De ILT startte in 2021 met 2 nieuwe programma’s: Vertrouwen en Cybersecurity.
Programma Vertrouwen
Waarom werkt de ILT hieraan?
Voor de overheid is het belangrijk dat de burger vertrouwen in haar heeft. Daarbij zijn er verschillende invalshoeken mogelijk:
- Het maatschappelijk vertrouwen in instituties.
- Het maatschappelijk vertrouwen in de ILT.
- Het vertrouwen van de ILT in instituties en andersom.
De ILT richt zich in eerste instantie op het vertrouwen van de ILT in instituties en andersom. (Wederzijds) vertrouwen tussen de ILT en de instituties op het gebied van leefomgeving en transport zorgt voor effectievere samenwerkings- en toezichtrelaties. Dat draagt mogelijk bij aan het wegnemen of verkleinen van risico's waar de ILT toezicht op houdt.
Wat wil de ILT bereiken?
Doel van het programma is om te ontdekken in hoeverre het concept vertrouwen meerwaarde heeft bij instituties waar de ILT een toezichtrelatie of een samenwerkingsrelatie mee heeft. Is dit het geval? Dan kan dit er mogelijk toe leiden dat het concept breder binnen de ILT kan worden toegepast.
Wat heeft de ILT in 2021 gedaan?
Het programma startte in 2021 en is nog in de beginfase. Een rapport dat inzicht geeft in hoeveel vertrouwen bijdraagt aan samenwerking en toezicht, is klaar. Op basis van dit rapport is de ILT begonnen met het ontwikkelen van verschillende werkwijzen om vertrouwen te meten, vergroten en behouden. Met een pilot met DCMR Milieudienst Rijnmond voor het onderwerp Meldingen Ongewone Voorvallen worden deze werkwijzen in de praktijk uitgeprobeerd.
Programma Cybersecurity
Waarom werkt de ILT hieraan?
Vanuit nationale veiligheid is cybersecurity de manier om schade door een storing, uitval of misbruik van een informatiesysteem of computer te voorkomen. Deze schade kan maatschappij-ontwrichtende gevolgen hebben. Daarbij gaat het vooral om sabotage en spionage door statelijke actoren. Maar er is ook een risico van cyberaanvallen door criminelen die er financieel beter van willen worden. Wanneer zulke aanvallen worden gedaan op aanbieders van essentiële diensten, kan de schade groot zijn.
Aanbieders van Essentiele Diensten (AED’s) zijn aanbieders van een dienst waarvan de voortgang voor de Nederlandse samenleving essentieel is. De minister van Infrastructuur en Waterstaat (IenW) is hierbij de bevoegde autoriteit voor de sectoren vervoer en levering en distributie van drinkwater. De 10 drinkwaterbedrijven zijn AED’s. Ook de volgende organisaties zijn aangewezen als aanbieder van essentiële diensten:
- De divisie Havenmeester van het Havenbedrijf Rotterdam N.V.
- Royal Schiphol Group N.V.
- Luchtverkeersleiding Nederland
- Maastricht Upper Area Control Centre (MUAC)
- Aircraft Fuel Supply B.V.
- Koninklijke Marechaussee
- Elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol in een kalenderjaar.
“Stel dat we geen drinkwater meer hebben?”
Egbert de Vries, wethouder gemeente Amsterdam en bestuurder Waternet
Wat is er gebeurd in 2021?
“April 2021 is Waternet onder verscherpt toezicht geplaatst. De ILT constateerde tekortkomingen in de cybersecurity en informatiebeveiliging van Waternet. Anders gezegd: er was een verhoogd risico op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of continuïteit van het drinkwater. Nee, dat kwam voor ons niet als verrassing. We herkenden het probleem. Maar we schrokken wel. We hoorden van andere drinkwaterbedrijven dat dit nog nooit eerder was gebeurd.”
Wat hebben jullie gedaan?
“Vanuit Waternet zijn we aan de slag gegaan met een verbeterplan. De inspectie zat er bovenop. In eerste instantie waren we afwachtend: hoe gaat ze dat toezicht oppakken? Leidt het niet tot alleen maar meer gedoe? Maar dat blijkt niet het geval. Het is goed dat de ILT dit doet. We hebben elke maand gesprekken en die verlopen goed. Dit is voor ons een stok achter de deur.”
Waarom is dit belangrijk voor inwoners?
“We hebben het over drinkwater en dat is van levensbelang voor ons allemaal. Je kan een paar weken zonder eten, maar je kan slechts een paar dagen zonder water. De watersector staat misschien minder in de politieke belangstelling, maar de drinkwatersector is een cruciale sector voor iedereen. En de automatisering is cruciaal voor de levering en kwaliteit van water. Stel dat er iets gebeurt met de automatisering en we geen drinkwater meer kunnen leveren?”
Is het verscherpte toezicht in 2022 voorbij?
“In 2022 maken we het verbeterprogramma af en moet alles op orde zijn. Misschien goed om te vertellen dat er eind 2021 een ernstige kwetsbaarheid bleek te zitten in software die wereldwijd veel wordt gebruikt in webapplicaties en allerlei andere systemen. Ook Waternet had hiermee te maken. Door de fout in deze software was het mogelijk dat hackers konden inbreken. We zagen dat onze mensen er heel snel bij waren om dit probleem op te lossen. Er is niets misgegaan en dat zegt veel over alle verbeteringen. Een jaar terug had dit anders kunnen aflopen.”
Wat wil de ILT bereiken?
Dit programma richt zich op het doen van een voorstel op het inrichten van de toezichtstaak van de ILT op 17 AED’s. In de toezichtsvisie houdt de ILT wel rekening met een (flinke) toename van het aantal AED’s.
Wat heeft de ILT in 2021 gedaan?
In 2021 is er een onderzoek uitgevoerd naar Waternet en naar patch- en kwetsbaarhedenmanagement. Daarnaast is in 2021 gestart met het versterken van de informatiepositie via verkennende inspecties bij 17 Aanbieders van Essentiele Diensten (AED’s). De vragenlijsten die tijdens deze inspecties zijn gebruikt, zijn gebaseerd op relevante normen en kaders die in de cybersecurity vaak gebruikt worden.