Piratenpartij Noord-Holland

voor een vrije informatiesamenleving

security

Algemene Politieke Beschouwingen Waterschap Amstel Gooi en Vecht 2022

door

Zoals jullie weten, is onze fractie het resultaat van een samenwerking tussen De Groenen en de Piratenpartij. Wij staan gezamenlijk voor een groen waterschap, dat biodiversiteit bevordert, het belang van digitale beveiliging begrijpt, duurzaamheid voorop stelt, en bewoners centraal stelt in alles wat we doen.

De digitale transformatie blijft onze aandacht vragen. Er moet nog het nodige gebeuren en daarom staat Waternet nog steeds onder toezicht staat van het ILT. Het blijft van groot belang dat signalen vanaf de werkvloer hierbij serieus worden genomen en een open bedrijfscultuur ontstaat.

Door de oorlog in Oekraïne en de bijbehorende ‘cyberoorlog’ is de digitale dreiging toegenomen. Dit maakt de discussie over naar welk beschermingsniveau we gaan extra urgent.

Het is begrijpelijk dat het verbeterplan vertraging oploopt. Maar de eerdere inschattingen van inverdieneffecten waren ook onder normale omstandigheden veel te optimistisch. Dit vraagt om extra aandacht voor een effectieve sourcing strategie, om onafhankelijker te worden van techreuzen en kosten te kunnen besparen.

In de gemeente Delft is een initiatiefvoorstel over ‘Digitale Soevereiniteit’ aangenomen. Dit voorstel komt met concrete voorstellen om de digitale dienstverlening van de gemeente te verbeteren op basis van deze 5 principes:

1. Vrijheid door opensourcesoftware en contractafspraken

2. Gebruik van open standaarden

3. Inzetten op hergebruik

4. Open tenzij

5. Duurzame samenwerking.

Dit is gebeurd op initiatief van de Piratenpartij die daarin samenwerkte met studentenpartij STIP, en met mede-indieners Onafhankelijk Delft, GroenLinks en D66. Ook Collegepartijen PvdA en VVD hebben erg positief op dit voorstel gereageerd en ermee ingestemd. De kanttekeningen van het College, gingen er vooral over wat Delft als enkele gemeente kan doen. Die kanttekeningen zijn terecht, en onderstrepen het belang dat verschillende overheden hierin samen optrekken. Het zou goed zijn als ons waterschap via de Unie van Waterschappen contact zoekt met andere lokale overheden om onze digitale soevereiniteit veilig te stellen.

Als het CETA-verdrag door de Eerste Kamer komt, komen publieke diensten in het algemeen en onze lokale democratie in het waterschap extra onder druk te staan. 

De discussie over de governance wordt dan extra urgent. We moeten onze rol als opdrachtgever terugpakken en zorgen dat Waternet ons daar ook toe in staat stelt te besturen. We moeten ook veel meer mogelijkheden creëren voor participatie dan nu het geval is, bijvoorbeeld via digitale ideeënplatforms en burgerpanels. In de ideale wereld komen alle initiatieven van burgers en participeren wij in hun ideeën.

De energietransitie vormt een grote uitdaging. Wij zijn daarom teleurgesteld dat aquathermie bij Strandeiland niet doorgaat en zullen ons blijven inzetten voor zoveel mogelijk projecten om te pionieren met TEO en TEA. Zeker omdat andere manieren om de energietransitie vorm te geven ook tegen limieten oplopen (bijvoorbeeld windmolens in de buurt van woningen, wat ten koste gaat van draagvlak, of in natuurgebieden, ten koste van biodiversiteit).

Als waterschap kunnen we een positief verschil maken op het gebied van biodiversiteit. We juichen samenwerking op dit gebied erg toe; met overheden, bedrijven en stichtingen, tot kennisuitwisseling met grassroots-organisaties en bewoners.

Waterkwaliteit voldoet nog te vaak niet aan de normen. Dat kan en moet beter. Dit vraagt niet alleen om een ambitieus KRW-implementatieplan, en om aanvullende maatregelen voor de kleine wateren.

We vinden het natuurlijk fijn voor de boeren dat hun belastingtarieven dalen, maar de principes van ‘de profijt hebben en de vervuiler betalen’ worden nog onvoldoende toegepast. Dat de grootste belastingbetaler in de verontreinigingsheffing het productieproces heeft aangepast, waardoor er sprake is van veel minder vervuilende lozing op van het oppervlaktewater, bewijst dat het loont om grote vervuilers financieel te prikkelen om te verduurzamen.

Voor ons is het onacceptabel dat bewoners, en met name de eenpersoonshuishoudens, zoveel meer belasting moeten betalen, terwijl vervuilende industrie de grootste kostenveroorzaker is en het meeste profijt heeft van onze activiteiten. Wij zullen ons blijven inzetten voor een progressief belastingstelsel, waarin vervuilende industrie meer gaat betalen, en bewoners minder. 

We kijken ernaar uit om komend jaar, samen met het AB, DB en bewoners, Waterschap Amstel Gooi en Vecht mooier, beter en eerlijker te maken.

UPDATES: Digitale veiligheid Waterschap AGV

door

UPDATE 2019-10-29: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is nu medegedeeld dat hier serieus op in zal worden gegaan, maar dat dit niet binnen de maximale termijn van 30 dagen zal gebeuren. De vragen zullen meegenomen worden in een extern onderzoek. Het Dagelijks Bestuur zal zich pas over de vragen buigen nadat een extern onderzoek is uitgevoerd. Op deze manier wordt belangrijke informatie over de beveiliging van vitale infrastructuur lang acchtergehouden voor het Algemeen Bestuur en bewoners. Wij zijn daarom van plan ons te beroepen op de Wet Openbaar Bestuur (WOB). Hieronder kun je onze inbreng nalezen:

Wij hebben een mail ontvangen dat het DB heeft besloten dat onze vragen over digitale beveilifing niet beantwoord gaan worden, totdat het externe onderzoek uitgevoerd en afgerond is. Dit verbaast en betreurt ons. Let wel, dit gaat niet alleen om technische vragen. We vragen ook simpelweg om conclusies en aanbevelingen uit rapporten. Die zouden toch gewoon opgestuurd kunnen worden? Zelfs de vragen over wie het onderzoek uitvoert en wanneer worden pas achteraf beantwoord? 

Dit was een uitgelezen kans om te laten zien hoe Waternet problemen oplost. Fouten maken is menselijk. Door hoe je met fouten omgaat laat je zien wat voor organisatie je bent.

Als AB moet we geïnformeerd worden om onze controlerende taak te kunnen vervullen. Ook bezorgde burgers hebben recht op dit soort informatie. Daarvoor bestaat de Wet Openbaar Bestuur Daarom doen we deze mededeling: Alle vragen om rapporten mogen gezien worden als WOB-verzoek, daarbij hoort termijn van vier weken na eerste vraag om documenten te verstrekken. Na deze periode kan worden overgegaan tot ingebrekestelling.”

UPDATE 15-10-2020: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is informeel medegedeeld dat we niet op gedetailleerde antwoorden hoefden te rekenen. In de eerstvolgende vergadering hebben we een pleidooi gehouden om dit juist wel te doen, omdat dit belangijk is voor een goede vertrouwensband tussen bestuur en bewoners. Hierop is alsnog toegezegd dat er serieus op de vragen in zal worden gegaan. Hieronder kun je onze inbreng nalezen:

“Wij hebben begrepen dat er wat onrust is ontstaan door de vragen die wij hebben gesteld over digitale veiligheid. Daarom geven wij graag wat achtergrond over waarom wij deze vragen hebben gesteld.

Als bevindingen van FTM zijn te weerleggen, is dit simpel aan te tonen door documentatie hierover te verstrekken. Wij roepen op dit aan te tonen, zodat bewoners gerustgesteld kunnen worden. Bewoners hebben het recht om te zien hoe onze organisatie dit urgente probleem aanpakt.

Na zo’n vernietigend artikel is het essentieel voor het vertrouwen om te laten zien dat je de kwestie serieus neemt en alles doet om dit zo snel mogelijk op te lossen en dit soort situaties in de toekomst te voorkomen. De summiere brief van Roelof Kruize en geluiden uit de organisatie geven hier geen enkel blijk van en wekken de suggestie dat men vooral bezig is elkaar uit de wind te houden, en veel aanbevelingen nog steeds niet opgelost zijn en kwetsbaarheden dus nog steeds bestaan.

Extra kwalijk is dat de brief een penetratietest die eerder dit jaar is uitgevoerd, waarmee ethische hackers ingehuurd worden om onze digitale beveiliging te testen, in de brief onvermeld is gelaten. Zeker aangezien Waternet juist heel slecht uit deze test kwam.

Het is belangrijk dat we zo snel mogelijk inzicht krijgen in tenminste de conclusies en aanbevelingen van deze en andere recente rapporten, en hoe de aanbevelingen al zijn en zullen worden opgevolgd.

Wel worden enkele problemen na publicatie van het artikel alsnog opgevolgd. Sommige van deze aanbevelingen werden al drie jaar geleden gedaan. Je kunt je afvragen waarom na deze publicatie deze aanbevelingen ineens wel belangrijk genoeg zijn..

Fouten die gemaakt worden door individuen, zijn meestal het gevolg van de structuur waarin de organisatie werkt. Wij hopen dat serieus wordt gekeken hoe de structuur van de organisatie kan worden verbeterd, zodat security niet langer een ondergeschoven kindje is, en dit soort problemen in de toekomst kunnen worden voorkomen.

Ons is verteld dat er onrust binnen de organisatie is ontstaan over onze rol bij het naar buiten komen van deze kwestie. Mij is aangeraden om hier nu expliciet te benoemen dat ik niet de bron ben geweest die FTM op dit spoor heeft gebracht. Wij hebben natuurlijk wel eerder dit onderwerp geagendeerd, maar dit was enkel binnen het waterschap zelf. Pas na publicatie van dit artikel contact gezocht met FTM voor aanvullende informatie.

Dat juist hier onrust over ontstaat, vinden wij exemplarisch voor hoe de organisatie dit probleem lijkt op te pikken, en bevestigt het beeld dat we vanuit de organisatie krijgen. Er is een klopjacht geopend op wie FTM getipt heeft, waardoor een angstcultuur is ontstaan.

Dit is precies de verkeerde reactie. De mensen die dit aan de kaak stellen verdienen juist een pluim, omdat ze er nu voor zorgen dat kritische aanbevelingen die soms jarenlang genegeerd worden nu uiteindelijk worden opgepikt, zodat de digitale beveiliging van Waternet en onze vitale infrastructuur, zoals drinkwatervoorziening, waterzuivering, gemalen, bruggen, sluizen en waterkeringen zo spoedig mogelijk op orde is.”

Waterschap Amstel, Gooi en Vecht beantwoordt vragen over beveiliging van bruggen en sluizen

door

Matthijs Pontier heeft vorig jaar vragen gesteld over de beveiliging van bruggen en sluizen, om er zeker van te zijn dat situaties in het plaatje rechts niet plaatsvinden. Het heeft even geduurd, maar de antwoorden zijn binnen en stemmen redelijk geruststellend. Uit de antwoorden blijkt dat de bediening van AGV-objecten op afstand plaatsvindt via een apart netwerk waarop alleen Waternet toegang heeft. Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet. Alle objecten kennen “lokale bediening” als backup. Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Hieronder lees je de antwoorden van het Waterschap.

Toelichting beantwoording:

De Centrale Object Bediening (COB) bedient op dit moment alleen de objecten in Amsterdam. De op afstand bediende bruggen van AGV worden nog bediend vanuit [locatie x] in Weesp. Bij de beantwoording van de vragen ligt de focus derhalve op de bediening van de AGV objecten op afstand deze locatie.

Eind 2018 begint het groot onderhoud voor de brug Nigtevecht, waarna deze op de COB aangesloten wordt. De twee andere bruggen van AGV volgen daarna.

Vraag 1

Ik heb vorig jaar in een commissievergadering nog vervolgvragen gesteld, die vooral betrekking hadden op de beveiliging van de centrale bediening van bruggen en sluizen. Deze vragen konden niet direct beantwoord worden, maar inmiddels is mij informeel verteld dat deze bediening plaatsvindt via een apart netwerk (en dus niet via het normale internet of het Internet of Things). Kun je deze informatie formeel bevestigen?

Antwoord:

De bediening van AGV objecten op afstand vindt plaats via een apart netwerk waarop alleen Waternet toegang heeft. Binnen de objectbesturing worden alleen ICS/SCADAbesturingscomponenten toegepast en is er geen sprake van het Internet of Things.

Vraag 2

Klopt het dat alle systemen die aangesloten zijn op dit netwerk NIET zijn aangesloten op het reguliere internet?

Antwoord:

Geen van de besturingscomponenten heeft toegang van of naar het reguliere internet.

Vraag 3

Kun je informatie geven over de kwaliteit van de fysieke beveiliging van deze (objecten?)

Antwoord:

Alle objecten die in beheer zijn van Waternet zijn geclassificeerd, zo ook de objecten van AGV die bediend worden vanuit de bedienpost in Weesp. Er worden aanvullende maatregelen genomen indien de classificatie daar aanleiding toe geeft.

Vraag 4

Kun je informatie geven over de resilience (oftewel, mocht door kwaadwillenden of door een menselijke fouten per ongeluk een sluis open worden gezet, welke mogelijkheden zijn dan getroffen om deze sluis zo snel mogelijk weer dicht te zetten en zo eventuele schade te beperken).

Antwoord:

Objecten kennen de zogenaamde “lokale bediening”. Is een object bijvoorbeeld niet bereikbaar door een verstoring in het netwerk, dan kan het object nog steeds lokaal bediend worden. Dit betekent dat er een bedienaar ter plaatse moet gaan.

Vraag 5

Zijn er op dit systeem ook penetratietests uitgevoerd, en zo ja, door wie?

Antwoord:

Waternet voert (o.a.) penetratietesten uit bij het zoeken naar kwetsbaarheden. Er ligt een plan voor het uitvoeren van pentesten op de COB, de procesautomatisering van Watersysteem en Afvalwater (CAW) en Drinkwater in april en mei. Het netwerk van de bedienpost in Weesp wordt meegenomen in dit plan.

Vraag 6

Je geeft aan dat gedetailleerde rapportages niet verstrekt kunnen worden en verwijst naar de attachment ‘AFRONDING UNIEPROGRAMMA INFORMATIEVEILIGHEID’. De informatie hierin is echter wel heel geaggregeerd. Voor onze controlerende rol als AB lijkt het me wel van belang dat we inzicht kunnen krijgen in waar verbetering nodig is. Bijvoorbeeld om te beslissen of we in willen stemmen met centrale bediening van een sluis, maar ook voor tal van andere zaken. Volgens mij moet verstrekking van meer gegevens met enige zorgvuldigheid ook best mogelijk zijn, zonder dat dit een risico vormt.

Antwoord:

Detailvragen kunnen beantwoord worden vanuit het Security team. De rapportages met betrekking tot informatiebeveiliging zijn ter inzage beschikbaar; rapportages met gevoelige informatie verspreidt het security team zo min mogelijk.