De systemen waarmee onder andere riolering, sluizen en verkeerslichten worden bestuurd, zijn kwetsbaar voor hackers. De systemen zijn gedateerd en worden onvoldoende geüpdate. Dat blijkt uit een onderzoek van vakbladen Binnenlands Bestuur en AG Connect.
De gevolgen van een hack kunnen bij zo’n systeem ernstig zijn: rioolgemalen die buiten werking treden, bruggen die op hol slaan of verkeerslichtsystemen die door kwaadwillenden worden bestuurd. Ze worden bediend met SCADA-systemen (kort voor Supervisory Control and Data Acquisition Software) en zijn in sommige gevallen al twintig of dertig jaar geleden gebouwd.
En daar zit deels het probleem. Veel systemen zijn nog voor de komst van internet gebouwd. En als er een kwetsbaarheid wordt ontdekt, duurt het lang voordat het gerepareerd kan worden, omdat de zogeheten ‘patches’, pleisters, niet voorhanden zijn. Binnenlands Bestuur en AG Connect spraken met verschillende ICT-hoofden die werken met SCADA-systemen bij de overheid: het Rijk, gemeenten, provincies en waterschappen. Ze herkennen het probleem.
Voor het onderhoud van de systemen, wijzen de ICT-hoofden naar de leveranciers. Leon Post, hoofd beveiliging bij de gemeente Hardenberg zegt in het artikel: “Het is algemeen bekend dat de bedrijven die deze systemen aanbieden een achterstand hebben als het gaat om informatieveiligheid. Dat is simpelweg nooit hun core business geweest. Ook wij hebben daarmee te maken. Gebouwen en de beheerssystemen gaan vaak langer mee dan software die hierbij geleverd wordt.”
Het probleem is al langer bekend. Adviesbureau Berenschot schreef er in 2019 een paper over. In de loop der tijd zijn de SCADA- systemen in fabrieken gekoppeld aan kantoorautomatisering met bijbehorende internetverbinding, waardoor ze te vinden zijn en gehackt kunnen worden. En dat wordt in de toekomst alleen maar meer, waarschuwen de auteurs: “Cv-installaties, laadpalen en dergelijke zijn straks overal verbonden met backoffices die negen van de tien keer op internet staan en dus gehackt kunnen worden. De afhankelijkheid van deze systemen wordt steeds groter en daarmee ook de mogelijkheid voor hackers om er financiële voordelen mee te behalen door middel van ransomware.”
Ook de Universiteit Twente deed in 2019 onderzoek naar de kwetsbaarheid van vitale systemen voor hackers. Hoogleraar Aiko Pras waarschuwt voor het koppelen van deze systemen aan het internet. Hij vindt dat een politieke keuze: “ Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen.”
Afgelopen juni waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid voor ontwrichting van de maatschappij door cybercriminelen die vitale processen verstoren. In de Zembla-uitzending 'Gehackt en gegijzeld' is te zien dat een deel van de vitale sector in Nederland de e-mailbeveiliging niet op orde heeft en daardoor kwetsbaarder is voor cybercriminaliteit.
Bekijk de uitzending 'Gehackt en gegijzeld'
Schrijf je in voor de Zembla-nieuwsbrief en blijf op de hoogte van onze onthullende journalistiek.