Digitale weerbaarheid
Onderzoek

Cyberweerbaarheid in de openbare ruimte vaak niet op orde

Intelligent verkeerslichtensysteem
Automatiseringssystemen in de openbare ruimte, zoals intelligente verkeersregelinstallaties, vormen kwetsbare bouwstenen voor de samenleving. | Beeld: Shutterstock

Nederlandse gemeenten zijn onvoldoende voorbereid op cyberincidenten die gemeentelijke infrastructuren als bruggen, sluizen, gemalen, afvalwaterinstallaties of intelligente verkeersregelinstallaties kunnen verstoren. Dat concluderen onderzoekers van het lectoraten ‘Cyber Security and Safety’en  en ‘Changing Role of Europe’van de Haagse Hogeschool. Ze deden onderzoek onder Chief Information Security Officers (CISO’s) van Nederlandse gemeenten.

De uitkomsten van een enquêteonderzoek dat begin 2024 is uitgevoerd onder Chief Information Security Officers (CISO’s) van Nederlandse gemeenten wijzen op een aantal verklaringen:

  1. Bestuur en management van gemeenten houden zich onvoldoende bezig met de cyberweerbaarheid van gemeentelijke automatisering in openbare ruimte
  2. Informatiebeveiligingsprofessionals onderschatten vaak de verwevenheid van gemeentelijke automatisering met IT en IoT.
  3. Er is onvoldoende overzicht in de aanpak van de cyberweerbaarheid van deze systemen door de gemeentelijke organisatie heen.
De enquête is door IBD verspreid onder contactpersonen bij alle Nederlandse gemeenten. De enquête is anoniem ingevuld door 51 CISO’s, 5 ISO’s, 1 TISO, 1 manager Openbare Ruimte en 1 manager OT-security. De omvang van de deelnemende gemeenten varieert van 10k tot 650k inwoners. Voor een uitgebreid verslag van de enquêteresultaten, klik hier voor het onderzoek

Verbeterpunten

1. Vergroten van betrokkenheid van bestuur en management

Betrokkenheid van bestuur en management bij gemeenten is noodzakelijk voor urgentie in de gemeentelijke organisatie om dit vraagstuk op te pakken. Wanneer het hoger- en middenmanagement van betrokken afdelingen als bijvoorbeeld Stadsbeheer, Waterstaatzaken of Verkeer &Vervoer onvoldoende wordt aangesproken op hun verantwoordelijkheid voor de beveiliging van hun automatiseringssystemen, dan zullen zij zich ook minder verantwoordelijk voelen. Een CISO of andere functionaris die wijst op cyberrisico’s van gemeentelijke automatisering en vraagt om de benodigde investeringen om deze te mitigeren kan hiermee een roepende in de woestijn worden.

2. Meer rekening houden met de grenzen van logische isolatie

Informatiebeveiligingsprofessionals geven blijk van veel vertrouwen in segmentatiemaatregelen die zijn getroffen. Toch is de gemeentelijke automatisering vaak minder geïsoleerd dan het lijkt. Het wordt aangestuurd vanuit de gemeentelijke IT,  wordt vaak gemonitord door een externe partij en is toegankelijk voor leveranciers en dienstverleners die beheer op afstand uitvoeren. Dit betekent dat er meerdere ingangen zijn die door een hacker kunnen worden uitgebuit en het aanvalsoppervlak dus groter is. Instructie gericht op gemeentelijke automatisering voor cybersecurity-professionals op de werkvloer kan bijdragen aan een reëlere cyberrisico-inschatting bij gemeenten.

3. Meer houvast en overzicht creëren door de organisatie heen.

Gemeenten beschikken nu vaak niet of beperkt over beleid, procedures en plannen voor cyberrisicobeheersing van de automatisering van gemeentelijke infrastructuren. Hierdoor ontbreekt het vaak aan samenhang en overzicht van de cybersecuritymaatregelen die door verschillende professionals binnen diverse afdelingen worden genomen voor automatiseringssystemen met uiteenlopende kenmerken. Het gebruik van een baseline kan een belangrijke eerste stap vormen om overzicht te krijgen in de maatregelen, die reeds zijn getroffen en de maatregelen die nog ontbreken. Baselines of implementatierichtlijnen als de CSIR, of wellicht een lightversie, daarvan kunnen gemeenten hierbij houvast bieden.

Hackers kunnen gecompromitteerde gemeentelijke automatisering gebruiken als onderdeel van een ransomware-aanval op het interne netwerk van de gemeente.

De cyberweerbaarheids-opgave voor Nederlandse gemeenten

Alle 342 Nederlandse gemeenten maken gebruik van uiteenlopende toepassingen van automatisering in de openbare ruimte. Bij deze gemeentelijke automatisering kan worden gedacht aan digitale systemen voor het monitoren en aansturen van objecten zoals bruggen, sluizen, gemalen, afvalwaterinstallaties, intelligente verkeersregelinstallaties, en vele andere toepassingen. Deze automatiseringssystemen in de openbare ruimte vormen kwetsbare bouwstenen voor de samenleving.

Gemeenten zijn net als andere organisaties doelwit van cyberaanvallen, niet alleen op de IT systemen maar ook op de automatisering in de publieke ruimte. Zo slaagde een hacker er in 2020 in om de verlichting op de Erasmusbrug in Rotterdam over te nemen. Voor de dienst Stadsbeheer van de gemeente Rotterdam vormde dit incident aanleiding om de automatisering van de verlichting van de Erasmusbrug volledig uit te schakelen. In datzelfde jaar slaagde een aantal ethische hackers er in Groningen in om de verkeersdoorstroming op een kruispunt te verstoren door een aantal intelligente verkeerslichten te manipuleren.

Verstoring van dergelijke infrastructuur kan grote impact hebben op de samenleving. Verstoring van de aansturing van bruggen, sluizen, gemalen en waterzuiveringsinstallaties kan, onder andere, resulteren in overstromingen, oppervlaktewaterverontreiniging, verkeersinfarcten en bereikbaarheid voor hulpdiensten. Een bijkomend probleem is dat hackers gecompromitteerde gemeentelijke automatisering kunnen gebruiken als onderdeel van, bijvoorbeeld een ransomware-aanval op het interne netwerk van de gemeente.

De huidige staat van de cyberweerbaarheid van gemeentelijke automatisering

CISO’s van Nederlandse gemeenten hebben in het algemeen weinig vertrouwen in de wijze waarop hun eigen gemeente de cyberweerbaarheid van de automatisering in de openbare ruimte heeft ingevuld. Uit de enquête die begin 2024 is uitgezet blijkt dat het merendeel van de CISO’s de cyberweerbaarheid van de gemeentelijke automatisering in de openbare ruimte beoordeelt met een onvoldoende. Het gemiddelde rapportcijfer dat zij hiervoor hebben gegeven komt niet hoger uit dan een 5,0.

Gemeenten maken nog weinig gebruik van baselines voor het beveiligen van automatisering in de openbare ruimte.

Op dit moment voldoen gemeenten vaak nog niet aan de cyberweerbaarheidseisen die volgen uit de Baseline Informatiebeveiliging Overheid (BIO). Dit geldt voor de ICT van gemeenten, maar nog in sterkere mate voor de gemeentelijke automatisering. Daar bovenop komt dat de eisen die gelden voor de cyberweerbaarheid van de gemeentelijke automatisering nog wat strenger worden wanneer de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese Network and Information Security-richtlijn (NIS-2), van kracht wordt. Vanaf dat moment worden Nederlandse gemeenten namelijk als essentiële entiteiten aangemerkt wat inhoudt dat een wettelijke verplichting gaat gelden om passende en evenredige maatregelen te nemen voor de cyberweerbaarheid van de gemeentelijke automatisering.

Vragen

1. Voor welke typen automatisering zijn Nederlandse gemeenten verantwoordelijk? 

Elke gemeente draagt verantwoordelijkheid voor het beheer en de beveiliging van uiteenlopende typen geautomatiseerde toepassingen in de openbare ruimte. In figuur 1 is het gebruik van een aantal toepassingen van gemeentelijke automatisering in de openbare ruimte weergegeven.

Figuur 1  – Overzicht van typen gemeentelijke  automatiseringssystemen in gebruik (n=65)

Naast deze selectie werden ook andere toepassingen genoemd, zoals intelligente verkeersregelinstallaties, parkeerautomaten, ondergrondse afvalcontainers (ORAC’s), tunnels, matrixborden en gebouw-gebonden systemen zoals laadpalen en zonnepanelen.

2. Hoe zijn beleid, procedures of plannen van toepassing op de cyberweerbaarheid van gemeentelijke automatisering in de openbare ruimte?

Iets meer dan een kwart (28%) van de respondenten geeft aan dat zij beleid, procedures en plannen hebben, die gericht zijn op het beveiligen van geautomatiseerde toepassingen in de openbare ruimte, of dat ze hier momenteel aan werken (zie figuur 2). Het merendeel van de respondenten (58%) laat echter weten dat er hun gemeente op dit gebied geen beleid, procedures of plannen heeft, of dat ze hier niet van op de hoogte zijn (14%). Gemeenten die wel beschikken over beleid, plannen, of procedures zijn groter (gemiddeld 130.000 inwoners) dan de gemeenten die daar niet over te beschikken (gemiddeld 74.000 inwoners).

Figuur 2 Percentage aanwezigheid van beleid, procedures en plannen gericht op het beveiligen van geautomatiseerde toepassingen in de openbare ruimte (n=65)

Daarnaast maken gemeenten ook nog weinig gebruik van baselines voor het beveiligen van automatisering in de openbare ruimte. Slechts 15% van de respondenten geeft aan dat hun gemeente gebruik heeft gemaakt van baselines als bijvoorbeeld de CSIR of BIACS.

3. Hoe wordt aangekeken tegen de vervlechting van gemeentelijke automatisering in de openbare ruimte met andere systemen?

Een meerderheid van de respondenten (60%) geeft aan dat in hun gemeentelijke automatisering in de openbare ruimte niet is vervlochten met de interne IT, maar dat deze juist van elkaar gescheiden zijn (zie figuur 3). Hierbij verwijzen respondenten vaak naar segmentatiemaatregelen zoals fysieke scheiding van netwerken, compartimentering met VLAN’s, 4G routers met simkaart, of dat systemen zijn ondergebracht bij een leverancier. Verder geeft 23% van de respondenten te kennen niet goed te weten in hoeverre de gemeentelijke automatisering in de openbare ruimte is vervlochten met de interne IT.

Figuur 3 Inschatting van de mate van vervlechting van gemeentelijke automatisering en IT-systemen

Segmentatiemaatregelen zijn uiteraard belangrijk, maar betekenen niet dat de gemeentelijke automatisering in de openbare ruimte volledig kan worden geïsoleerd. Zoals de CISO van een grote gemeente opmerkte: “De IT kan wel gescheiden draaien van de OT, maar de OT kan niet gescheiden draaien van de IT.” Immers, aansturing en monitoring van de gemeentelijke automatisering in de openbare ruimte moeten vanuit de interne IT worden gerealiseerd. Gemeenten lijken de risico’s die volgen uit de vervlechting van hun automatisering in de openbare ruimte en hun interne IT-systemen te onderschatten.

4. Hoe zijn bestuur en management betrokken bij de cyberweerbaarheid van gemeentelijke automatisering in de openbare ruimte?

Een ruime meerderheid van de respondenten geeft aan dat er bij hun gemeente weinig tot geen betrokkenheid is vanuit het bestuur (75%) of vanuit het management (66%) bij het inrichten van de cyberweerbaarheid van de gemeentelijke automatisering

Figuur 4 Mate van betrokkenheid van bestuurders of managers van de eigen gemeente bij het inrichten van de cyberweerbaarheid van de gemeentelijke automatisering

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren