'Digitale beveiliging van sluizen en gemalen is niet op orde'

Sluizen en gemalen in Nederland zijn niet goed beveiligd. De programmable logic controllers (PLC's) die hier worden gebruikt ontvangen doorgaans hooguit gedurende een periode van vijf jaar beveiligingsupdates, terwijl de PLC's in de regel 25 tot 30 jaar meegaan.

Dit meldt een anonieme bron binnen de waterschappen aan Binnenlands Bestuur. De website noemt de bron betrouwbaar en geeft aan dat deze nauw betrokken is bij cybersecurity. PLC's worden gebruikt voor onder meer de aansturing van sluisdeuren. Indien deze PLC's worden gemanipuleerd door cybercriminelen kunnen de gevolgen dan ook groot zijn, waarschuwt partner bij ICT-onderzoeksbureua Revnext Steven Djohan. "Je kunt dan zelfs het monitoren van sluizen beïnvloeden, zodat niemand kan waarnemen dat een sluisdeur onbedoeld openstaat", legt Djohan uit aan Binnenlands Bestuur.

'Beveiliging heeft te weinig aandacht gekregen'

Djohan wijst erop dat veel waterschappen begin deze eeuw zijn geautomatiseerd, waarbij sluiswachters zijn vervangen door systemen. Digitale veiligheid heeft hierbij weinig aandacht gekregen. Dit heeft ertoe geleid dat PLC's in de praktijk veel minder lang worden voorzien van beveiligingsupdates dan de levensduur van de apparaten. Overigens zijn de problemen al langer bekend; Djohan wijst erop dat in 2010 al bleek dat een gemaal in Veere gehackt kon worden.

"Bij nieuwe aanbestedingen moeten ze digitale veiligheid serieuzer nemen. Nu lijkt het erop dat sommige waterschappen bij dit soort situaties voorlopig de kop in het zand steken. Zorg ervoor dat het digitale onderhoud op gelijke voet blijft met de fysieke beveiliging van de infrastructuur, want op dat vlak worden wel flinke investeringen gedaan. Vergeet niet dat hackers digitaal minstens zoveel schade kunnen aanrichten", aldus Djohan.