Waternet, het bedrijf dat verantwoordelijk is voor de drinkwatervoorziening, riolering en waterbeheer van ruim een miljoen huishoudens in Amsterdam en omgeving, heeft grote problemen met de digitale beveiliging.
Dat schrijft onderzoeksplatform Follow The Money (FTM) op basis van interne documenten en gesprekken met medewerkers. ‘De grap wordt wel eens gemaakt dat je via ons heel Amsterdam onder water kunt zetten', zegt een interne bron. Medewerkers, die uit veiligheid anoniem wilden blijven, zeggen dat het niet de vraag 'of, maar wanneer' de beveiliging voor grote problemen gaat zorgen.
Gebruiksgemak
Zo werd onder meer een maatregel van de afdeling beveiliging om een probleem te verhelpen teruggedraaid. Na maanden van voorbereiding ging de betere beveiliging niet door, omdat dit het 'gebruiksgemak' van medewerkers zou verminderen.
Ook een poging van diezelfde afdeling om te eisen dat medewerkers hun eigen telefoon zouden updaten voordat ze op het werknetwerk mogen inloggen, werd geblokkeerd. Hierdoor haalde Waternet dertien extra kritieke kwetsbaarheden in huis.
Verouderd besturingssysteem
Uit de documenten waarover FTM beschikt, blijkt dat een groot aantal computers nog op Windows 7 draaien. Voor dat besturingssysteem worden sinds 14 januari 2020 geen veiligheidsupdates en -patches meer worden aangeboden.
Waternet weet dat deze computers kwetsbaar zijn voor aanvallen van hackers, maar toch vraagt een afdelingshoofd op 10 maart 2020 om deze machines in gebruik te houden. Het verzoek wordt ingewilligd. Deze computers draaien nog steeds.
Bevoegdheden
Uit de stukken blijkt verder dat inzicht in de bevoegdheden van medewerkers in de IT-systemen nagenoeg ontbreekt. Hierdoor hebben medewerkers structureel te veel bevoegdheden en toegang tot informatie die buiten hun eigenlijke bevoegdheid ligt. Zo konden door een fout eerder dit jaar alle Waternet-medewerkers bij de vertrouwelijke data van zo'n 200.000 klanten.
Een bron zegt tegen website: 'Security leeft totaal niet. Ze vinden het vooral lastig voor de business. Er wordt ook niet uitgelegd waarom adviezen niet worden gevolgd of alternatieven afgewezen. Als bepaalde managers er geen zin in hebben, gebeurt het gewoon niet. Ondertussen worden er wel risico’s genomen die ze niet overzien. Dat kan niet bij een vitaal bedrijf.’
Vitaal
Waternet is een onderdeel van de vitale infrastructuur van Nederland. Dat betekent dat er speciale eisen worden gesteld aan de veiligheid van alle digitale systemen en processen die bij Waternet draaien.
In een reactie zegt Waternet dat aan veel problemen ‘gewerkt’ wordt en dat andere problemen ‘bijna opgelost’ zijn.
💬 Whatsapp ons!
Heb jij tips? Of een interessante foto of video gemaakt? Stuur ons jouw nieuws op 0651190938!