Waarom de veiligheid van sluizen en pompstations een zorg blijft

Gemeenten moeten veel meer doen aan het versterken van de technologie die de werking van sluizen, bruggen en gemalen garandeert. Dat blijkt uit een informatieblad van de Dienst Informatiebeveiliging Gemeenten (IBD), waarin sprake is van een ‘moeilijke vraag’.

Het document beschrijft waar gemeenten met IACS (Industrial Automation and Control Systems) nog fouten maken en kunnen verbeteren. Ook wordt beschreven hoe gemeenten hun veiligheid beter kunnen organiseren. Daarom gaat het IBD de komende maanden samen met de Expertgroep Gemeentelijke Procesautomatisering en RWS aan de slag om een ​​aanpak te ontwikkelen.

IACS verwijst naar het samenspel van sensoren, actuatoren en besturingstechnologie waarmee gemeenten sluizen, gemalen en bruggen, noodstroomvoorzieningen, parkeerterreinen, sensoren en de bediening van verkeersregelsystemen kunnen bedienen.

Taakverdeling is een lastig onderwerp

De IDB omschrijft de taakverdeling tussen gemeenten bij de bescherming van het GBCS als ‘een lastig vraagstuk’. Duidelijk is dat de CISO taken op het gebied van de gemeentelijke ICT op zich neemt. “Vaak heeft het IACS hier niet over nagedacht. Traditioneel kunnen verschillende politieke afdelingen van de gemeente een rol spelen in het GBCS en vaak alles zelf organiseren. Er bestaat binnen de gemeente vaak geen duidelijk beeld over het gebruik van het GBCS, wie de eigenaar is, hoe het wordt beheerd en ten slotte de veiligheid ervan.’ Volgens de IBD is het essentieel om de controle over de IACS-beveiliging aan de CISO toe te vertrouwen.

Volgens de IBD ontstaan ​​de belangrijkste risico’s onder meer doordat de gemeentelijke CISO niet meedoet aan het IACS. Basisbeveiliging is niet voldoende en er worden te weinig maatregelen genomen in de beheeromgeving. Een veel voorkomend misverstand is dat gemeenten ervan uitgaan dat de fysieke veiligheid voldoende is. Daarnaast worden ook programmeerfouten en slechte en onvoldoende tests genoemd die tot kwetsbaarheden leiden.

Verbetertips

In het document adviseert DE IBD gemeenten onder meer om te inventariseren waar IACS in de gemeente wordt gebruikt en wie er eigenaar van is. Het is dus belangrijk om GBCS-projecten aan te wijzen en vooraf beveiligingseisen voor nieuwe GBCS vast te stellen. Bestaande kwetsbaarheden en ontbrekende beveiligingsmaatregelen moeten worden onderzocht. Ten slotte is het belangrijk om alle GBCS te verbinden met gemeentelijk kwetsbaarheidsbeheer, patchbeheer en risicobeheer.

Volgens de IDB kan het belang van IACS-beveiliging niet worden onderschat. ‘Gebreken hierin kunnen leiden tot verstoringen die directe impact hebben op de fysieke wereld en het welzijn van burgers. Risico’s variëren van cyberaanvallen tot programmeerfouten en verkeerd gebruik van beheeromgevingen.’