De kerncentrale in Borssele en de Veiligheidsregio Zeeland beschermen hun e-mail onvoldoende tegen cybercriminaliteit, zoals phishing, spoofing en ransomware. Dat concludeert tv-programma Zembla, die de belangrijkste veiligheidsmaatregelen tegen misbruik van e-mails van honderd bedrijven onderzocht. De beheerder van de kerncentrale, EPZ, zegt wel goed weerstand te kunnen bieden tegen computercriminaliteit, maar heeft de beveiliging na het onderzoek toch aangescherpt.
EPZ zegt in een reactie dat het over een door de overheid goedgekeurd beveiligingspakket beschikt. Het bedrijf heeft eerder te maken gehad met pogingen van ransomware, maar die leidden niet tot incidenten. "Omdat wij goed weerstand kunnen bieden aan cybercriminaliteit en dit permanent monitoren, kunnen wij stellen dat geen enkele poging succesvol was." Op de website van EPZ is een uitgebreide reactie te lezen.
Borssele het meest verontrustende geval
Onderzoeksjournalist Vincent Verweij van Zembla is er niet gerust op. "Van alle honderd bedrijven die we onderzocht hebben, vind ik Borssele het meest verontrustende geval. Het is natuurlijk best wel schokkend dat een bedrijf dat een kerncentrale exploiteert niet op het allerhoogste niveau beveiligd is."
Volgens EPZ is de nucleaire veiligheid sowieso niet in het geding als het op mailverkeer aankomt. "Het reactorbeveiligingssysteem van de kerncentrale is analoog. Dit kan dus per definitie niet gehackt worden. In de kerncentrale is geen enkel vitaal bedieningssysteem aangesloten op het internet."
Onderzoek Zembla
Onderzoeksprogramma Zembla voerde de afgelopen maanden meerdere scans uit bij honderd bedrijven en organisaties in de vitale infrastructuur om te kijken of ze de belangrijkste veiligheidsmaatregelen tegen misbruik van mail strikt hebben ingesteld. 43 procent van de bedrijven bleek de e-mailsystemen niet optimaal te hebben beveiligd, wat hen volgens deskundigen onnodig kwetsbaar maakt.
Behalve EPZ haalde de Veiligheidsregio Zeeland (VRZ) ook geen voldoende. Net als twaalf andere veiligheidsregio's in Nederland (van de 25 in totaal) heeft de VRZ zijn e-mail onvoldoende tegen phishing beveiligd. Terwijl dat wel als overheidsorganisatie verplicht is. "Verbetering kost tijd", reageerden de veiligheidsregio's naar Zembla toe.
Ze zeggen te kampen met een "complex ICT-landschap" nadat de systemen van de veiligheidsregio's zijn samengevoegd. Er worden versneld extra veiligheidsmaatregelen genomen.
Reactie VRZ
In een schriftelijke reactie meldt de VRZ dat alle beveiligingsissues zijn opgelost. "Deels hadden we de nodige maatregelen al afgerond, voordat Zembla onderzoek deed. En de overige maatregelen hebben we recent helemaal afgerond."
Goed geregeld
Meer dan de helft van de onderzochte bedrijven had de beveiliging van de mailsystemen wel op orde, waaronder in Zeeland de Covra, die radioactief afval opslaat in Borssele. Ook bedrijven als drinkwaterbedrijf Evides, KPN en de NS hebben de drie veiligheidsstandaarden waarop ze gecontroleerd zijn ingesteld.
Bron: anoniem, npostart.nl/zembla, bnnvara.nl/zembla, omroepzeeland.nl
Vitale infrastructuur gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Meer nieuws
Ziggo's wifibooster C7 kwetsbaar voor hacking
Ziggo waarschuwt voor een kwetsbaarheid in de 'Wifibooster Ziggo C7'. "Om hacking en misbruik te voorkomen is het noodzakelijk uw wachtwoord en netwerknaam te wijzigen", aldus Ziggo in een mail naar hun klanten.
VS waarschuwt voor toename cyberaanvallen op de 'vitale infrastructuur'
De Verenigde Staten hebben vandaag een waarschuwing afgegeven voor verhoogde cyberdreiging op de vitale infrastructuur vanuit statelijke actoren gericht op internet toegankelijke operationele technologie (OT) systemen.
Trends in cyberaanvallen: halfjaarverslag 2020
Begin 2020 hadden maar heel weinig mensen de gebeurtenissen die zich ontvouwden, kunnen voorspellen. De wereldwijde pandemie van COVID-19 veroorzaakte ongekende veranderingen in ons hele leven en heeft onze hele werkcultuur hervormd.
Cyberterrorisme deel 3: Hypothetische scenario's
Stelt u zich eens voor op de voorpagina van de krant "Twee vliegtuigen zijn gecrasht: veroorzaakt door een daad van cyberterrorisme" of "Vliegtuigcrashes naar luchthaven: gecontroleerd door cyberterroristen" leest.
Pedohandleiding op het Darkweb nu strafbaar gesteld
Het verspreiden, verwerven of in bezit hebben van een handleiding met tips en trucs voor het seksueel misbruiken van kinderen wordt expliciet strafbaar gesteld. Er komt een gevangenisstraf van maximaal vier jaar op te staan. Zo’n ‘pedohandboek’ of ‘pedohandleiding’ brengt kinderen in gevaar, omdat het een voedingsbodem is voor de kindermisbruiker die zijn slag wil slaan. Dit is de kern van een wetsvoorstel van minister Grapperhaus (Justitie en Veiligheid) dat vandaag in consultatie is gegaan.
Smishing bericht om CoronaMelder-app te downloaden
Het ministerie van Volksgezondheid waarschuwt op Twitter voor een sms (smishing) waarin mensen zogenaamd via een link de CoronaMelder-app kunnen downloaden. Het bericht lijkt afkomstig van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), maar het gaat om oplichting. "Klik niet op de link", aldus het ministerie.