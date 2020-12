Het kantoor van Waternet, aan de Amstel. Beeld Maarten Boswijk

Dat blijkt uit brieven van minister Cora van Nieuwenhuizen (Infrastructuur en Waterstaat) en de Amsterdamse wethouder Sharon Dijksma (Water- en Luchtkwaliteit). De cybersecurity van Waternet, dat zich bezighoudt met drinkwatervoorziening, riolering en waterbeheer in en rond Amsterdam, is nog altijd ‘onvoldoende geborgd’. De organisatie maakt ‘onvoldoende voortgang’ met het oplossen van de problemen, terwijl het in totaal anderhalf miljoen mensen bedient en veel klantgegevens bezit.

De minister en wethouder baseren zich op twee verschillende onderzoeken. De rode draad daarin: er is veel achterstallig onderhoud, basaal onderhoud wordt niet structureel gedaan en de organisatie kent ‘onvoldoende discipline’ in het uitvoeren van beheersmaatregelen. Ook zijn taken, verantwoordelijkheden en bevoegdheden niet duidelijk vastgelegd en worden die onvoldoende gemonitord. Naar schatting is 50 procent van de circa 400 softwaretoepassingen gedateerd.

Waternet scoort, op een schaal van 1 tot 5, volgens een extern onderzoeksbureau gemiddeld een 1,54 op de basisnormen waaraan overheidsinstanties moeten voldoen. Het bedrijf behoort tot de vitale infrastructuur en zou eigenlijk minimaal gemiddeld een 3 moeten scoren.

Verouderde systemen

Het stichtingsbestuur van Waternet concludeert dat de situatie op dit moment ‘kritisch’ is. Het bedrijf moet daarom ‘flinke verbeterstappen’ zetten op het gebied van cybersecurity en informatiebeveiliging, zowel op korte als op langere termijn. Het management moet integraal aansturen op informatieveiligheid. Herstructurering van de IT-organisatie is daarvoor noodzakelijk, aldus Dijksma.

Onderzoeksplatform Follow The Money (FTM) onthulde in september dat de cybersecurity van Waternet ‘zo lek is als een mandje’. Er waren datalekken, computers en systemen zijn verouderd, de toegang tot het netwerk slecht beveiligd en ‘de systeemarchitectuur was niet op orde’, zo bleek uit gesprekken met verschillende interne bronnen en documenten.

Sommige computers waren zo oud dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid bepaalde dat deze niet meer gebruikt mochten worden. Ook draaiden veel desktops nog op besturingsprogramma Windows 7, waarvoor geen veiligheidsupdates en -patches meer worden aangeboden. Dat maakte de desktops enorm kwetsbaar voor bijvoorbeeld hackers. Ook werden beveiligingsmaatregelen eerder teruggedraaid of uitgesteld om het gebruiksgemak van medewerkers niet in de weg te zitten.

‘Heel Amsterdam onder water’

Binnen het bedrijf leefden grote zorgen over de situatie, zo bleek uit het verhaal van FTM. Wat kan er gebeuren als hackers bruggen en sluizen openzetten of als systemen platgelegd worden? ‘De grap wordt wel eens gemaakt dat je dan heel Amsterdam onder water kunt zetten,’ aldus een interne bron.

Hoe groot is momenteel de kans dat Waternet succesvol kan worden gehackt? Om onrechtmatig toegang te verkrijgen tot primaire processen van het bedrijf is ‘zeer specifieke kennis’ nodig van de verschillende systemen, zo oordeelt extern onderzoeksbureau Accenture. Meer details worden nog verder onderzocht.

Wel is duidelijk dat het toegangsbeheer van vertrouwelijke data, waaronder klantgegevens, moet worden verbeterd. Er worden geen zogeheten ‘logs’ bijgehouden van de downloadgeschiedenis, waardoor niet duidelijk is welke werknemer bepaalde gegevens heeft gedownload.

Nieuwe IT-directeur

De oorzaak van de problemen in de ontwikkeling en aansturing van digitalisering en cybersecurity ligt, zo concludeert het bestuur uit de verschillende onderzoeken, bij het gebrek aan een integrale IT-visie vanuit het directieteam. Daarom wordt binnen de directie van Waternet zo snel mogelijk een Chief Information Officer (CIO), ofwel IT-directeur, aangesteld.

Zijn of haar eerste taak: Waternet hervormen tot een toekomstbestendige organisatie, die voldoet aan alle normen en voorschriften op het gebied van IT. De CIO zal in de toekomst direct rapporteren aan het stichtingsbestuur. Ook wordt er in samenwerking met de Chief Information Security Officer (CISO) van de gemeente Amsterdam momenteel een overzicht gemaakt van alle problemen rond de ict-systemen en processen, inclusief een planning om de daaruit voortkomende risico’s op te lossen.