Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Brenk over het artikel 'Leiding Waternet verzwijgt vernietigende veiligheidstest'
Vragen van het lid Van Brenk (50PLUS) aan de Minister van Infrastructuur en Waterstaat over het artikel «Leiding Waternet verzwijgt vernietigende veiligheidstest» (ingezonden 4 november 2020).
Antwoord van Minister Van Nieuwenhuizen Wijbenga (Infrastructuur en Waterstaat) (ontvangen
10 november 2020).
Vraag 1
Bent u bekend met het artikel «Leiding Waternet verzwijgt vernietigende veiligheidstest»?1
Antwoord 1
Ja.
Vraag 2
Herinnert u zich de mondelinge vragen die eerder gesteld zijn over dit onderwerp?2
Antwoord 2
Ja.
Vraag 3
Heeft Waternet u op de hoogte gesteld van (de resultaten van) het uiterst kritische
pentest-rapport en wanneer is dat gebeurd?
Antwoord 3
Naar aanleiding van de eerdere publicatie over Waternet door FtM heeft de Inspectie
voor de Leefomgeving en Transport (ILT) als toezichthouder op het drinkwaterbedrijf
in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni) op 27 oktober
2020 een gesprek met de directie van Waternet gevoerd. Tijdens dit gesprek is de ILT
niet geïnformeerd over dit pen-test rapport of uitkomsten van andere pen-testen. Daags
na het gesprek heeft Waternet de ILT op de hoogte gesteld van een mogelijk voorgenomen
publicatie van FtM over een pen-test rapport van begin 2020. De ILT was voorafgaand
aan de publicatie van Follow the Money (FtM) op 2 november 2020 niet op de hoogte
van de inhoud van de rapportage over deze pen-test. De ILT heeft op 2 november 2020
de pen-test rapportage opgevraagd en op 3 november 2020 alsnog ontvangen.
Vraag 4
Vindt u dat u hierover op de hoogte had moeten worden gesteld op enig moment, ook
na de eerdere publicatie van FTM over de beveiliging van Waternet, als dit niet het
geval is?
Antwoord 4
Waternet laat, net als andere organisaties, in hun reguliere bedrijfsvoering regelmatig
pen-tests uitvoeren. Uit die testen komen vrijwel altijd verbeterpunten, die door
de organisaties worden gebruikt om de cybersecurity te versterken. Het is geen gangbare
praktijk dat aanbieders van essentiële diensten de uitkomsten van vertrouwelijke pen-testen
periodiek ongevraagd aan toezichthouders toesturen. Het was echter, gegeven de actuele
omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook
al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de
ILT om dat te doen.
Vraag 5
Heeft u er vertrouwen in dat de algemeen directeur en de dijkgraaf u goed zullen informeren
in de toekomst?
Antwoord 5
Ik vertrouw erop dat het management en het bestuur van Waternet de ILT in de toekomst
goed zullen informeren over welke maatregelen zijn genomen om aan de zorgplicht uit
de Wbni te voldoen. Waternet verleent medewerking aan het onderzoek dat de ILT heeft
opgestart.
Vraag 6, 7, 8, 9, 10, 11, 12, 13, 14
Hoe oordeelt u over het bericht dat de onderzoekers die dit rapport schreven, in staat
waren binnen korte tijd binnen te dringen in de systemen van Waternet?
Hoe oordeelt u over de stelling dat er op vrijwel elke beveiligingslaag wel iets is
aan te merken?
Hoe is het mogelijk dat een bedrijf als Waternet, dat voorziet in vitale infrastructuur,
zwakke communicatieprotocollen tussen servers kent, waardoor relatief makkelijk versleutelde
wachtwoorden en gebruikersnamen kunnen worden achterhaald en dat Waternet gebruik
maakt van sterk verouderde besturingssystemen en hardware (waarvan de Nationaal Coördinator
Terrorismebestrijding en Veiligheid (NCTV) zegt dat zij buiten werking zouden moeten
worden gesteld)?
Hoe oordeelt u over het onderzoeksresultaat dat er maar liefst elf grote kwetsbaarheden
te identificeren zijn, waarvan vijf kritiek en vijf met een hoog risiconiveau?
Hoe oordeelt u over het bericht dat volgens de pentest maar liefst 13.691 poorten
open staan en dat het lukte om kwaadaardige scripts uit te voeren?
Hoe oordeelt u over het bericht dat de directeur van Waternet het bestuur niet van
de resultaten van de uitgevoerde pentest op de hoogte lijkt te hebben gesteld?
Hoe oordeelt u over het bericht dat het bestuur van Waternet (de dijkgraaf) een lid
van het algemeen bestuur (volksvertegenwoordiger) die daar om vraagt, weigert inzage
te geven in de uitkomsten van het rapport – desnoods in gecensureerde vorm – en hem
adviseert daarbij «vandaan te blijven»?
Hoe oordeelt u over de stelling dat er vanuit de directie niets is gedaan met het
kritische pentestrapport en dat de acties die wel genomen zijn, op eigen initiatief
door security officers zijn uitgevoerd?
Hoe oordeelt u over de stelling dat er zoveel problemen in het netwerk zijn dat een
expert verwacht dat een hacker kan doorspringen naar de vitale processen die Waternet
uitvoert?
Antwoord 6, 7, 8, 9, 10, 11, 12, 13, 14
Ik heb er begrip voor dat de Kamer in deze casus snel alles boven water wil halen.
Ook voor mij heeft het de hoogste urgentie dat er door grondig onderzoek een compleet
beeld ontstaat. Daarom worden deze vragen meegenomen in het door de ILT geïnitieerde
onderzoek. Dit onderzoek – dat is gericht op het drinkwaterrelevante deel van Waternet
– richt zich naast de naleving van de Wbni, leveringszekerheid van drinkwater ook
op de governance van de organisatie.
Vraag 15
Hoe oordeelt u over onze stelling dat deze resultaten en de handelingen aanleiding
geven tot direct ingrijpen door de Minister, en het niet te laten bij een eigen intern
onderzoek door Waternet?
Antwoord 15
In mijn brief van 4 november 20203 heb ik toegelicht dat de ILT een eigen onderzoek opstart. Eerst moeten de resultaten
van zowel dit lopende onderzoek van de ILT als het extern uitgevoerde onderzoek in
opdracht van Waternet worden afgewacht. Pas als deze resultaten bekend zijn kan worden
bepaald of interventies nodig zijn. De ILT heeft geen reden om aan te nemen dat de
leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in
het geding is.
Vraag 16
Bent u bekend met maatregelen die Waternet naar aanleiding van het eerste artikel
van FTM heeft getroffen en, zo ja, welke zijn er getroffen en wanneer?
Antwoord 16
Waternet heeft mij medegedeeld dat er uit voorzorg een nog striktere scheiding tussen
de procesautomatisering en kantoorautomatisering is aangebracht. Of en zo ja welke
verdere maatregelen zijn getroffen door Waternet wordt meegenomen in het genoemde
onderzoek van de ILT. Ik zal de Kamer hierover nader informeren.
Vraag 17
Is deze pentest gemeld bij Nationaal Cyber Security Centrum, aangezien organisaties
in vitale sectoren verplicht zijn om ernstige digitale veiligheidsincidenten te melden
bij het NCSC? Zo ja, op welke datum? Zo nee, wat zijn de consequenties van het niet
melden van deze ernstige fouten?
Antwoord 17
Nee, de vertrouwelijke pen-test is door Waternet niet gemeld bij het NCSC. Een Pen-test
is een interne test door ethische hackers in opdracht van een aanbieder om de cyberveiligheid
te checken en waar nodig te verbeteren. Er is bij een pen-test geen sprake van een
moedwillige inbreuk of cyberincident met significante gevolgen voor de continuïteit
van de dienstverlening4. Pen-testen en de uitkomsten daarvan zijn ingevolge de Wbni niet meldplichtig. Aan
het niet melden daarvan bij het NCSC zijn derhalve geen gevolgen verbonden.
Vraag 18
Bent u bereid deze vragen te beantwoorden voorafgaand aan het wetgevingsoverleg Water
op 11 november a.s.?
Antwoord 18
Ja.
Ondertekenaars
-
Eerste ondertekenaar
C. van Nieuwenhuizen Wijbenga, minister van Infrastructuur en Waterstaat
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.