Kamervraag 2021Z18070

De kwetsbaarheid van bruggen en riolen voor hackers

Ingediend 15 oktober 2021
Beantwoord 11 november 2021 (na 27 dagen)
Indiener Barry Madlener (PVV)
Beantwoord door Barbara Visser (staatssecretaris defensie) (VVD)
Onderwerpen economie ict organisatie en beleid ruimte en infrastructuur
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2021Z18070.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-653.html
  • Vraag 1
    Bent u op de hoogte van het gepubliceerde artikel in Het Financieele Dagblad en het onderzoek dat op 14 oktober 2021 is gepubliceerd door de vakbladen Binnenlands Bestuur en AG Connect?1, 2

    Ja.

  • Vraag 2
    Zijn er bruggen en rioleringssystemen die op dit moment kwetsbaar zijn en geen update kunnen krijgen met de laatste beveiligingsmaatregelen? Zo ja, welke zijn dit?

    Bruggen en rioleringssystemen zijn veelal in beheer bij decentrale overheden. Decentrale overheden zijn zelf verantwoordelijk om op basis van risicoanalyse en risicoafweging beveiligingsmaatregelen te nemen. Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren, zie ook de beantwoording van vraag 3.

  • Vraag 3
    Welke risico’s lopen de controlesystemen bij onder andere rioleringen, sluizen en verkeerslichten op dit moment op?

    Risico’s van controlesystemen zijn in het algemeen systeem-, organisatie-, locatie- en tijdsspecifiek en hangen samen met beveiligingsmaatregelen die door een organisatie zijn getroffen. Iedere organisatie opereert binnen haar eigen organisatie-specifieke context en maakt op basis van een risicoanalyse een risicoafweging. Risico’s die bij ICS systemen kunnen ontstaan, worden vooral veroorzaakt door koppelingen aan het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Om uitval te voorkomen zijn er veelal terugval opties aanwezig, zoals bijvoorbeeld de handbediening van bruggen en sluizen.

  • Vraag 4
    Welke acties heeft u getroffen naar aanleiding van het kritische rapport van de Algemene Rekenkamer vanaf 2019?3

    Sinds publicatie van het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring: cybersecurity en vitale waterwerken» uit 20194 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. Ik heb uw Kamer in 20205 geïnformeerd over mijn inzet in deze. Op 2 juni 20216 heb ik uw Kamer geïnformeerd over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector».
    RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Één van de prioritaire maatregelen betreft de aansluiting van extra objecten op het Security Operations Centre (SOC7). In 2019 zijn alle vitale objectenl aangesloten. Van de overige niet-vitale objecten zijn momenteel 12 van de 60 aangesloten. Het betreft daarbij objecten zoals bijvoorbeeld bruggen en sluizen, van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). De verwachting is dat in 2023 alle 60 objecten zijn aangesloten.

  • Vraag 5
    Kunt u de kamer informeren over de huidige stand van zaken en wat het plan van aanpak is om onze infrastructuur te beschermen tegen hackers?

    Binnen de overheid lopen er meerdere initiatieven om de vitale infrastructuur te beschermen en de digitale weerbaarheid te verhogen. Voor de stand van zaken van de Nationale Cybersecurity Agenda verwijs ik naar de beleidsreactie Cyber Security Beeld Nederland 2021 en voortgangsrapportage NCSA die op 28 juni 2021 door de Minister van Justitie en Veiligheid met uw Kamer is gedeeld8.
    Samen met de drinkwaterbedrijven, waterschappen, gemeenten, provincies en Rijkswaterstaat heeft het Ministerie van Infrastructuur en Waterstaat het Programma Versterken Cyberweerbaarheid in de Watersector 2019–2022 (PVCW9) opgezet. Binnen het programma zijn vijftien projecten geformuleerd die moeten bijdragen aan de versterking van de cyberweerbaarheid in de watersector. De projecten richten zich met name op de cybersecurity van de operationele technologie. Meer informatie kunt u vinden in de eerder genoemde brief10.

  • Vraag 6
    Bent u al in gesprek getreden met gemeenten, provincies en de waterschappen inzake de beveiligingsrisico’s?

    Ja, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector» vindt regelmatig overleg plaats met en tussen de decentrale overheden en betrokken organisaties, zie ook antwoord op vraag 5.

  • Vraag 7
    Zijn er al casussen aangetroffen waarbij er daadwerkelijk problemen zijn ontstaan in het verkeer of de waterkwaliteit doordat er een controlesysteem gehackt is geweest? Zo ja, welke casussen zijn dit?

    Nee, dergelijk casussen in Nederland zijn nog mij niet bekend. De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum.

  • Vraag 8
    Bent u bereid om bijvoorbeeld bij aanbestedingen en inkooptrajecten strengere eisen te stellen inzake beveiligingsupdates en de controle daarop?

    Het is sinds de aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding in 2018 staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen. Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoopcontracten en afspraken maken over de naleving van die contracteisen. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

  • Vraag 9
    Waarom is er in het Deltaprogramma 2022 geen aandacht geschonken aan deze bevolkingsproblematiek?

    Samenwerkingsafspraken over cybersecurity, met thema’s zoals de door u genoemde beveiligingsproblematiek, verlopen via het Bestuursakkoord Water en een apart ingericht programma voor de implementatie daarvan (zie ook antwoord op vraag 6). Op pagina 22 van het Deltafonds 202211 wordt de aanpak van cyberweerbaarheid beschreven.

  • Mededeling - 8 november 2021

    Hierbij informeer ik u over de voortgang van de beantwoording van vragen van het lid Madlener (PVV) over de kwetsbaarheid van bruggen en riolen voor hackers (ingezonden 15 oktober 2021, kenmerk 2021Z18070). De vragen betreffen onderwerpen die afstemming met de departementen Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties, alsmede decentrale overheden vereisen. Hierdoor kunnen de vragen niet binnen de gebruikelijke termijn worden beantwoord. Ik zal u zo spoedig mogelijk de antwoorden op de vragen doen toekomen.


Kamervraag document nummer: kv-tk-2021Z18070
Volledige titel: De kwetsbaarheid van bruggen en riolen voor hackers
Kamerantwoord document nummer: ah-tk-20212022-653
Volledige titel: Antwoord op vragen van het lid Madlener over de kwetsbaarheid van bruggen en riolen voor hackers