Zeeuwse gemalen te hacken via SCADA-lek - update

De infrastructuur van de Zeeuwse gemeente Veere blijkt kwetsbaar. Dit bevestigt de gemeente naar aanleiding van een onthulling van actualiteitenrubriek EenVandaag. Dinsdagavond werd in de uitzending aangetoond hoe slecht beveiligd de SCADA-systemen voor de riolering en gemalen in de gemeente zijn. Hackers kunnen die systemen op afstand manipuleren.

Jacques Bults, senior beleidsmedewerker Openbare Ruimte van de gemeente Veere, reageert tegenover Webwereld niet blij te zijn met de kwetsbaarheid van het systeem. De systemen zijn aangelegd door het bedrijf Xylem, dat zich richt op watervraagstukken en opereert in 150 landen. "Het is een blamage en we zijn er absoluut niet gelukkig mee. De overheid huurt een bedrijf in die met dat soort systemen bekend is. Vervolgens blijkt de beveiliging niet voldoende", aldus Bults.

IP-adres rioolgemaal

Bults vertelt dat het probleem bij de SCADA-systemen van de rioolpompen van de gemeente zat. Deze rioolgemalen pompen water bij een te hoog niveau weg uit stadswijken. De rioolgemalen staan met elkaar in contact via internet en zijn verbonden met een centrale hoofdcomputer.

"De rioolgemalen hebben allemaal een ip-adres en waren te benaderen via internet. Wat er is gebeurd is dat er mensen binnen zijn gekomen op de communicatielijnen van de rioolgemalen." Op zich niet erg, volgens Bults.

"Wanneer er een storing in de communicatie zit wordt dat direct opgemerkt door de hoofdcomputer, die één keer per dag controleert of de communicatie met de gemalen in orde is. De rioolgemalen opereren overigens ook autonoom. Mocht de communicatie worden afgesloten dan blijven de pompen bij een bepaald waterniveau het water afvoeren."

Moeilijk inbreken

Er is dus niet ingebroken in de rioolgemalen zelf, geeft Bults aan. Experts verklaren tegenover EenVandaag dat het "kinderlijk eenvoudig is" om de controle over te nemen. Dat spreekt Bults tegen. "Ze stonden aan de voordeur, maar om binnen te komen in het SCADA-systeem van een rioolgemaal is lastiger dan nu wordt voorgespiegeld. De hackers moeten de taal waarmee het systeem is opgebouwd snappen. Dat is anders dan internettaal. Theoretisch kan het wel, maar in de praktijk is het erg lastig."

Er zijn volgens hem maar weinig mensen die de taal waarmee het systeem van het rioolgemaal is opgebouwd snappen. "Bijvoorbeeld mensen van het bedrijf Xylem weten hoe ze er moeten binnenkomen."

Geen nood aan de man

Eric Luiijf, Scada-expert, vertelt tegen EenVandaag dat je geen ervaren hacker hoeft te zijn op de systemen binnen te komen. 'Je hoeft hier helemaal niet slim voor te zijn, dat is juist het gevaarlijke'.

Mochten er hackers binnenkomen in een rioolpomp dan is er nog geen nood aan de man. In het ergste geval sluiten ze de pomp af, volgens Bults. "Wat er dan gebeurt, is dat het rioolwater niet kan worden weggepompt en op het oppervlaktewater komt. Dat kan stank of milieuverontreiniging geven. Maar tot die tijd heeft de hoofdcentrale allang gesignaleerd dat er wat aan de hand is."

Dichtgetimmerd

Volgens de gemeente is inmiddels alles zodanig dichtgetimmerd, dat het echt onmogelijk is om erin tekomen. "De rioolgemalen communiceren nog steeds met elkaar, maar zijn niet meer toegankelijk via internet." Toch had hij niet verwacht dat de beveiliging zo slecht zou zijn. Hij denkt dat meer gemeenten met dezelfde problemen kampen. "Ik weet dat meer rioolgemalen in Nederland van Xylem op dezelfde manier werken."

De beveiliging van SCADA-systemen is een groeiend probleem wereldwijd. Eerder werd al bekend dat een sporthal in Spijkenisse te hacken was. SCADA staat voor Supervisory Control and Data Acquisition en is software die wordt gebruikt om machines en systemen aan te sturen in industriële complexen als waterleidingsystemen, kerncentrales, olieplatformen en gasinstallaties. Door het hacken van SCADA kan allerlei kritieke infrastructuur onklaar worden gemaakt.

Xylem kon niet direct reageren op een verzoek om commentaar.

Update: Uit onderstaande uitzending van EenVandaag blijkt dat de problemen veel verstrekkender zijn dan Bults ze afschildert. Hackers kunnen bijvoorbeeld polders laten onderlopen, met alle gevolgen van dien. Zowel de VVD als D66 vraagt opheldering aan minister Opstelten van Veiligheid en Justitie en minister Spies van Binnenlandse Zaken over de mogelijk verstrekkende gevolgen.

Het Nationaal Cyber Security Centrum (NCSC) heeft inmiddels een factsheet online gezet met daarin de veiligheidrisisco's die overheden lopen. "De praktijk wijst uit dat veel organisaties onwetend zijn over welke van hun systemen direct via internet bereikbaar zijn. Een deel van die onwetendheid komt omdat systemen zijn aangelegd en/of worden beheerd door derden, waarmee geen of onvoldoende afspraken zijn gemaakt over beveiligingseisen", waarschuwt het NCSC.

Bekijk de uitzending van EenVandaag.