UPDATE 2019-10-29: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is nu medegedeeld dat hier serieus op in zal worden gegaan, maar dat dit niet binnen de maximale termijn van 30 dagen zal gebeuren. De vragen zullen meegenomen worden in een extern onderzoek. Het Dagelijks Bestuur zal zich pas over de vragen buigen nadat een extern onderzoek is uitgevoerd. Op deze manier wordt belangrijke informatie over de beveiliging van vitale infrastructuur lang acchtergehouden voor het Algemeen Bestuur en bewoners. Wij zijn daarom van plan ons te beroepen op de Wet Openbaar Bestuur (WOB). Hieronder kun je onze inbreng nalezen:
Wij hebben een mail ontvangen dat het DB heeft besloten dat onze vragen over digitale beveilifing niet beantwoord gaan worden, totdat het externe onderzoek uitgevoerd en afgerond is. Dit verbaast en betreurt ons. Let wel, dit gaat niet alleen om technische vragen. We vragen ook simpelweg om conclusies en aanbevelingen uit rapporten. Die zouden toch gewoon opgestuurd kunnen worden? Zelfs de vragen over wie het onderzoek uitvoert en wanneer worden pas achteraf beantwoord?
Dit was een uitgelezen kans om te laten zien hoe Waternet problemen oplost. Fouten maken is menselijk. Door hoe je met fouten omgaat laat je zien wat voor organisatie je bent.
Als AB moet we geïnformeerd worden om onze controlerende taak te kunnen vervullen. Ook bezorgde burgers hebben recht op dit soort informatie. Daarvoor bestaat de Wet Openbaar Bestuur Daarom doen we deze mededeling: Alle vragen om rapporten mogen gezien worden als WOB-verzoek, daarbij hoort termijn van vier weken na eerste vraag om documenten te verstrekken. Na deze periode kan worden overgegaan tot ingebrekestelling.”
UPDATE 15-10-2020: Naar aanleiding van dit artikel op Follow The Money heeft Matthijs Pontier vragen gesteld over de digitale veiligheid in het Waterschap. Hierop is informeel medegedeeld dat we niet op gedetailleerde antwoorden hoefden te rekenen. In de eerstvolgende vergadering hebben we een pleidooi gehouden om dit juist wel te doen, omdat dit belangijk is voor een goede vertrouwensband tussen bestuur en bewoners. Hierop is alsnog toegezegd dat er serieus op de vragen in zal worden gegaan. Hieronder kun je onze inbreng nalezen:
“Wij hebben begrepen dat er wat onrust is ontstaan door de vragen die wij hebben gesteld over digitale veiligheid. Daarom geven wij graag wat achtergrond over waarom wij deze vragen hebben gesteld.
Als bevindingen van FTM zijn te weerleggen, is dit simpel aan te tonen door documentatie hierover te verstrekken. Wij roepen op dit aan te tonen, zodat bewoners gerustgesteld kunnen worden. Bewoners hebben het recht om te zien hoe onze organisatie dit urgente probleem aanpakt.
Na zo’n vernietigend artikel is het essentieel voor het vertrouwen om te laten zien dat je de kwestie serieus neemt en alles doet om dit zo snel mogelijk op te lossen en dit soort situaties in de toekomst te voorkomen. De summiere brief van Roelof Kruize en geluiden uit de organisatie geven hier geen enkel blijk van en wekken de suggestie dat men vooral bezig is elkaar uit de wind te houden, en veel aanbevelingen nog steeds niet opgelost zijn en kwetsbaarheden dus nog steeds bestaan.
Extra kwalijk is dat de brief een penetratietest die eerder dit jaar is uitgevoerd, waarmee ethische hackers ingehuurd worden om onze digitale beveiliging te testen, in de brief onvermeld is gelaten. Zeker aangezien Waternet juist heel slecht uit deze test kwam.
Het is belangrijk dat we zo snel mogelijk inzicht krijgen in tenminste de conclusies en aanbevelingen van deze en andere recente rapporten, en hoe de aanbevelingen al zijn en zullen worden opgevolgd.
Wel worden enkele problemen na publicatie van het artikel alsnog opgevolgd. Sommige van deze aanbevelingen werden al drie jaar geleden gedaan. Je kunt je afvragen waarom na deze publicatie deze aanbevelingen ineens wel belangrijk genoeg zijn..
Fouten die gemaakt worden door individuen, zijn meestal het gevolg van de structuur waarin de organisatie werkt. Wij hopen dat serieus wordt gekeken hoe de structuur van de organisatie kan worden verbeterd, zodat security niet langer een ondergeschoven kindje is, en dit soort problemen in de toekomst kunnen worden voorkomen.
Ons is verteld dat er onrust binnen de organisatie is ontstaan over onze rol bij het naar buiten komen van deze kwestie. Mij is aangeraden om hier nu expliciet te benoemen dat ik niet de bron ben geweest die FTM op dit spoor heeft gebracht. Wij hebben natuurlijk wel eerder dit onderwerp geagendeerd, maar dit was enkel binnen het waterschap zelf. Pas na publicatie van dit artikel contact gezocht met FTM voor aanvullende informatie.
Dat juist hier onrust over ontstaat, vinden wij exemplarisch voor hoe de organisatie dit probleem lijkt op te pikken, en bevestigt het beeld dat we vanuit de organisatie krijgen. Er is een klopjacht geopend op wie FTM getipt heeft, waardoor een angstcultuur is ontstaan.
Dit is precies de verkeerde reactie. De mensen die dit aan de kaak stellen verdienen juist een pluim, omdat ze er nu voor zorgen dat kritische aanbevelingen die soms jarenlang genegeerd worden nu uiteindelijk worden opgepikt, zodat de digitale beveiliging van Waternet en onze vitale infrastructuur, zoals drinkwatervoorziening, waterzuivering, gemalen, bruggen, sluizen en waterkeringen zo spoedig mogelijk op orde is.”