach”.

Vitale processen zijn ontworpen rekening houdend met een totale uitval van automatisering. Op basis hiervan zijn noodvoorzieningen en terugvalopties ingericht.

3. Hoe kan het dat een vitale dienstverlener als Waternet niet voldoet aan verplichtingen die op haar rusten uit hoofde van de AVG en de Wet Beveiliging Netwerk en Informatiesystemen, en wat denkt Waternet te gaan doen om deze alsnog te vervullen?

Kun je aangeven op basis van welke informatie je concludeert dat Waternet niet voldoet aan verplichtingen die op haar rusten uit hoofde van de AVG en de Wet Beveiliging Netwerk en Informatiesystemen?

Waternet vindt de bescherming van persoonsgegevens belangrijk en heeft bij de implementatie van de AVG eind 2018 een nulmeting door PriceWaterhouseCoopers (PwC) laten uitvoeren. Uit het onderzoek kwam naar voren dat aan de basisvereisten van de AVG werd voldaan en Waternet veel verrichtte om verdere optimalisaties door te voeren. De bevindingen zijn opgepakt.

4. Welke risico’s lopen de inwoners van het beheersgebied van Waternet als hackers/malicious insiders toegang krijgen tot hun persoonsgegevens en de vitale processen van Waternet en wat denkt Waternet te gaan doen aan het voorkomen/controleren van deze risico’s?

In onze beantwoording van de vragen 1 en 2 hierboven geef ik ook aan: Vitale processen zijn ontworpen rekening houdend met een totale uitval van automatisering. Op basis hiervan zijn noodvoorzieningen en terugvalopties ingericht.

5. Kan Waternet in geval van een malware, ransomware of DDOS-aanval aan haar wettelijke leveringsplicht voldoen als de drinkwaterzuiverings- en drinkwaterleveringsinstallaties worden platgelegd en gegijzeld en, zo ja, hoe denkt Waternet dat dan te faciliteren?

Zie de beantwoording van vraag 4: Vitale processen zijn ontworpen rekening houdend met een totale uitval van automatisering. Op basis hiervan zijn noodvoorzieningen en terugvalopties ingericht.

Lees verder Inklappen
Sebastiaan Brommersma
Onderzoeksjournalist, rugby-wannabee en advocaat die zich afvraagt waarom bijna alles financieel te verantwoorden is.
Gevolgd door 32 leden