Sluizen gammel beveiligd

Waterschappen worstelen met updates software

De besturing van sluisdeuren wordt geregeld door programma logistic controllers. Worden die plc’s gehackt, dan zijn de gevolgen ingrijpend. ‘Vooral wanneer een aanval meerdere systemen raakt, kun je als hacker veel schade veroorzaken’, stelt Steven Djohan, partner bij ict-onderzoeksbureau Revnext. ‘Je kunt dan zelfs het monitoren van sluizen beïnvloeden, zodat niemand kan waarnemen dat een sluisdeur onbedoeld openstaat.’

De beveiliging van plc’s is dus cruciaal. Maar een betrouwbare bron binnen de waterschappen, nauw bij cybersecurity betrokken, meldt dat plc’s in de regel hooguit vijf jaar worden ondersteund met beveiligingsupdates. Hun looptijd, als ondersteunende besturing bij het openen en sluiten van een sluisdeur, bedraagt wel 25 jaar. Zonder updates wordt de beveiliging kwetsbaar.

Dat dit probleem bij meerdere waterschappen speelt, vindt Djohan van Revnext niet zo vreemd. ‘Begin deze eeuw zijn veel waterschappen gaan automatiseren en werden sluiswachters vervangen door s ystemen, vertelt Djohan. ‘Met die automatisering op zich is niets mis, het bespaart uiteindelijk een hoop onnodig werk. Maar de focus heeft in deze periode wellicht te weinig bij digitale veiligheid gelegen. De problemen met de veiligheid van sluizen zijn al langer bekend, zoals in Veere, waar in 2010 zomaar een gemaal gehackt kon worden.’

Het grootste probleem voor de waterschappen is volgens Djohan dat vaak niet duidelijk is wie waarvoor verantwoordelijk is. ‘Leveranciers installeren een sluis en zorgen voor de digitale beveiliging. Maar na een aantal jaren stoppen de updates. De plc’s dan blijven voorzien van updates is erg kostbaar.’

Te klein budget
Djohan ziet bij aanbestedingen op Tenderned dat de budgetten van waterschappen vaak te klein zijn omecht goede tests uit te voeren. Ook ontbreekt het aan bewustzijn. ‘Bij nieuwe aanbestedingen moeten ze digitale veiligheid serieuzer nemen. Nu lijkt het erop dat sommige waterschappen bij dit soort situaties voorlopig de kop in het zand steken. Zorg ervoor dat het digitale onderhoud op gelijke voet blijft met de fysieke beveiliging van de infrastructuur, want op dat vlak worden wel flinke investeringen gedaan. Vergeet niet dat hackers digitaal minstens zoveel schade kunnen aanrichten.’

Hoogleraar cybersecurity Jan van den Berg van de Universiteit Leiden en TU Delft is niet verbaasd over de beveiligingsproblemen. ‘Waterschappen worden geconfronteerd met machtige leveranciers, de afhankelijkheid van deze partijen neemt toe.’ Bij het plaatsen van plc’s – vaak al jaren geleden – is volgens hem onvoldoende stilgestaan bij de mogelijke risico’s. ‘Het is lastig om als klant een tegenkracht te vormen tegenover de leverancier. Wat kan helpen is de krachten bundelen en als één partij op te treden.’

Daarnaast wordt de software die de apparatuur aanstuurt steeds complexer, met steeds meer softwarelagen. ‘Zeker bij ‘industrial cybersecurity’, waar plc’s onder vallen, wordt dit steeds gebruikelijker.’ Een plc wordt door software van een SCADA-systeem gemonitord, waaraan weer diverse andere monitors via een netwerk verbonden zijn. Een ‘servicelaag’ daarboven bevat applicaties die het systeem toegankelijk maken voor gebruikers. ‘Er komt daarbij ook steeds meer in de cloud terecht’, constateert Van den Berg. ‘Steeds meer partijen gaan over de besturing van één apparaat. Maar wanneer uiteindelijk een verantwoordelijke moet worden aangewezen als er een incident optreedt, wijst iedereen naar elkaar.’

Voor het blok
‘Organisaties die een licentiecontract afsluiten met een softwareleverancier letten bij de onderhandelingen vaak wel op’, stelt hoogleraar Global ICT Law Lokke Moerel. ‘Maar bij ‘slimme’ apparaten die op het internet zijn aangesloten wordt weleens vergeten dat ook hiervoor software-beveiligingsupdates nodig zijn. Dan ontbreekt een onderhoudscontract voor de verwachte levensduur van het product. Als de leverancier dan ineens het softwareonderhoud stopzet, wordt een organisatie plotseling voor het blok gezet.’

Bij consumenten zijn leveranciers via de wet verplicht een product te leveren dat geschikt is voor langdurig normaal gebruik, legt Moerel uit. ‘Daaronder valt ook dat het product een adequate beveiliging heeft. Bij slimme apparaten moet de leverancier het product gedurende een normale levensduur ook van beveiligings-updates te voorzien.’ Voor bedrijven en overheden die contracten afsluiten met leveranciers is een dergelijke bescherming niet bij wet geregeld, zegt Moerel. ‘Organisaties moeten daar tijdens onderhandelingen dus goed op toezien. Waterschappen hebben dat bij de aanschaf van plc’s kennelijk onvoldoende gedaan.’

Reactie Unie van Waterschappen
‘Plc’s die niet meer ondersteund worden met beveiligingsupdates kunnen een informatiebeveiligingsrisico inhouden’, stelt de Unie van Waterschappen (UvW) in een reactie. ‘Vanwege veiligheidsaspecten’ wil de koepelorganisatie bevestigen noch ontkennen of dit probleem ook speelt bij waterschappen. Wel stelt de UvW dat ‘de aard en duur van technische ondersteuning op geleverde plc-programmatuur, zoals beveiligingsupdates, verschilt per leverancier. Ten aanzien van beveiliging hebben waterschappen de afgelopen jaren de inkoopvereisten aangescherpt. Gelukkig zien meer en meer leveranciers informatiebeveiliging als een essentieel kenmerk van hun product en is er structureel aandacht voor nodige beveiligingsupdates.’

‘Geen eenduidig beeld over ondersteuning’
Marktleider Siemens levert onder meer plc’s voor de sluizen van Maasbracht en het Stuwenensemble Nederrijn en Lek. Plc’s worden volgens de woordvoerder ‘vanzelfsprekend’ ondersteund met beveiligingsupdates. ‘Er is geen eenduidig beeld over hoe lang we welke plc steunen, maar in het algemeen supporten wij tot zeven jaar na aankoop en kunnen we daarna nog tien jaar reservedelen leveren. Daartoe behoren ook systeemsoftware-updates.’ In 2010 werd een kerncentrale in Iran gehackt, waarvoor Siemens de plc’s leverde. Djohan van Revnext: ‘Het was mogelijk om de turbines van de centrale op afstand te bedienen. Deze werden door hackers 5 procent hoger afgesteld waardoor ze harder gingen draaien en oververhit raakten.’