Dagelijks duizend cyberaanvallen bij een waterschap

Het aantal cyberaanvallen bij waterschappen kan jaarlijks gemakkelijk in de miljoenen lopen. Aa en Maas maakt er namelijk al ruim duizend per dag mee, vertelt secretaris-directeur Piet Sennema. Goede beveiliging is daarom cruciaal om bijvoorbeeld de aansturing van de sluizen, en daarmee de veiligheid en volksgezondheid, te beschermen. ‘Alle monitortjes, metingen, bedieningen – het gaat allemaal digitaal.’

Hóe vaak zijn waterschappen het doelwit van cyberaanvallen?

Sennema: ‘We zien bij Aa en Maas dagelijks ruim duizend pogingen om wachtwoorden te raden. Alle waterschappen maken dat mee, dus je kunt ervan uitgaan dat er per jaar duizend maal 22 maal 365 pogingen zijn. Het overgrote deel komt uit het buitenland en dan vooral uit landen buiten Europa. Denk vooral aan Azië, Rusland en Zuid-Amerika.’

 

Is er wel eens iets door de verdediging heen gekomen?

‘We hebben meegemaakt dat er via iemands privéaccount e-mails doorgingen naar Azië. Nou mailen we wel met Azië: er zijn net mensen naar Vietnam gegaan om de delta daar onder controle te krijgen. We hebben ook weleens een groep Russen op bezoek gehad voor het waterbeheer. Dus zulke mails zijn niet per definitie ongewoon, maar het werd er bij ons toch snel uitgevist, want 99 procent van ons mailverkeer gaat naar e-mailadressen binnen Nederland. Maar als jij gewoon op je pc’tje zit, zie je niets van dat ongewone verkeer.’

 

Dagelijkse hoeveelheid bedreigingen gevonden vóór de bezorging van een e-mail

Bron: Aa en Maas

 

Wat zou een hacker van plan zijn?

‘Landen zijn heel erg op zoek naar kennis. En ik denk dat er mensen zijn die hun best doen de boel plat te leggen om zo geld te verdienen. Daarnaast zijn er kwajongens die het heel leuk vinden om het met trial and error te proberen. Dat zijn volgens mij de drie belangrijkste factoren.’

 

Wat zou de schade kunnen zijn?

‘Stel dat je wordt gehackt. Los van de financiële schade kun je informatie kwijt zijn. We maken elke dag back-ups die we terug kunnen plaatsen, maar als je al drie maanden geïnfecteerd bent, dan heb je niets aan de back-ups van na die tijd. Dus je moet ze lang bewaren en de arbeid sinds die tijd ben je kwijt. ’

 

‘Als het een ander soort hack is, waardoor wij bijvoorbeeld op onze monitoren te zien krijgen dat de stuwen dicht staan terwijl ze alles ongefilterd doorlaten, dan is dat zorgelijk. Dus behalve bedrijfsvoering is er ook een risico voor de veiligheid en de volksgezondheid. En het gaat om de hele bedrijfsvoering. Ons bedrijf is gewoon een ict-bedrijf. Alle monitortjes, metingen, bedieningen – het gaat allemaal digitaal. Het meeste geld zit in ict of ict-gerelateerde zaken. Daar wordt alles mee bediend.’

 

Communiceren het bestuur en de ict-afdeling goed over over cybersecurity?

‘Er is natuurlijk altijd een kloof tussen het bestuur en de ambtenaar, maar ict is inmiddels een primair proces geworden en dat krijgt de aandacht van het bestuur. Het helpt als er iets gebeurt bij een universiteit of  een gemeente. We zitten voortdurend te kijken naar waar de gaten zitten en als er dan zo’n incident plaatsvindt, zoeken we uit hoe dat bij ons zit en dan krijg ik een keurig lijstje met groene vinkjes terug.’

 

Is er voldoende aandacht bij waterschappen voor de problematiek?

‘Men realiseert zich telkens dat er nog meer zou kunnen en moeten, maar gemiddeld genomen is het niet slecht. Met het bestuur van de Unie van Waterschappen heb ik besproken wat er nodig is en wat op ons afkomt. Wij migreren van een hardwarebedrijf naar een softwarebedrijf. Dat is moeilijk voor te stellen, maar dat is wel hoe de werkelijkheid eruitziet. Er zijn nieuwe voorstellen gedaan over wat beter kan, wat we samen kunnen doen.’

 

‘We werken ook nauw samen met het Nationaal Cyber Security Centrum. Samen met Rijkswaterstaat hebben zij een gespecialiseerd CERT-team dat bij ons monitort. En als er iets rondgaat in die duistere cyberwereld dan waarschuwen ze ons. We zijn ook aan het kijken of, op het moment dat er iets aan de hand is, we met de waterschappen kunnen zorgen voor een grotere en snellere respons.’