Waterschappen worstelen met beveiligingsupdates sluizen

Onder deze titel verscheen in december 2017 onderstaand online-artikel van Sjoerd Hartholt in het blad  ‘Binnenlands Bestuur’. Een artikel dat ook gepubliceerd is op NU.nl.
In het artikel wordt gesteld, dat waterschappen de beveiliging van sluizen en gemalen onvoldoende op orde hebben. De programmable logic controllers (plc) die onder meer de besturing van de sluisdeuren regelen gaan 25 tot 30 jaar mee, maar ze worden doorgaans hooguit vijf jaar ondersteund vanuit de fabrikant met beveiligingsupdates, stelt een deskundige binnen de waterschappen.

Ingrijpende gevolgen
Programmable logic controllers regelen onder meer de besturing van sluisdeuren. Worden deze PLC’s gehackt, dan zijn de gevolgen ingrijpend. ‘Vooral wanneer een aanval meerdere systemen raakt, kun je als hacker veel schade veroorzaken’, stelt Steven Djohan, partner bij ict-onderzoeksbureau Revnext. ‘Je kunt dan zelfs het monitoren van sluizen beïnvloeden, zodat niemand kan waarnemen dat een sluisdeur onbedoeld openstaat.’ De beveiliging van PLC’s is dus cruciaal. Maar een betrouwbare bron binnen de waterschappen, nauw bij cybersecurity betrokken, meldt dat PLC’s in de regel hooguit vijf jaar worden ondersteund met beveiligingsupdates. Hun looptijd, als ondersteunende besturing bij het openen en sluiten van een sluisdeur, bedraagt wel 25 jaar. Zonder updates wordt de beveiliging snel kwetsbaar.

Te weinig focus op digitale veiligheid
Dat dit probleem bij meerdere waterschappen speelt, vindt Djohan van Revnext niet zo vreemd. ‘Begin deze eeuw zijn veel waterschappen gaan automatiseren en werden sluiswachters vervangen door systemen, vertelt Djohan. ‘Met die automatisering op zich is niets mis, het bespaart uiteindelijk een hoop onnodig werk. Maar de focus heeft in deze periode wellicht te weinig bij digitale veiligheid gelegen. De problemen met de veiligheid van sluizen zijn al langer bekend, zoals in Veere, waar in 2010 zomaar een gemaal gehackt kon worden.’ Het grootste probleem voor de waterschappen is volgens Djohan dat vaak niet duidelijk is wie waarvoor verantwoordelijk is. ‘Leveranciers installeren een sluis en zorgen voor de digitale beveiliging. Maar na een aantal jaren stoppen de updates. De PLC’s dan blijven voorzien van updates is erg kostbaar.’

Te klein budget
Djohan ziet bij aanbestedingen op Tenderned dat de budgetten van waterschappen vaak te klein zijn om echt goede tests uit te voeren. Ook ontbreekt het aan bewustzijn. ‘Bij nieuwe aanbestedingen moeten ze digitale veiligheid serieuzer nemen. Nu lijkt het erop dat sommige waterschappen bij dit soort situaties voorlopig de kop in het zand steken. Zorg ervoor dat het digitale onderhoud op gelijke voet blijft met de fysieke beveiliging van de infrastructuur, want op dat vlak worden wel flinke investeringen gedaan. Vergeet niet dat hackers digitaal minstens zoveel schade kunnen aanrichten.’ Hoogleraar cybersecurity Jan van den Berg van de Universiteit Leiden en TU Delft is niet verbaasd over de beveiligingsproblemen. ‘Waterschappen worden geconfronteerd met machtige leveranciers, de afhankelijkheid van deze partijen neemt toe.’ Bij het plaatsen van PLC’s – vaak al jaren geleden – is volgens hem onvoldoende stilgestaan bij de mogelijke risico’s. ‘Het is lastig om als klant een tegenkracht te vormen tegenover de leverancier. Wat kan helpen is de krachten bundelen en als één partij op te treden.’

Steeds complexere software
Daarnaast wordt de software die de apparatuur aanstuurt steeds complexer, met steeds meer softwarelagen.´Zeker bij ´industrial cybersecurity´, waar PLC’s onder vallen, wordt dit steeds gebruikelijker.´ Een PLC wordt door software van een SCADA-systeem gemonitord, waaraan weer diverse andere monitors via een netwerk verbonden zijn. Een ´servicelaag´ daarboven bevat applicaties die het systeem toegankelijk maken voor gebruikers.´Er komt daarbij ook steeds meer in de cloud terecht´, constateert Van den Berg.´Steeds meer partijen gaan over de besturing van één apparaat. Maar wanneer uiteindelijk een verantwoordelijke moet worden aangewezen als er een incident optreedt, wijst iedereen naar elkaar.’

 

Cyber Security

In het artikel wordt ingegaan op de security aspecten van de toepassing van PLC’s in sluizen, gemalen en andere objecten. Er kan niet genoeg aandacht worden besteed aan een onderwerp als cyber security, aangezien wij allen regelmatig verhalen horen of berichten lezen over de veiligheid van kritische infrastructuur. Binnen de bedrijfsvoering van TMX vormt cyber security een belangrijk onderdeel. Inhoudelijk wil TMX ingaan op een aantal aspecten uit dit artikel.
Klik hier voor de pdf