De publieke sector verandert door de opmars van digitale technologieën. De meer dan tweehonderd jaar oude Algemene Rekenkamer speelt daar op in met nieuwe onderzoeksdoelen en -methoden. Daar hoort ook hacken bij.
Beeld: Pete Linforth / Pixabay
Op het iBestuur Congres 2019 namen onderzoeker Démi van ’t Wout en directeur Mark Smolenaars het publiek mee in het onderzoek naar informatiebeveiliging bij ministeries en de cybersecurity naar een vitale sector in de samenleving: de waterwerken. Er was ook een vooraankondiging: het volgende target wordt de grensbewaking van de Marechaussee op Schiphol.
Geeft de rijksoverheid ons belastinggeld wel zinnig, zuinig en zorgvuldig uit? Dat is de vraag die ten grondslag ligt aan elk onderzoek van de Algemene Rekenkamer, zo vertelt directeur Mark Smolenaars bij de sessie ‘Inzicht in informatiebeveiliging overheid’. “Onze strategie is inzicht als basis voor vertrouwen.” De Rekenkamer heeft, volgens Smolenaars, unieke bevoegdheden om diep in organisaties te kijken of publieke gelden wel doelmatig en rechtmatig worden besteed. Dat doen ze breed: van het geld dat naar Joint Strike Fighter-programma gaat, tot de besteding van subsidies in windparken. Twee recente onderzoeken van de Rekenkamer richten zich specifiek op de kwaliteit van informatiebeveiliging. De eerste is een algemene toets of departementen voldoen aan bepaalde normen. De tweede is een specifiek onderzoek naar de beveiliging van waterwerken.
Departementen krijgen onvoldoende
Hoe is het gesteld met de kwaliteit van informatiebeveiliging bij de rijksoverheid? Onderzoeker Démi van ‘t Wout van de Rekenkamer houdt niet van cliffhangers: “Het brede beeld is dat de informatiebeveiliging niet op orde is. Slechts drie departementen kregen een voldoende. We toetsen die kwaliteit aan de Baseline Informatiebeveiliging Rijksdienst (BIR), legt de onderzoeker uit. Dat is dus de norm die de Rijksoverheid zichzelf heeft opgelegd.”
Van ‘t Wout memoreert nog dat de Rekenkamer in 2017 ernstige tekortkomingen vaststelde bij de Rijksdienst Caribisch Nederland (RCN). “Daar is direct actie op genomen. We kijken ook later wat men met de aanbevelingen doet.” In het verantwoordingsonderzoek over 2017 had de Rekenkamer vastgesteld dat zwakke plekken, die sinds 2014 in de informatiebeveiliging van de RCN zijn geconstateerd, eind 2017 nog altijd niet waren opgelost. Zo bestond het risico dat kwaadwillenden relatief gemakkelijk toegang konden krijgen in het netwerk van RCN en via dit netwerk tot systemen en voorzieningen op andere netwerken van de rijksoverheid. Vanwege de hardnekkigheid van de problemen had de Algemene Rekenkamer in april 2018 de uitzonderlijke stap gezet om bezwaar aan te tekenen bij de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) tegen de wijze waarop tot nu toe met de informatiebeveiliging van RCN is omgegaan.
De Rekenkamer heeft, naar aanleiding van het onderzoek bij Nederlandse departementen, niet alleen de gebruikelijke lijst aanbevelingen gegeven – die al even gebruikelijk integraal zijn overgenomen – maar ook een politiek gevoeliger advies gegeven. Van ‘t Wout: “Zoals onze president Arno Visser eerder al naar buiten heeft gebracht willen wij dat BZK een belangrijker rol krijgt dan de huidige coördinerende rol. Dat is natuurlijk lastig omdat volgens artikel 44 van de grondwet elke minister verantwoordelijk is voor het eigen ministerie. Maar in onze ogen kan BZK op het gebied van informatiebeveiliging een vergelijkbare rol krijgen als nu Financiën op het gebied van de uitgaven.” Smolenaars wil de stemming er nog in houden: “Wij zijn niet alleen een afrekenkamer. Wij willen u ook in de positie brengen verbeteringen door te voeren”, zegt hij tegen de zaal met ambtenaren.
Wie zet de sluizen open?
De Rekenkamer mag een oud orgaan zijn, maar cybersecurity is daar nu Chefsache, aldus Smolenaars. De Rekenkamer gaat onderzoek doen naar alle vitale sectoren en ook graag in samenwerking met de betreffende organisaties. Het eerste in die serie is in maart gepresenteerd. En een typisch Nederlands thema: de veiligheid van stormvloedkeringen, stuwen, dammen en sluizen. Hoe zit het met de beveiliging van de informatiesystemen rond al die waterwerken? Kan een slimme hacker-terrorist de polders onder laten lopen?
De Rekenkamer heeft voor zijn onderzoek niet alleen de bestaande veiligheidsprocedures tegen het licht gehouden, maar ook twee praktijktesten uitgevoerd. Smolenaars: “We hebben in goede samenwerking met Rijkswaterstaat een aantal testen gedaan. Daarbij hebben we ook geprobeerd via hackers binnen te dringen in regelsystemen. En zelfs hebben we getest of hackers met de juiste werkkleding konden doordringen tot de controlekamer van een groot waterwerk en daar vervolgens toegang konden krijgen tot de systemen. De door ons ingehuurde hacker kon inderdaad ongemerkt de controlekamer binnendringen. Dat was schrikken. Hij kon ook het systeem binnendringen op een computersysteem dat even onbemand was achtergelaten. Maar toen hij probeerde zijn laptop aan te sluiten werd dat direct gedetecteerd.“
Het algemene eindbeeld van het onderzoek is volgens Smolenaars gemengd. Waterkeringen worden nog vaak bediend via gedateerde systemen die niet zijn ontwikkeld om aan elkaar te koppelen. “Dat brengt extra risico’s met zich mee.”
Rijkswaterstaat is volgens Smolenaars goed gestart met het oprichten van Security Operations Center (SOC), maar een aantal voorgenomen vervolgmaatregelen is niet uitgevoerd omdat het geld op was. Een van de aanbevelingen is dan ook om de niet uitgevoerde maatregelen alsnog te voltooien. Ook moeten er specifieke scenario’s worden opgesteld voor cyberaanvallen. Die scenario’s waren er niet.
De Rekenkamer stelde ook vast dat niet al het personeel in het SOC voldoende is gescreend en dat veel geheime informatie niet als zodanig is geclassificeerd. In de lijst aanbevelingen stond ook om haast te maken met het aansluiten van alle vitale waterwerken op het SOC en het op reguliere basis houden van penetratietesten. Hoe groot het acute gevaar precies is kan de Rekenkamer niet inschatten. Alle aanbevelingen zijn in ieder geval opgevolgd door minister Van Nieuwenhuizen van Infrastructuur en Waterstaat. “Maar dat is meer regel dan uitzondering bij onze onderzoeken van de Rekenkamer.” Aan het slot had Smolenaars nog een ‘nieuwtje’. Het volgende target van een cybersecurity-onderzoek wordt de grensbewaking van de Marechaussee op luchthaven Schiphol.