‘Cyberweerbaarheid IACS in Nederland onvoldoende op orde’

De Cyber Security Raad vindt dat er werk aan de winkel is om de cyberweerbaarheid van Industrial Automation & Control Systems (IACS) in de vitale infrastructuur op orde te krijgen en dat organisaties hier ondersteuning bij moeten krijgen. De Nederlandse samenleving moet kunnen vertrouwen op de veiligheid en continuïteit van de vitale infrastructuur. IACS zijn meet- en regelsystemen die er bijvoorbeeld voor zorgen dat onze sluizen en bruggen functioneren, energie en gas worden gedistribueerd, drinkwater wordt gereinigd, nucleair materiaal wordt verwerkt, treinen op bestemming komen, containers worden vervoerd en liften functioneren.

Elektriciteitscentrale

“Daarmee zijn IACS cruciaal voor de veiligheid en continuïteit van de vitale infrastructuur in Nederland. We moeten erop kunnen vertrouwen dat de cyberweerbaarheid van IACS op orde is. Er is voortdurend aandacht nodig om de IACS van de vitale processen op orde te houden of te brengen”, stelt Claudia de Andrade-de Wit, lid van de raad namens CIO Platform en CIO, director Digital & IT Port of Rotterdam en bestuurslid CIO Platform.

De conclusie van de raad is mede gebaseerd op onderzoek dat Gartner in opdracht van de raad heeft uitgevoerd en is de strekking van het Advies inzake digitale veiligheid van Industrial Automation & Control Systems (IACS) in de vitale infrastructuur van Nederland dat de raad vandaag heeft gepubliceerd en aangeboden aan de betrokken bewindspersonen en toezichthouders. Het advies bevat drie maatregelen die in onderlinge samenhang zorg moeten dragen voor meer inzicht, overzicht en robuustheid van de IACS en daarmee de digitale veiligheid van onze samenleving.

Het Cybersecuritybeeld Nederland 2019 toont aan dat maatschappelijke en economisch ontwrichting op de loer ligt als gevolg van de permanente digitale dreigingen. Een verstoring van de vitale infrastructuur kan grote ontwrichtende gevolgen hebben voor de samenleving digitalisering. In een recent rapport concludeert de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) dat we hier onvoldoende op zijn voorbereid. Zo blijkt uit onderzoek van de Algemene Rekenkamer dat de digitale weerbaarheid van onze waterkeringen op dit moment niet conform planning loopt, terwijl de overheid hierin een regie- en voorbeeldrol heeft. De toenemende connectiviteit van IACS in combinatie met verouderde systemen (legacy) maken de vitale infrastructuur kwetsbaar voor onopzettelijke uitval en voor kwaadwillende actoren. Het is dan ook voorstelbaar dat er in de toekomst gecoördineerde, gelijktijdige aanvallen zullen plaatsvinden op de vitale infrastructuur. In Nederland waarschuwt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) dat statelijke actoren proberen om zich toegang te verschaffen tot onze vitale processen.

In het kader van de bescherming van onze vitale infrastructuur spelen IACS een essentiële rol. Op dit moment gaat vooral aandacht uit naar ICT en hebben IACS nauwelijks prioriteit, terwijl de levensduur van IACS vele malen langer is en de systemen voornamelijk worden ingezet om de infrastructuur van Nederland te bedienen. Omdat IACS vaak indirect gekoppeld zijn aan het internet, kan een eventuele digitale aanval grote gevolgen hebben. Het uitbuiten van kwetsbaarheden in IACS kan zelfs tot grote economische schade en maatschappelijke ontwrichting leiden. De huidige Corona-crisis onderstreept de urgentie van cybersecurity; vitale diensten moeten kunnen blijven functioneren.

Om alle maatregelen uit het advies goed door te kunnen voeren benadrukt Claudia de Andrade-de Wit dat het belangrijk is om de samenwerking tussen alle betrokken partijen op het gebied van cybersecurity te verstevigen. “De raad ziet in zijn algemeenheid graag dat er meer regie op samenwerking gaat komen om onze cyberweerbaarheid te verhogen en wil dat het komende kabinet daarop gaat inzetten in combinatie met de invoering van een meerjarenprogrammering en dekkende financiering.”