Algemene Rekenkamer zet hackers in bij onderzoek

Voor het eerst in haar lange geschiedenis heeft de Algemene Rekenkamer begin 2019 hackers ingezet bij een onderzoek. De hackers zijn ingezet bij: Digitale dijkverzwaring: cybersecurity en vitale waterwerken.

Het testen van de cybersecurity van vitale waterwerken bestond uit een mengeling van traditionele methoden (gesprekken voeren en stukken bestuderen) en in de praktijk toetsen met hulp van ethische hackers. Is dat voor herhaling vatbaar?

Onderzoeker Christiaan Luteijn: “Deze voor de Algemene Rekenkamer nieuwe manier van werken is zeker voor herhaling vatbaar. We hebben veel geleerd wat we kunnen gebruiken in volgende onderzoeken naar cybersecurity en informatiebeveiliging. Van het zoeken naar een partij met de juiste kennis en kunde tot de praktische uitvoering van de verschillende testen.”

Ruimte en vertrouwen

“Persoonlijk heb ik ook veel geleerd”, vertelt Luteijn. “De onderzoekers in ons team waren elk verantwoordelijk voor een deelonderwerp. Ik werk pas een jaar bij de Algemene Rekenkamer en kreeg meteen de ruimte en het vertrouwen om zelf invulling te geven aan ‘mijn’ deelonderwerp: detectie van cyberaanvallen. Tegelijk kon ik waar nodig terugvallen op ervaren onderzoekers binnen het team. Ik vond het bovendien heel eervol dat ik, hoewel dit mijn eerste onderzoek was voor de Algemene Rekenkamer, aan tafel zat bij de minister van Infrastructuur en Waterstaat (IenW) voor de presentatie van het onderzoeksrapport en dat ik de briefing voor de vaste Kamercommissie in de Tweede Kamer mocht doen.”

IT-onderzoeker

De Algemene Rekenkamer wil onderzoek doen dat past in deze tijd. Dat vertaalt zich in de onderwerpkeuze (IT, innovatiebeleid en cybersecurity) en in de methoden (data, inzet van ethische hackers etc.). Voor Christiaan Luteijn was dat precies de reden om te solliciteren bij de Algemene Rekenkamer: “Ik heb Informatiekunde gestudeerd aan de UvA en altijd gewerkt op het snijvlak van organisatiekunde en IT, vooral binnen de overheid. Onderzoek doen vond ik altijd al een interessant onderdeel van mijn werk; ik heb dan ook meteen gereageerd toen ik hoorde dat de Algemene Rekenkamer IT-onderzoekers zocht.”

Industriële automatisering

De Nederlandse waterwerken zijn in de vorige eeuw geautomatiseerd met industriële automatisering: computers toegespitst op één specifieke taak. Deze computers zijn op enig moment met elkaar verbonden in netwerken om bijvoorbeeld een sluis op afstand te kunnen bedienen of het waterpeil te checken. Daarmee zijn deze systemen, opgezet in een tijd dat cybersecurity nauwelijks rol speelde, kwetsbaar geworden voor aanvallen van buitenaf.

Detectie en respons

Luteijn: “In ons onderzoek hebben we ontdekt dat er een grens is aan preventieve beveiliging van deze oude systemen. Detectie en respons zijn dus heel belangrijk: gaan alle alarmbellen af als er iemand binnendringt, fysiek of digitaal?”

Om daar achter te komen, zijn voor dit onderzoek in nauwe samenwerking met Rijkswaterstaat hackers ingezet. Luteijn: “We hebben een zogenaamde pentest laten doen, waarbij een hacker – op ons verzoek - inbreekt in het systeem en we hebben een inlooptest laten doen. Bij deze tweede test is het een hacker gelukt om zichzelf naar binnen te praten bij een vitaal waterwerk. Deze testen zijn heel leerzaam voor de organisatie, niet om iemand af te rekenen maar om te leren hoe je hogere drempels kunt opwerpen.”

Christiaan Luteijn: “Ik vond het bijzonder dat er in de Tweede Kamer een plenair debat gewijd is aan de uitkomsten van dit onderzoek”

Vooraf goed regelen

Er komt nogal wat kijken bij een pentest. De juridische aansprakelijkheid en vrijwaring moeten goed geregeld zijn. Er kan altijd iets mis gaan waardoor schade ontstaat. Luteijn: “Wat als een systeem stilvalt omdat een hacker binnendringt? Bovendien is de persoon die je inhuurt strafbaar, hij doet iets wat niet mag. Hij moet dus van iemand op het hoogste niveau een vrijwaring krijgen om een strafbaar feit uit te voeren.

Daar komt ook een ander praktisch punt om de hoek kijken. Enerzijds moet zo’n pentest geheim zijn, je wilt niet dat iedereen weet dat er een hacker komt. Anderzijds wil je ook niet dat als een hacker tegen de lamp loopt, volledig opgeschaald wordt, dat de minister bij wijze van spreken uit bed wordt gebeld.

Bovendien moet je van tevoren goed nadenken over de scope van je onderzoek, ofwel hoeveel informatie je de hacker meegeeft. Ga je uit van een hacker die van buitenaf komt of onderzoek je wat er gebeurt als een gefrustreerde werknemer met kennis van de systemen een aanval uitvoert?”

Conclusies

Uit het Rekenkameronderzoek is gebleken dat Rijkswaterstaat de afgelopen jaren veel werk heeft verzet om vitale infrastructuur integraal te beveiligen, maar dat het einddoel nog niet is bereikt. Minister Van Nieuwenhuizen van IenW onderschrijft in haar reactie deze hoofdconclusie: “Uw conclusies en aanbevelingen zie ik als een ondersteuning van de reeds door mij in gang gezette strategie om de cybersecurity van IenW verder te verbeteren.” In het Kamerdebat benadrukte de minister dat een crisis altijd op een onverwacht moment komt: “het beste wat je kunt doen, is oefenen, oefenen. Interdepartementaal en binnen het ministerie.” 

Christiaan Luteijn: “Ik vond het bijzonder dat er in de Tweede Kamer een plenair debat gewijd is aan de uitkomsten van dit onderzoek. Dat komt maar weinig voor. Ook de media hebben er ruim aandacht aan besteed. Maar het belangrijkste is natuurlijk de vraag, wat gaat de politiek ermee doen.”

Reeks van drie

Dit onderzoek is het eerste in een reeks waarin de Algemene Rekenkamer de cybersecurity van vitale sectoren in de praktijk toetst. Sectoren die als ze tot stilstand komen, grote maatschappelijke ontwrichting tot gevolg hebben.