Piratenpartij Noord-Holland

voor een vrije informatiesamenleving

beveiliging

Nieuws uit Waterschap AGV: Beveiliging van bruggen, sluizen en website, WOB, klokkenluiders en cursus ‘Actief voor het Waterschap’

door

  • Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, wanneer deze op afstand bediend worden. Het heeft even geduurd, maar de antwoorden zijn inmiddels binnen en zijn redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADA besturingscomponenten toegepast en is er geen sprake van het Internet of Things. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van diverse pentesten in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.
  • 16 mei wordt de website van Waterschap Amstel Gooi en Vecht besproken. Matthijs Pontier zal hierbij aanwezig zijn namens de Piratenpartij en heeft het Dagelijks Bestuur alvast op het onderstaande geattendeerd:
“De website van de gemeente Amsterdam blijkt slechts aan 82% van de minimale veiligheidseisen te voldoen.
Wie zijn zaken regelt via sites van Amsterdam, loopt het gevaar dat zijn identiteit wordt geroofd of zijn gegevens op straat komen te liggen. Gegevens die onderweg zijn tussen je website en de bezoekers, zijn daardoor niet beschermd tegen afluisteren en manipulatie. Een tweede risico is identiteitsdiefstal, waarbij katvangers tussen de gebruiker en de site in gaan zitten en de website kapen

Zie ook dit artikel in het Parool, getiteld ‘Grote hackrisico’s websites gemeente Amsterdam

Ik heb getest hoe dit bij AGV zit en helaas scoort onze website nog slechter dan die van de gemeente Amsterdam. De website van AGV heeft alle problemen die de website van Amsterdam.nl ook heeft, en mist daarnaast o.a nog client-initiated renegotiation bij TLS. Eindscore: 76%

Hetzelfde geldt voor Waternet. Eindscore: 73%

Websites van gemeentes als Venray en Emmen laten zien dat dit beter kan. Zij halen wel een score van 100%. Dit gaat echt om minimale veiligheidsnormen. Ik hoop dat onze website hier ook z.s.m aan kan voldoen. Ik hoor graag op 16 mei (of liefst eerder) met welke termijn we dit in orde kunnen gaan krijgen”
  • Naar aanleiding van slechte behandeling van een klokkenluider in een ander Waterschap, heeft Matthijs Pontier gevraagd of er een klokkenluidersregeling bestaat en of er een regeling is rond het bespieden van internet en emailverkeer van medewerkers van Waternet en Waterschap Amstel, Gooi en Vecht. Uit het verstrekte internet en e-mail protocol blijkt dat internetverkeer 3 dagen wordt gelogd en metadata van emails 1 jaar wordt gelogd. Wanneer een leidinggevende aanleiding het internetverkeer van medewerkers wil bespieden, moet dit via het hoofd ICT en moet het DB van de ondernemingsraad worden ingelicht. Medewerkers hebben het recht om op te vragen welke gegevens over hen zijn opgeslagen, en krijgen bij een aanvraag binnen vier weken bericht. De Klokkenluidersregeling en het internet- en emailprotocol vinden achter de links.
  • Matthijs Pontier heeft verder opheldering vragen gesteld over de kosten voor het opvragen van stukken. Uit de stukken die in eerste instantie werden toegestuurd, leek sprake te zijn van kosten voor de behandeling van het aanvragen van bestuursstukken en archiefstukken. Dit zou in strijd zijn met de Wet Openbaar Bestuur. Naar aanleiding van zijn vragen werd opgehelderd dat dit niet geval is. Suggesties om dit te verhelderen zijn in behandeling.
  • ProDemos organiseert een cursus ‘Actief voor het Waterschap’. Deze cursus is vooral interessant voor mensen die interesse hebben om mee te doen aan de Waterschapsverkiezingen van maart 2019. Lijkt dit je leuk? Stuur dan een berichtje naar matthijs [at] piratenpartij [dot] nl

Waterschap Amstel, Gooi en Vecht beantwoordt vragen over beveiliging van bruggen en sluizen

door

Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, om er zeker van te zijn dat situaties in het plaatje rechts niet plaatsvinden. Het heeft even geduurd, maar de antwoorden zijn binnen en stemmen redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV-objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen “lokale bediening” als backup. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Hieronder lees je de antwoorden van het Waterschap.

Toelichting beantwoording:

De Centrale Object Bediening (COB) bedient op dit moment alleen de objecten in Amsterdam. De op afstand bediende bruggen van AGV worden nog bediend vanuit [locatie x] in Weesp. Bij de beantwoording van de vragen ligt de focus derhalve op de bediening van de AGV objecten op afstand deze locatie.

Eind 2018 begint het groot onderhoud voor de brug Nigtevecht, waarna deze op de COB aangesloten wordt. De twee andere bruggen van AGV volgen daarna.

Vraag 1

Ik heb vorig jaar in een commissievergadering nog vervolgvragen gesteld, die vooral betrekking hadden op de beveiliging van de centrale bediening van bruggen en sluizen. Deze vragen konden niet direct beantwoord worden, maar inmiddels is mij informeel verteld dat deze bediening plaatsvindt via een apart netwerk (en dus niet via het normale internet of het Internet of Things). Kun je deze informatie formeel bevestigen?

Antwoord:

De bediening van AGV objecten op afstand vindt plaats via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADAbesturingscomponenten toegepast en is er geen sprake van het Internet of Things.

Vraag 2

Klopt het dat alle systemen die aangesloten zijn op dit netwerk NIET zijn aangesloten op het reguliere internet?

Antwoord:

Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet.

Vraag 3

Kun je informatie geven over de kwaliteit van de fysieke beveiliging van deze (objecten?)

Antwoord:

Alle objecten die in beheer zijn van Waternet zijn geclassificeerd, zo ook de objecten van AGV die bediend worden vanuit de bedienpost in Weesp. Er worden aanvullende maatregelen genomen indien de classificatie daar aanleiding toe geeft.

Vraag 4

Kun je informatie geven over de resilience (oftewel, mocht door kwaadwillenden of door een menselijke fouten per ongeluk een sluis open worden gezet, welke mogelijkheden zijn dan getroffen om deze sluis zo snel mogelijk weer dicht te zetten en zo eventuele schade te beperken).

Antwoord:

Objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan.

Vraag 5

Zijn er op dit systeem ook penetratietests uitgevoerd, en zo ja, door wie?

Antwoord:

Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van pentesten op de COB, de procesautomatisering van Watersysteem en Afvalwater (CAW) en Drinkwater in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.

Vraag 6

Je geeft aan dat gedetailleerde rapportages niet verstrekt kunnen worden en verwijst naar de attachment ‘AFRONDING UNIEPROGRAMMA INFORMATIEVEILIGHEID’. De informatie hierin is echter wel heel geaggregeerd. Voor onze controlerende rol als AB lijkt het me wel van belang dat we inzicht kunnen krijgen in waar verbetering nodig is. Bijvoorbeeld om te beslissen of we in willen stemmen met centrale bediening van een sluis, maar ook voor tal van andere zaken. Volgens mij moet verstrekking van meer gegevens met enige zorgvuldigheid ook best mogelijk zijn, zonder dat dit een risico vormt.

Antwoord:

Detailvragen kunnen beantwoord worden vanuit het Security team. De rapportages met betrekking tot informatiebeveiliging zijn ter inzage beschikbaar; rapportages met gevoelige informatie verspreidt het security team zo min mogelijk.