Bij het Amsterdamse waterbedrijf Waternet is de digitale beveiliging niet op orde. Dat blijkt uit een onderzoek van Follow The Money (FTM), die zich baseren op interne documenten en gesprekken met medewerkers. Het waterbedrijf blijkt gebruik te maken van verouderde systemen en er worden regelmatig beveiligingsmaatregelen teruggedraaid, aldus enkele medewerkers.
Waternet is verantwoordelijk voor het waterbeheer in Amsterdam en omgeving en zorgt onder andere voor de levering en zuivering van drinkwater en het bedienen van sluizen en bruggen.
Een groot aantal desktops bij Waternet draait nog op Windows 7, aldus FTM. Voor Windows 7 worden echter al sinds 14 januari 2020 geen veiligheidsupdates meer uitgebracht. Hierdoor zijn ze zeer kwetsbaar voor dreigingen van buitenaf.
Ook zouden er meer dan 150 servers zijn die ‘zonder restricties vrij met het internet mogen praten’. Iets wat de kans zou vergroten om malware binnen te halen.
Ook worden er volgens interne bronnen door sommige medewerkers nog verouderde telefoons gebruikt, terwijl Waternet beveiligde iPhones aanbiedt aan haar medewerkers. Sommige van de verouderde privé-smartphones worden niet regelmatig geüpdatet of er zijn niet eens meer updates voor. Hierdoor loopt de software op deze toestellen enkele versies achter.
Met name hoger geplaatste medewerkers voeren updates niet uit of hebben een toestel waar geen updates meer voor beschikbaar zijn, aldus FTM. Hierdoor werd het updatebeleid, geïntroduceerd om de beveiliging van Waternet te verbeteren, binnen enkele dragen weer teruggedraaid door het management.
FTM stelt dat de documenten laten zien dat “er een bedrijfscultuur heerst waarbij waarschuwingen van security officers structureel worden genegeerd en veiligheid ondergeschikt is gemaakt aan gebruiksgemak en ingesleten gewoontes.” Ook de gesproken bronnen lijken dit te bevestigen.
In april 2018 kaartte de toenmalige Chief Information Security Officer (CISO) van Waternet, Peter Schaap, al het beveiligingsprobleem met betrekking tot de servers aan bij het management. Echter werd daar niet op gereageerd. Volgens interne bronnen is dit probleem nu nog steeds aanwezig.
In een reactie aan FTM laat Waternet weten dat er aan veel van de beschreven problemen wordt gewerkt en dat enkele problemen bijna zijn opgelost. Hierbij gaat Waternet in op de verschillende problemen die worden geschetst door FTM. Ook geeft het bedrijf aan dat zij voldeden aan de basisvereisten van de AVG toen ze dit in 2018 hebben laten meten. Bevindingen uit die meting zijn opgepakt.