Gemeenten en andere publieke organisaties ervaren verouderde ICT-systemen als een steeds groter probleem, melden AG Connect en Binnenlands Bestuur op basis van eigen onderzoek. Veel bruggen, sluizen en pompen zijn via internet te bedienen zonder enige vorm van beveiliging. De vaak sterk verouderde SCADA-systemen zijn niet of moeilijk te patchen.
Door het hele land staan installaties voor SCADA, ofwel voor Supervisory Control and Data Acquisition. In de basis zijn dit gewoon de controlelampjes en metertjes op elke draaiende machine. Het is niet mogelijk om elke keer iemand naar de machinekamer te sturen om de meters af te lezen. De systemen zijn lang geleden al op afstand bedienbaar gemaakt en via internet verbonden. Er is echter nooit rekening gehouden met digitale beveiliging, alleen met fysieke sloten op de deur van de machinekamer of kast.
Uit interviews met CISO’s van organisaties komt een aantal factoren en problemen:
- De machines hebben een technische levensduur van tientallen jaren, de ICT-systemen zijn niet vervangbaar. Vele machines draaien nog op Windows XP, zonder support en zonder documentatie van oude securitypolicy’s.
- Er is vaak geen patch beschikbaar voor beveiligingsgaten in verouderde software. Een patch ontwikkelen is vaak maatwerk. Leveranciers rekenen daar hoge kosten voor.
- Voor softwareonderhoud of -vervanging moet een systeem vaak worden uitgeschakeld. Dat is moeilijk bij kritieke systemen, zoals een pomp in de riolering die 24/7 moet draaien.
Voor het onderzoek is gesproken met CISO’s en externe deskundigen, zoals een ethische hacker. Er wordt gepleit voor investeringen, maar ook voor meer regie door de centrale overheid.
