Kamervragen over trage en moeizame updates SCADA-systemen overheid

Uit het onderzoek, op basis van gesprekken met CISO’s bij verschillende overheden en experts, blijkt dat het vaak te lang duurt voordat leveranciers patches gereed hebben voor gaten in de soms decennia oude systemen.

VVD-Kamerlid Queeny Rajkowski wil onder meer weten of het klopt dat een ethische hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, waarna het nog maanden duurde voordat de update werd uitgevoerd. Ook is er gevraagd naar welk beleid er wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder ten aanzien van het updaten van software van industriële besturingssystemen.

In het geval er problemen rondom het updaten van SCADA-systemen worden ondervonden, wil de VVD weten of er met experts wordt gezocht naar oplossingen. Ook is de VVD benieuwd naar welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen en wat de huidige stand van zaken is van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken.

Groot onderschat probleem

In het onderzoeksverhaal van Binnenlands Bestuur en AG Connect spreken betrokkenen van een groot, onderschat ‘SCADA-probleem’ dat al jaren speelt maar tussen alle spectaculaire ransomware en DDOS-aanvallen te weinig prioriteit lijkt te hebben.

Provincies, waterschappen maar ook gemeenten: bij alle overheden zijn SCADA-systemen te vinden die toezicht houden op kritieke industriële processen. Bij een gemeente zijn dat er al gauw duizenden waaronder soms verkeerslichten en de besturing van bruggen en sluizen.

Siemens, één van de grote leveranciers, gaf in een reactie aan te merken dat de updates en patches op SCADA-systemen vaak niet synchroon met IT-systemen lopen en ook trager worden uitgevoerd in vergelijking tot IT-systemen.