De onderzoekers hebben aangetoond dat het relatief gemakkelijk is om via het internet digitale industriële controlesystemen te lokaliseren. Deze systemen hebben sensoren of camera's die verbonden zijn met het open internet. En dat is een probleem zegt hoofdonderzoeker Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente.

Kwetsbaarheden

De onderzoekers van de UT wisten rond de duizend industriële controlesystemen in Nederland te lokaliseren. "Ongeveer zestig van de gevonden systemen bevatte ernstige gebreken", aldus Pras.

Deze systemen worden onder meer gebruikt voor de besturing van processen in de vitale infrastructuur. Als deze systemen worden gehackt kunnen aanvallers de besturing ervan overnemen met in potentie grote nadelige gevolgen.

Pras onderkent dat. De kwetsbaarheid maakt de systemen interessant voor mensen die kwaad in de zin hebben. Maar niet alleen voor criminelen. "Ook voor overheden in China, Noord-Korea of de Verenigde Staten", aldus Pras, die waarschuwt voor de ontwikkelingen op het gebied van cyberoorlogvoering.

Elektriciteitsnet plat

"We hebben nu economische oorlogsvoering, maar het gaat wel langzaam die kant op", zegt hij verwijzend naar cyberoorlogvoering. "Daar moeten we ons op voorbereiden." Voorbeelden dat het in Nederland is misgegaan, zijn er nog niet. Maar in het buitenland wel."Rusland wist het elektriciteitsnet in Oekraïne al eens plat te leggen. Het is het bewijs dat het kan."

En in Nederland is het volgens Pras slechts een kwestie van tijd dat het ook een keer mis gaat. De hoogleraar denkt dan in een tijdspanne van enkele jaren. Hoog tijd dus voor maatregelen. Maar in ons land is er nog veel te weinig besef over de naderende problemen, waarschuwt Pras.

Technische kennis

"Wel bij elektriciteitscentrales en waterleidingbedrijven, maar niet bij de politiek", stelt Pras. "Daar zitten veel te weinig mensen met technische kennis." Toch moeten die politici nu aan de slag met het onderwerp. Ze hebben immers het onderzoek toegestuurd gekregen door de minister.

Volgens Pras is het tijd om na te denken over de vraag of er een apart, veilig en betrouwbaar netwerk moet komen voor vitale infrastructuren. "Er worden nu fouten gemaakt", aldus Pras over de beveiliging van digitale industriële controlesystemen.

Wachten op problemen

"Het hangt er nu van af wat de Kamer er mee doet. Misschien worden er vragen over gesteld of komt er een discussie op gang dat we toch naar een meer gesloten netwerk toe moeten", aldus Pras. Want zolang kwetsbare systemen verbonden blijven met het open internet is het wachten op problemen.



"Waarom zouden Chinezen er bij moeten komen? Het is alsof je mensen door een kerncentrale laat lopen. Op een gegeven moment begint iemand aan de knopjes te draaien", aldus Pras. Dat is natuurlijk niet de bedoeling, maar wel vergelijkbaar met de manier waarop in Nederland nu nog wordt omgesprongen met Digitale industriële controlesystemen. "De deur staat gewoon open."

Professionele aanvallers

Het aantal kwetsbare systemen is in werkelijkheid nog hoger, schrijven de onderzoekers in het rapport. "Professionele aanvallers, die bijvoorbeeld voor nationale veiligheidsdiensten werken, zullen zeker meer kwetsbare systemen weten te vinden en in staat zijn binnen te dringen."

Grapperhaus erkent de problemen in zijn brief aan de politiek. "De resultaten van het onderzoek onderschrijven de noodzaak om te werken aan de verhoging van de digitale weerbaarheid van Nederland", aldus Grapperhaus.

Verder onderzoek

"De belangrijkste aanbevelingen zijn dan ook om de resultaten van deze studie te delen met de organisaties die verantwoordelijk zijn voor de Nederlandse vitale infrastructuur en verder onderzoek te verrichten om een beter inzicht te krijgen in de werkelijke schade die door aanvallen kunnen worden aangericht."