Waternet verzorgt in Groot-Amsterdam de gehele drinkwater-kringloop en is daar verantwoordelijk voor het functioneren van de riolering, bruggen, sluizen en gemalen. Voor de 1,4 miljoen inwoners van het waterschap Amstel, Gooi en Vecht is het onder meer verantwoordelijk voor de afvoer en de schoonmaak van rioolwater; ook beheert Waternet het waterpeil.

Stuk voor stuk hoogst verantwoordelijke taken. Niettemin kampt het Amsterdamse nutsbedrijf al jaren met serieuze problemen in de beveiliging van zijn digitale omgeving. Op basis van een serie vertrouwelijke documenten en verklaringen van interne bronnen, onthulde FTM in september dat de beveiliging volgens ingewijden ‘zo lek is als een mandje’, en dat als er niets gebeurt, het een keer ‘finaal fout’ zal gaan. De gevolgen zijn dan niet te overzien.

Directeur Roelof Kruize schreef een paar dagen na de publicatie van Follow the Money een geruststellende brief aan het bestuur van de stichting Waternet. Daarin meldde hij dat het nutsbedrijf door diverse externe partijen was onderzocht, en dat er weinig aan de hand was. Maar één rapport verzweeg hij.

Vernietigend rapport

Waternet liet – naar nu blijkt – in januari 2020 de veiligheid van het interne digitale netwerk onderzoeken door een onafhankelijk onderzoeksbureau. Het onderzoek duurde drie dagen, en werd uitgevoerd vanaf de burelen van het nutsbedrijf. Directeur Roelof Kruize verzweeg het rapport daarover in zijn brief over de stand van zaken van de digitale systemen; en dijkgraaf Gerhard van den Top weigerde de resultaten ervan met het waterschap te delen. Inmiddels is duidelijk waarom: het rapport is ronduit vernietigend.

Een team van onderzoekers onderzocht of het lukte om de computersystemen van het nutsbedrijf binnen te dringen. Dat lukte – en hoe

Het onderzoek werd uitgevoerd door onderzoeks- en adviesbureau Hoffmann en betrof een zogeheten penetratietest (pentest). Een team van onderzoekers onderzocht of het lukte om de computersystemen van het nutsbedrijf binnen te dringen. Dat lukte – en hoe. ‘In no-time waren ze binnen,’ verklaart een interne bron. Ook de rest van het systeem bleek zeer kwetsbaar te zijn.

FTM ontving het vertrouwelijke rapport nadat we in september publiceerden over de slechte digitale beveiliging van het nutsbedrijf. Uit dat artikel bleek dat de afdeling privacy en security van Waternet al jaren serieuze problemen aankaart bij hun superieuren, maar geen gehoor krijgt. Soms werden maatregelen die ze toch wisten door te voeren, later alsnog ongedaan gemaakt, dit omwille van het ‘gebruiksgemak’ van de medewerkers. Security-expert Floris Meester, die voor FTM de interne documenten bestudeerde die ten grondslag lagen aan ons eerste artikel, nam ook het rapport van Hoffmann door. Zijn conclusie: ‘Het is nog erger dan ik dacht.’

Strenge eisen

Aan de beveiliging van zogeheten ‘vitale’ bedrijven worden strenge eisen gesteld. Zulke bedrijven – denk aan de voorzieningen voor elektriciteit, drinkwater, waterbeheer, betalingssystemen, internet en mobiele telefonie – zijn een essentieel onderdeel van de infrastructuur van het land: een hacker die daar binnendringt, kan (delen van) het land uitschakelen en het dagelijks leven ernstig overhoop halen.

Waternet is onderdeel van deze vitale infrastructuur. De processen van Waternet en de gegevens van zijn klanten moeten terdege worden beschermd tegen dreigingen van binnenuit en van buitenaf. Bij een solide bescherming van digitale systemen moet sprake zijn van een gelaagde structuur, waarbij op elk niveau beschermingsmaatregelen worden getroffen; de verbindingen tussen die lagen moeten goed worden gefilterd en gemonitord. Het rapport van Hoffmann laat zien dat zowat elke beschermingslaag bij Waternet lek is, en dat van filtering amper sprake is. Het nutsbedrijf rolt in feite de rode loper uit voor indringers die, eenmaal binnen, enorme maatschappelijke schade kunnen aanrichten.

‘Om te huilen’ 

Uit het rapport blijkt bijvoorbeeld dat Waternet gebruik maakt van zwakke communicatieprotocollen tussen servers. Hierdoor kan een potentiële indringer gehashte (versleutelde) wachtwoorden en gebruikersnamen ‘afluisteren’ en zo toegang verkrijgen tot de digitale werkplek van Waternet-medewerkers. Waternet maakt daarnaast, zoals FTM eerder meldde, gebruik van zwaar verouderde besturingssystemen en hardware. Volgens de Nationaal Coördinator Terrorisme en Veiligheid (NCTV) zouden dergelijke besturingssystemen buiten gebruik moeten worden gesteld.

Uit het rapport blijkt dat een deel van de problemen voortkomt uit een gebrekkig beleid voor de toegang tot het netwerk. De onderzoekers konden bijvoorbeeld de persoonlijke mappen van medewerkers kraken, en vonden daarin allerlei wachtwoorden die vervolgens weer gebruikt konden worden om dieper in het netwerk door te dringen. In andere gevallen waren wachtwoorden zo zwak gekozen dat die met een simpele tool pijlsnel konden worden gekraakt – in een geval zelfs in 11 seconden. En omdat een wachtwoord door het ontbreken van multi-factor authenticatie volstaat om in te loggen, konden de onderzoekers vervolgens vrij ronddwalen op de systemen van Waternet,  ‘als [waren zij] normale medewerkers. Hierdoor was het mogelijk onder de radar te blijven en gevoelige informatie te verzamelen voor verdere exploitatie,’ schrijven de onderzoekers.

Het lukte de onderzoekers tevens om een service- en een admin-account over te nemen. Dat zijn bij uitstek het type accounts die hackers in staat stellen om steeds verder in een netwerk te infiltreren. De onderzoekers slaagden er zelfs in om zulke gevoelige gegevens – service- en admin accounts met de bijbehorende wachtwoorden – uit het werkgeheugen van computers te peuteren en die te gebruiken. Meester is helder: ‘Dit is echt om te huilen.’

‘Als hacker heb je vrij spel’  

Als een hacker eenmaal binnen is, zo blijkt uit het rapport, kan hij flinke schade aanrichten. Het lukte de onderzoekers bijvoorbeeld om vanaf de ingenomen werkplekken kwaadaardige scripts uit te voeren via de command prompt. ‘Dan kun je in principe doen wat je wilt,’ licht Meester toe: ‘Je kunt dan bijvoorbeeld commando’s geven om data te kopiëren of te verwijderen, maar ook malware of ransomware installeren.’

Daar komt bij dat er maar in beperkte mate netwerkfiltering wordt toegepast. Hierdoor is het ‘aanvalsoppervlakte’ voor een hacker groot, concluderen de onderzoekers. Meester schudt zijn hoofd. Helemaal als hij leest dat Hoffmann niet minder dan 13.691 poorten aantrof die open stonden: ‘Als hacker heb je vrij spel.’

Het team van Hoffmann stelt uiteindelijk liefst elf grote kwetsbaarheden in de beveiliging vast. Vijf daarvan zijn ‘kritiek’

Een interne bron beaamt de conclusies van Hoffmann: ‘Het was bekend dat als het onderzoekers of indringers zou lukken op het netwerk te komen, ze overal bij konden. De security officers hebben drie jaar geprobeerd de zaken op orde te krijgen. Meldingen hierover zijn overal vastgelegd. Men kende het risico, maar deed niets.’

Het team van Hoffmann stelt uiteindelijk liefst elf grote kwetsbaarheden in de beveiliging vast. Vijf daarvan krijgen het predikaat ‘kritiek’, vijf het label ‘hoog’, en eentje ‘gemiddeld’. FTM heeft  – in overleg met Meester – besloten de lijst met risico’s die Hoffmann identificeert niet te publiceren, om misbruik te vermijden. ‘Het is een beroerd resultaat,’ zegt Meester. ‘Alles wat je als kritiek of hoog risico kunt aanduiden, is bijzonder zorgwekkend. En dan was dit nog maar een beperkt onderzoek.’ Hij vervolgt: ‘Er zijn zoveel problemen in het netwerk, dat het mij niets zou verbazen als een hacker kan doorspringen naar de vitale processen. Ik vrees dat er echt veel schade kan worden aangericht. Een bedrijf als Waternet kan dit niet maken’.

Waternet verbergt het rapport

Kennelijk weet het nutsbedrijf dat zelf ook, want de top van Waternet doet er alles aan om de uitkomsten ervan binnenskamers te houden. Twee dagen na de onthullingen van FTM op 19 september 2020 stuurt directeur Roelof Kruize een brief aan het bestuur van Waternet: de Amsterdamse wethouder Sharon Dijksma (PvdA) en de dijkgraaf van het Waterschap Amstel, Gooi en Vecht, Gerhard van den Top. Kruize wil het bestuur gerust stellen: de informatie van Follow the Money zou achterhaald zijn.

Kruize schrijft het bestuur dan ook dat het artikel van FTM ‘grotendeels gebaseerd [is] op gedateerde en onjuiste informatie’, meldt dat hij zich ‘niet herkent’ in het beeld ‘dat er onvoldoende oog is voor de digitale veiligheid’ en stelt dat Waternet ‘belangrijke stappen heeft gezet’ in het verbeteren daarvan. Waternet, zo benadrukt Kruize, ‘is op de goede weg’.

Als bewijs noemt Kruize een viertal controles door partijen als PwC, de Vereniging van Waterbedrijven (Vewin) en de Rekenkamercommissie van het waterschap; deze audits en onderzoeken beslaan de periode december 2018 tot en met april 2020. Allemaal zouden zij het beeld onderschrijven dat Kruize schetst. Het rapport van Hoffmann noemt hij echter niet.

Opmerkelijk, stelt een interne bron: ‘Het hele privacy- en security-team was van dat rapport op de hoogte. Ook de Chief Information Security Officer, Sylvia Bunte-Thelen, en zij rapporteert rechtstreeks aan de directie.’ Kruize lijkt het negatieve rapport dus bewust te verzwijgen in de brief aan zijn werkgevers. 

Dan is er nog de dijkgraaf, Gerhard van den Top. Hij leidt het waterschap, en heeft in die hoedanigheid zitting in het bestuur van Waternet. Van den Top, die op 28 oktober j.l. is herbenoemd als dijkgraaf, is daarnaast door minister Cora van Nieuwenhuizen-Wijbenga (VVD) van Infrastructuur en Waterstaat benoemd tot  voorzitter van Expertise Netwerk Waterveiligheid, een orgaan dat overheidsinstanties informeert en adviseert.

‘Het rapport van Hoffmann zou te technisch zijn, waardoor mijn achterban het toch niet zou snappen’

Matthijs Pontier, een van de gekozen algemeen bestuursleden van het waterschap Amstel, Gooi en Vecht, schrok van het artikel in FTM. Hij stelde het bestuur van het waterschap kritische vragen en vroeg om een kopie van het rapport over Hoffmanns pentest; hij had intussen via-via over het bestaan ervan gehoord. Daags erna werd hem te verstaan gegeven dat hij het rapport niet zou krijgen. Pontier: ‘Het zou te technisch zijn, waardoor mijn achterban het toch niet zou snappen. Ik kreeg het advies bij de pentest vandaan te blijven.’

Hij vervolgt: ‘Mij werd ook verteld dat ik als algemeen bestuurslid niet over dit onderwerp ga en dat mijn vragen niet bij mijn rol horen.’ Toen Pontier zelf privacy- en security-officers van Waternet benaderde om zijn vragen beantwoord te krijgen, werd hem vanuit het waterschap dringend verzocht ‘daarmee te stoppen’. 

De dijkgraaf begon het gesprek met Pontier met de vraag of hij degene was die bij FTM aan de bel had getrokken. ‘Toen ik zei dat ik het niet was, stelde hij voor dat tijdens de eerstvolgende vergadering expliciet te benoemen, omdat daarover volgens hem onrust was ontstaan in de organisatie.’ Pontier doet dat tijdens de vergadering van 15 oktober: ‘Ik heb daarbij gezegd dat het tekenend is voor de organisatie van Waternet dat juist hierover onrust ontstaat. De onrust zou moeten gaan over de belabberde staat van de digitale beveiliging, niet over wie er heeft gelekt. Dat is precies de verkeerde reactie.’

Tijdens diezelfde (openbare) vergadering merkte de dijkgraaf op dat de problemen ‘de volle aandacht hebben’ en dat de vragen van Pontier ‘in een vertrouwelijke sessie’ zullen worden beantwoord.

‘Ze proberen hun hachje te redden’ 

Waarom de leiding het rapport liever geheim houdt, laat zich raden. ‘Ze proberen hun eigen hachje te redden,’ zegt een bron. Het rapport van Hoffmann lag na de onthullingen van FTM over de stand van de beveiliging en de steken die het management op dit gebied heeft laten vallen, zeer gevoelig in de organisatie, meldt een bron. Immers: ‘Het rapport van Hoffmann heeft indertijd niet geleid tot meer mandaat of meer bereidheid om maatregelen door te voeren vanuit het management of het bestuur’. Er werd in eerste instantie niets mee gedaan. De bron vervolgt: ‘Er zijn dingen aangepakt, maar dat was naar ik begreep omdat een aantal security officers zelf het heft in handen nam.’

Een andere bron bevestigt dat: ‘Er zijn een aantal problemen uit het rapport verbeterd, maar daar is nooit opdracht voor gegeven door de CISO of de directie. De officers hebben dit op eigen initiatief gedaan, soms zelfs tegen de wil van het management in.’

Geschokte reacties

De reacties van Kruize en Van den Top lijken illustratief voor de houding van Waternet ten opzichte van de veiligheidsproblematiek. Problemen worden niet opgelost, maar ontkend, verzwegen, afgezwakt of doorgeschoven. De brief van Kruize is exemplarisch, zegt een interne bron: ‘In feite beaamt hij de problemen. Hij gaat er volledig aan voorbij dat er intern vaak aan de bel is getrokken, maar dat dit werd genegeerd. En sinds corona is het er, anders dan Kruize stelt, bovendien niet beter op geworden: toen is besloten Microsoft Outlook en Teams toe te staan op privé-computers thuis, omdat dit ‘handiger’ was voor de thuiswerkers. Corona verergerden de security-problemen juist.’

‘Ze steken nog steeds hun hoofd in het zand en doen alsof er niets aan de hand is’

Een andere bron: ‘Dat de leiding zo’n brief schrijft, baart mij enorme zorgen, omdat ze nog steeds hun hoofd in het zand steken en doen alsof er niets aan de hand is. Dat kan niet bij een vitaal bedrijf.’

Ook Meester heeft zijn vraagtekens: ‘De onderzoeken waarnaar Kruize verwijst, zijn voornamelijk audits op basis van de AVG, de privacywetgeving. Dat zegt niets over de security. Op zijn best is er misschien sprake van een compliance audit. Die voeren ze uit omdat het moet. Maar compliance is geen security. Als zou blijken dat het bestuur niets met de pentest heeft gedaan, is dat echt schandalig.’

Pontier: ‘Het is schokkend dat de onderzoekers ongeautoriseerd toegang hebben gekregen tot systemen van Waternet. Hieruit blijkt in ieder geval dat veel van de problemen die FTM in september beschreef, en die Kruize nadien afdeed als “verouderde” of “onjuiste” informatie, in ieder geval in januari nog speelden. Het is natuurlijk stuitend dat dit rapport niet genoemd wordt door mensen die hier wel vanaf moeten hebben geweten.’

Uit de begroting van het waterschap voor 2021 valt ondertussen af te leiden dat de bescherming van vitale onderdelen van Waternet niet op het vereiste niveau is: daarin wordt gesproken over ‘verouderde automatisering’. Er wordt een fors bedrag uitgetrokken (in totaal 15 miljoen) teneinde ‘de verouderde procesautomatisering (PA) van diverse rioolwaterzuiveringsinstallaties [te] vervangen, om te voldoen aan de Baseline Informatiebeveiliging Waterschap’. De Baseline is een standaardisatiewerk waarin de overheid het basisniveau vastlegt voor de beveiliging van informatie binnen publieke instellingen.

Minister ‘schrikt zich te pletter’

Tweede Kamerlid Corrie van Brenk (50Plus) stelde na de eerdere onthullingen van FTM Kamervragen over de staat van de beveiliging van Waternet aan minister Cora van Nieuwenhuizen-Wijbenga (VVD) van Infrastructuur en Waterstaat. De reactie van de minister was veelzeggend: ‘Je schrikt je te pletter als je het leest.’ Om verder te gaan: ‘Dit moet gewoon op orde zijn, of het nu gaat om de privacyaspecten uit de AVG, of om de cybersecurity. Dat moet boven iedere twijfel verheven zijn.’

De minister deelde mee dat zij de uitkomst van een extern onderzoek naar de digitale beveiliging van Waternet wilde afwachten. Dit onderzoek was daags daarvoor aangekondigd in de eerder genoemde brief van algemeen directeur Kruize. Verwacht wordt dat het onderzoek tijdens het algemeen overleg Water op 11 november aanstaande wordt besproken. Over het eerdere, externe onderzoek van Hoffmann is door de minister vooralsnog niet gesproken; het is zeer de vraag of zij weet heeft van dat onderzoek. Waternet wilde vragen van FTM daarover niet beantwoorden.

FTM heeft voor dit artikel gesproken met diverse interne bronnen. Hun namen zijn bekend bij de redactie.