AH 750
2020Z20474
Antwoord van minister Van Nieuwenhuizen Wijbenga (Infrastructuur en Waterstaat) (ontvangen 10 november 2020)
Vraag 1
Bent u bekend met het artikel 'Leiding Waternet verzwijgt vernietigende veiligheidstest'?[1]
Antwoord 1
Ja.
Vraag 2.
Herinnert u zich de mondelinge vragen die eerder gesteld zijn over dit onderwerp?[2]
Antwoord 2
Ja.
Vraag 3
Heeft Waternet u op de hoogte gesteld van (de resultaten van) het uiterst kritische pentest-rapport en wanneer is dat gebeurd?
Antwoord 3
Naar aanleiding van de eerdere publicatie over Waternet door FtM heeft de Inspectie voor de Leefomgeving en Transport (ILT) als toezichthouder op het drinkwaterbedrijf in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni) op 27 oktober 2020 een gesprek met de directie van Waternet gevoerd. Tijdens dit gesprek is de ILT niet geïnformeerd over dit pen-test rapport of uitkomsten van andere pen-testen. Daags na het gesprek heeft Waternet de ILT op de hoogte gesteld van een mogelijk voorgenomen publicatie van FtM over een pen-test rapport van begin 2020. De ILT was voorafgaand aan de publicatie van Follow the Money (FtM) op 2 november 2020 niet op de hoogte van de inhoud van de rapportage over deze pen-test. De ILT heeft op 2 november 2020 de pen-test rapportage opgevraagd en op 3 november 2020 alsnog ontvangen.
Vraag 4
Vindt u dat u hierover op de hoogte had moeten worden gesteld op enig moment, ook na de eerdere publicatie van FTM over de beveiliging van Waternet, als dit niet het geval is?
Antwoord 4
Waternet laat, net als andere organisaties, in hun reguliere bedrijfsvoering regelmatig pen-tests uitvoeren. Uit die testen komen vrijwel altijd verbeterpunten, die door de organisaties worden gebruikt om de cybersecurity te versterken. Het is geen gangbare praktijk dat aanbieders van essentiële diensten de uitkomsten van vertrouwelijke pen-testen periodiek ongevraagd aan toezichthouders toesturen. Het was echter, gegeven de actuele omstandigheden, passend geweest als de ILT tijdig was ingelicht door Waternet, ook al was er op dat moment geen wettelijke verplichting of concreet verzoek vanuit de ILT om dat te doen.
Vraag 5
Heeft u er vertrouwen in dat de algemeen directeur en de dijkgraaf u goed zullen informeren in de toekomst?
Antwoord 5
Ik vertrouw erop dat het management en het bestuur van Waternet de ILT in de toekomst goed zullen informeren over welke maatregelen zijn genomen om aan de zorgplicht uit de Wbni te voldoen. Waternet verleent medewerking aan het onderzoek dat de ILT heeft opgestart.
Vraag 6
Hoe oordeelt u over het bericht dat de onderzoekers die dit rapport schreven, in staat waren binnen korte tijd binnen te dringen in de systemen van Waternet?
Vraag 7
Hoe oordeelt u over de stelling dat er op vrijwel elke beveiligingslaag wel iets is aan te merken?
Vraag 8
Hoe is het mogelijk dat een bedrijf als Waternet, dat voorziet in vitale infrastructuur, zwakke communicatieprotocollen tussen servers kent, waardoor relatief makkelijk versleutelde wachtwoorden en gebruikersnamen kunnen worden achterhaald en dat Waternet gebruik maakt van sterk verouderde besturingssystemen en hardware (waarvan de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) zegt dat zij buiten werking zouden moeten worden gesteld)?
Vraag 9
Hoe oordeelt u over het onderzoeksresultaat dat er maar liefst elf grote kwetsbaarheden te identificeren zijn, waarvan vijf kritiek en vijf met een hoog risiconiveau?
Vraag 10
Hoe oordeelt u over het bericht dat volgens de pentest maar liefst 13.691 poorten open staan en dat het lukte om kwaadaardige scripts uit te voeren?
Vraag 11
Hoe oordeelt u over het bericht dat de directeur van Waternet het bestuur niet van de resultaten van de uitgevoerde pentest op de hoogte lijkt te hebben gesteld?
Vraag 12
Hoe oordeelt u over het bericht dat het bestuur van Waternet (de dijkgraaf) een lid van het algemeen bestuur (volksvertegenwoordiger) die daar om vraagt, weigert inzage te geven in de uitkomsten van het rapport – desnoods in gecensureerde vorm - en hem adviseert daarbij “vandaan te blijven”?
Vraag 13
Hoe oordeelt u over de stelling dat er vanuit de directie niets is gedaan met het kritische pentestrapport en dat de acties die wel genomen zijn, op eigen initiatief door security officers zijn uitgevoerd?
Vraag 14
Hoe oordeelt u over de stelling dat er zoveel problemen in het netwerk zijn dat een expert verwacht dat een hacker kan doorspringen naar de vitale processen die Waternet uitvoert?
Antwoord op vragen 6 t/m 14
Ik heb er begrip voor dat de Kamer in deze casus snel alles boven water wil halen. Ook voor mij heeft het de hoogste urgentie dat er door grondig onderzoek een compleet beeld ontstaat. Daarom worden deze vragen meegenomen in het door de ILT geïnitieerde onderzoek. Dit onderzoek - dat is gericht op het drinkwaterrelevante deel van Waternet - richt zich naast de naleving van de Wbni, leveringszekerheid van drinkwater ook op de governance van de organisatie.
Vraag 15
Hoe oordeelt u over onze stelling dat deze resultaten en de handelingen aanleiding geven tot direct ingrijpen door de minister, en het niet te laten bij een eigen intern onderzoek door Waternet?
Antwoord 15
In mijn brief van 4 november 2020[3] heb ik toegelicht dat de ILT een eigen onderzoek opstart. Eerst moeten de resultaten van zowel dit lopende onderzoek van de ILT als het extern uitgevoerde onderzoek in opdracht van Waternet worden afgewacht. Pas als deze resultaten bekend zijn kan worden bepaald of interventies nodig zijn. De ILT heeft geen reden om aan te nemen dat de leveringszekerheid van het drinkwater bij Waternet als gevolg van cyberrisico’s in het geding is.
Vraag 16
Bent u bekend met maatregelen die Waternet naar aanleiding van het eerste artikel van FTM heeft getroffen en, zo ja, welke zijn er getroffen en wanneer?
Antwoord 16
Waternet heeft mij medegedeeld dat er uit voorzorg een nog striktere scheiding tussen de procesautomatisering en kantoorautomatisering is aangebracht. Of en zo ja welke verdere maatregelen zijn getroffen door Waternet wordt meegenomen in het genoemde onderzoek van de ILT. Ik zal de Kamer hierover nader informeren.
Vraag 17
Is deze pentest gemeld bij Nationaal Cyber Security Centrum, aangezien organisaties in vitale sectoren verplicht zijn om ernstige digitale veiligheidsincidenten te melden bij het NCSC? Zo ja, op welke datum? Zo nee, wat zijn de consequenties van het niet melden van deze ernstige fouten?
Antwoord 17
Nee, de vertrouwelijke pen-test is door Waternet niet gemeld bij het NCSC. Een Pen-test is een interne test door ethische hackers in opdracht van een aanbieder om de cyberveiligheid te checken en waar nodig te verbeteren. Er is bij een pen-test geen sprake van een moedwillige inbreuk of cyberincident met significante gevolgen voor de continuïteit van de dienstverlening[4]. Pen-testen en de uitkomsten daarvan zijn ingevolge de Wbni niet meldplichtig. Aan het niet melden daarvan bij het NCSC zijn derhalve geen gevolgen verbonden.
Vraag 18
Bent u bereid deze vragen te beantwoorden voorafgaand aan het wetgevingsoverleg Water op 11 november a.s.?
Antwoord 18
Ja.
[1] Ftm.nl, 2 november 2020, Waternet verzwijgt vernietigende veiligheidstest (https://www.ftm.nl/artikelen/waternet-verzwijgt-vernietigende-veiligheidstest)
[2] mondelinge vragen d.d. 22 september 2020
[3]https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail/2020Z20538/2020D44108
[4] Artikel 10 Wbni
