Bij het Amsterdamse waterbedrijf Waternet is de digitale beveiliging niet op orde. Dat blijkt uit een onderzoek van Follow The Money (FTM), die zich baseren op interne documenten en gesprekken met medewerkers.
Het waterbedrijf blijkt gebruik te maken van verouderde systemen en er worden regelmatig beveiligingsmaatregelen teruggedraaid, aldus enkele medewerkers.
Waternet is verantwoordelijk voor het waterbeheer in Amsterdam en omgeving en zorgt onder andere voor de levering en zuivering van drinkwater en het bedienen van sluizen en bruggen.
Geen veiligheidsupdates
Een groot aantal desktops bij Waternet draait nog op Windows 7, aldus FTM. Voor Windows 7 worden echter al sinds 14 januari 2020 geen veiligheidsupdates meer uitgebracht. Hierdoor zijn ze zeer kwetsbaar voor dreigingen van buitenaf.
Ook zouden er meer dan 150 servers zijn die ‘zonder restricties vrij met het internet mogen praten’. Iets wat de kans zou vergroten om malware binnen te halen.
Verouderde telefoons
Ook worden er volgens interne bronnen door sommige medewerkers nog verouderde telefoons gebruikt, terwijl Waternet beveiligde iPhones aanbiedt aan haar medewerkers. Sommige van de verouderde privé-smartphones worden niet regelmatig geüpdatet of er zijn niet eens meer updates voor. Hierdoor loopt de software op deze toestellen enkele versies achter.
Met name hoger geplaatste medewerkers voeren updates niet uit of hebben een toestel waar geen updates meer voor beschikbaar zijn, aldus FTM. Hierdoor werd het updatebeleid, geïntroduceerd om de beveiliging van Waternet te verbeteren, binnen enkele dragen weer teruggedraaid door het management.
Waarschuwingen structureel genegeerd
FTM stelt dat de documenten laten zien dat “er een bedrijfscultuur heerst waarbij waarschuwingen van security officers structureel worden genegeerd en veiligheid ondergeschikt is gemaakt aan gebruiksgemak en ingesleten gewoontes.” Ook de gesproken bronnen lijken dit te bevestigen.
In april 2018 kaartte de toenmalige Chief Information Security Officer (CISO) van Waternet, Peter Schaap, al het beveiligingsprobleem met betrekking tot de servers aan bij het management. Echter werd daar niet op gereageerd. Volgens interne bronnen is dit probleem nu nog steeds aanwezig.
Problemen zijn ‘bijna opgelost’ of er wordt aan ‘gewerkt’
In een reactie aan FTM laat Waternet weten dat er aan veel van de beschreven problemen wordt gewerkt en dat enkele problemen bijna zijn opgelost. Hierbij gaat Waternet in op de verschillende problemen die worden geschetst door FTM. Ook geeft het bedrijf aan dat zij voldeden aan de basisvereisten van de AVG toen ze dit in 2018 hebben laten meten. Bevindingen uit die meting zijn opgepakt.
Ook kamervragen digitale beveiliging Waternet
In de Tweede Kamer zijn door Corrie van Brenk (50PLUS) vragen gesteld over de digitale beveiliging van Waternet, het waterschap voor Amsterdam en omstreken. Aanleiding voor de Kamervragen is een publicatie van Follow The Money waaruit blijkt dat het met de beveiliging van computersystemen bij Waternet erbarmelijk is gesteld. Waternet zou al jaren waarschuwingen over de onveiligheid van zijn digitale omgeving negeren. Dat stelt FTM op basis van interne documenten. Volgens de bronnen is het een kwestie van tijd voordat het ‘finaal fout’ gaat.
Waternet begon in 2010 aan een grote operatie om processen en systemen vergaand te digitaliseren. In de praktijk blijkt dat veel zaken niet goed zijn geregeld, dat er soms datalekken zijn en dat er met verouderde computers wordt gewerkt.
Bron: ftm.nl, security.nl, vpngids.nl | Quinten van Kastel