Vragen van het lid Van Brenk (50PLUS) aan de Minister van Infrastructuur en Waterstaat over het artikel «Leiding Waternet verzwijgt vernietigende veiligheidstest» (ingezonden 4 november 2020).

Vraag 1

Bent u bekend met het artikel «Leiding Waternet verzwijgt vernietigende veiligheidstest»?1

Vraag 2

Herinnert u zich de mondelinge vragen die eerder gesteld zijn over dit onderwerp?2

Vraag 3

Heeft Waternet u op de hoogte gesteld van (de resultaten van) het uiterst kritische pentest-rapport en wanneer is dat gebeurd?

Vraag 4

Vindt u dat u hierover op de hoogte had moeten worden gesteld op enig moment, ook na de eerdere publicatie van FTM over de beveiliging van Waternet, als dit niet het geval is?

Vraag 5

Heeft u er vertrouwen in dat de algemeen directeur en de dijkgraaf u goed zullen informeren in de toekomst?

Vraag 6

Hoe oordeelt u over het bericht dat het de onderzoekers die dit rapport schreven, in staat waren binnen korte tijd binnen te dringen in de systemen van Waternet?

Vraag 7

Hoe oordeelt u over de stelling dat er op vrijwel elke beveiligingslaag wel iets is aan te merken?

Vraag 8

Hoe is het mogelijk dat een bedrijf als Waternet, dat voorziet in vitale infrastructuur, zwakke communicatieprotocollen tussen servers kent, waardoor relatief makkelijk versleutelde wachtwoorden en gebruikersnamen kunnen worden achterhaald en dat Waternet gebruik maakt van sterk verouderde besturingssystemen en hardware (waarvan de Nationaal Coördinator Terrorismebestrijding en Veiligheid(NCTV) zegt dat zij buiten werking zouden moeten worden gesteld)?

Vraag 9

Hoe oordeelt u over het onderzoeksresultaat dat er maar liefst elf grote kwetsbaarheden te identificeren zijn, waarvan vijf kritiek en vijf met een hoog risiconiveau?

Vraag 10

Hoe oordeelt u over het bericht dat volgens de pentest maar liefst 13.691 poorten open staan en dat het lukte om kwaadaardige scripts uit te voeren?

Vraag 11

Hoe oordeelt u over het bericht dat de directeur van Waternet het bestuur niet van de resultaten van de uitgevoerde pentest op de hoogte lijkt te hebben gesteld?

Vraag 12

Hoe oordeelt u over het bericht dat het bestuur van Waternet (de dijkgraaf) een lid van het algemeen bestuur (volksvertegenwoordiger) die daar om vraagt, weigert inzage te geven in de uitkomsten van het rapport – desnoods in gecensureerde vorm – en hem adviseert daarbij «vandaan te blijven»?

Vraag 13

Hoe oordeelt u over de stelling dat er vanuit de directie niets is gedaan met het kritische pentest-rapport en dat de acties die wel genomen zijn, op eigen initiatief door security officers zijn uitgevoerd?

Vraag 14

Hoe oordeelt u over de stelling dat er zoveel problemen in het netwerk zijn dat een expert verwacht dat een hacker kan doorspringen naar de vitale processen die Waternet uitvoert?

Vraag 15

Hoe oordeelt u over onze stelling dat deze resultaten en de handelingen aanleiding geven tot direct ingrijpen door de Minister, en het niet te laten bij een eigen intern onderzoek door Waternet?

Vraag 16

Bent u bekend met maatregelen die Waternet naar aanleiding van het eerste artikel van FTM heeft getroffen en, zo ja, welke zijn er getroffen en wanneer?

Vraag 17

Is deze pentest gemeld bij Nationaal Cyber Security Centrum, aangezien organisaties in vitale sectoren verplicht zijn om ernstige digitale veiligheidsincidenten te melden bij het NCSC? Zo ja, op welke datum? Zo nee, wat zijn de consequenties van het niet melden van deze ernstige fouten?

Vraag 18

Bent u bereid deze vragen te beantwoorden voorafgaand aan het wetgevingsoverleg Water op 11 november a.s.?

X Noot
1

Ftm.nl, 2 november 2020, Waternet verzwijgt vernietigende veiligheidstest (https://www.ftm.nl/artikelen/waternet-verzwijgt-vernietigende-veiligheidstest)

X Noot
2

Mondelinge vragen d.d. 22 september 2020

Naar boven