De week van hightech politie, ethische AI principes en oude NSA posters

Fysieke sluizen en gemalen vragen om digitale dijken

Rechter buigt zich morgen over de sleepwet [update na zitting]

Ook de organisaties die verantwoordelijk zijn voor de waterhuishouding in ons land moeten nadenken over de beveiliging van hun digitale infrastructuur.

Voor het magazine Het Waterschap, een blad voor de beheerders van de waterhuishouding in Nederland, schreven we een artikel over de achterblijvende beveiliging van hun digitale infrastructuur.

Bescherming tegen water

Veel van de technologie van tegenwoordig heet disruptive te zijn. Meestal wordt daarmee bedoeld dat een technologie een hele branche ondersteboven kan halen. Maar digitale aanvallen in het afgelopen jaar laten zien dat technologie ook met gemak onze hele maatschappij kan ontregelen. Wat als de aansturing van onze sluizen en gemalen wordt aangevallen? Zijn we daar wel tegen beschermd?

Voor het beschermen van ons land zijn niet alleen fysieke dijken, sluizen en gemalen nodig, maar ook een afweer op digitaal vlak.

We zijn inmiddels enorm afhankelijk van onze digitale infrastructuur. Daarom doen we er verstandig aan om kwetsbaarheden in onze digitale systemen zo snel mogelijk te verhelpen. Maar ondanks de enorme belangen, handelen we daar in het geheel niet naar. Soms is onze kwetsbaarheid het gevolg van laksheid of menselijk falen, maar soms zijn het systeemfouten die ervoor zorgen dat kwetsbaarheden langer blijven bestaan dan noodzakelijk. En daar kunnen en moeten we iets aan doen.

Kwetsbare sluizen en gemalen

Bij de organisaties die verantwoordelijk zijn voor de waterhuishouding in Nederland, is dit niet wezenlijk anders. Vijf jaar geleden maakte EenVandaag een reportage over de beveiliging van zulke systemen. Die bleek bedroevend slecht. Kwaadwillenden konden zonder specialistische kennis de systemen overnemen die gebruikt worden voor ons waterbeheer. De beveiliging lijkt sindsdien weliswaar iets verbeterd, maar de fundamentele problemen zijn blijven bestaan. Aanleiding voor het programma om hier recent opnieuw aandacht aan te bestedenBekijk het item terug via eenvandaag.avrotros.nl.

Sommige sluissystemen gaan dertig jaar mee. Voor twintig van die dertig jaar geldt dat kwetsbaarheden niet worden opgelost.

Inlopen van achterstand

Bits of Freedom vindt dat er veel meer aandacht moet zijn voor de beveiliging van onze digitale infrastructuur. Dat geldt voor de bescherming van het betalingsverkeer en de bevoorrading van onze supermarkten, maar net zo goed voor de waterhuishouding. Veel van onze achterstand kunnen we inlopen met behulp van goed beleid op het gebied van kwetsbaarheden en beveiligingsupdates.

EenVandaag meldt dat de grootste softwareleverancier voor sluizen in Nederland heeft laten weten dat zij de ondersteuning van haar software “inmiddels heeft verhoogd van vijf naar zeven jaar.” Dat klinkt mooi, maar is nog steeds onvoldoende. Sommige van die systemen gaan tot dertig jaar mee. Dat betekent dat gedurende meer dan twintig jaar kwetsbaarheden niet worden opgelost. De beste afweer is daarom om zo’n systeem van het internet los te koppelen. Maar daarmee zijn nog niet álle problemen opgelost.

Ondersteuning voor levensduur

Bits of Freedom pleit ervoor makers van hard- en software te verplichten hun producten voor de redelijke levensduur ervan te ondersteunen, op zijn minst met het aanbieden van beveiligingsupdates. Bij het gemiddelde waterwerk is dat dus eerder twintig, in plaats van twee jaar. Andere oplossingen zijn ook mogelijk, maar wat onacceptabel is, is zo’n systeem willens en wetens langdurig kwetsbaar online houden. We lopen daarmee als maatschappij een te groot risico.

Kwaadwillenden konden zonder specialistische kennis de systemen overnemen die gebruikt worden voor ons waterbeheer.

Gelukkig gloort er hoop aan de horizon: onze regering heeft van het beschermen van onze digitale infrastructuur een speerpunt gemaaktHet regeerakkoord: niet alleen maar kommer en kwel. Dat werd hoog tijd, want voor het beschermen van ons land zijn niet alleen fysieke dijken, sluizen en gemalen nodig, maar ook een afweer op digitaal vlak. En soms vallen die twee samen.

  1. Ardje

    “Bits of Freedom pleit ervoor makers van hard- en software te verplichten hun producten voor de redelijke levensduur ervan te ondersteunen, op zijn minst met het aanbieden van beveiligingsupdates.”
    Het klinkt alsof je nooit een overheids project hebt meegemaakt. De overheid wil doorgaans voor een dubbeltje op de 1e rang, maar slaat dan wel graag met een boeteclausule van 1000x het bedrag wat ze aan jou betalen als de software op de 1 of andere manier niet werkt op de manier zoals ze verwacht hadden.
    Ja, ik ben 100% voor beveiligingsupdate gedurende de levensduur van het project, mits dat een gedeelde verantwoordelijkheid is van degene die het aanbesteedt en degene die het ofreert.
    Maar het is wel ook een goede reden voor de aanbesteder om voor open systemen en open source te kiezen. Want er is altijd wel iemand die het systeem kan onderhouden.

    Een bedrijf verplichten om zijn software 30 jaar lang te onderhouden tegen beveiligingslekken zonder onderhoudscontract (==geld) is wel heel fout. De aannames van nu zijn over 5 jaar al zo achterhaald, dat je geen idee hebt waar je op moet letten.
    Je kan als aanbesteder wel een bedrijf verplichten om alle source op tafel te gooien, zodat een ander bedrijf daar verder mee kan.

    • Rejo Zenger

      Ja, dat probleem dat je noemt zien wij natuurlijk ook. Dat neemt niet weg dat we daar iets voor moeten bedenken, want het alternatief (software blijft langdurig in gebruik zonder ondersteuning voor beveiligingsupdates) is nog onwenselijker. Hoe zou jij dat oplossen?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe jouw reactie gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.