Tunnels, bruggen, sluizen en waterkeringen kunnen beter worden beveiligd tegen cyberaanvallen. Dat constateert de Algemen Rekenkamer in een rapport.

Vitale waterwerken functioneren op automatiseringssystemen die veelal stammen uit de jaren 80 en 90 van de vorige eeuw. Deze zijn in de loop der jaren gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen.

Rijkswaterstaat de afgelopen jaren zelf van alle tunnels, bruggen, sluizen et cetera onderaocht en vastgesteld welke cyberveiligheidsmaatregelen moeten worden genomen. Maar die maatregelen zijn (nog) niet allemaal uitgevoerd. Iets meer dan de helft ervan was begin 2018 wel al uitgevoerd, maar Rijkswaterstaat ziet niet voldoende toe op de uitvoering van het resterend deel en heeft geen actueel overzicht van de overgebleven maatregelen.

Rijkswaterstaat dwingt de uitvoering van openstaande maatregelen niet af bij de eigen regionale organisatieonderdelen. Ook maakt cybersecurity nog geen volwaardig onderdeel uit van reguliere inspecties. De Algemene Rekenkamer constateert dan ook dat de minister van Infrastructuur en Waterstaat nog stappen moet zetten om aan de eigen doelstellingen voor cybersecurity te voldoen. De minister heeft in een reactie aangevene dat ze de conclusies onderschrijft en de aanbevelingen van de Algemene Rekenkamer overneemt.

In samenwerking met Rijkswaterstaat werd een kwetsbaarheidstest uitgevoerd bij een van de vitale waterwerken. Daarbij wisten de ingehuurde ethische hackers het object fysiek binnen te dringen en zich toegang tot de controlekamer te verschaffen. De aanvallers werden echter wel direct opgemerkt door het SOC toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.