Nul op honderd. Die alarmerende score krijgt de cyberveiligheid van de Belgische nucleaire installaties in een toonaangevend rapport.
Om de twee jaar publiceert de Amerikaanse non-profitorganisatie Nuclear Threat Initiative (NTI) een veiligheidsranking van de 24 landen die minstens een kilo nucleair materiaal hebben dat gebruikt kan worden in kernwapens. ‘Het gaat om een zeer belangrijke instelling met internationaal gezag’, zegt kernenergie-expert Luc Barbé (Ecolo), auteur van België en de bom. ‘Hun rapport behandelt de veiligheidsmaatregelen tegen de sabotage van installaties en de diefstal van nucleaire materialen. In het licht van de terroristische dreiging is dat geen onbelangrijk thema.’
Het goede nieuws is dat België behoorlijk scoort: na Australië, Zwitserland, Canada en Polen bekleedt ons land de vijfde plaats. Maar op één deelaspect – cyberveiligheid – is België faliekant gebuisd, net zoals China, Iran of Noord-Korea. ‘Deze landen voldoen zelfs niet aan de minimale vereisten om nucleaire instellingen te beschermen tegen een cyberaanval’, oordeelt het NTI vernietigend op basis van een analyse van het regelgevende kader.
‘Net als kritieke infrastructuur in het algemeen zijn nucleaire installaties niet immuun voor cyberaanvallen’, waarschuwt het NTI. ‘Dat is bijzonder verontrustend want zo’n aanval kan catastrofale gevolgen hebben. Systemen voor toegangscontrole kunnen worden verschalkt, waardoor onbevoegden nucleair materiaal kunnen buitmaken of vernielingen kunnen aanrichten. Boekhoudsystemen kunnen worden gemanipuleerd, waardoor diefstal van materiaal niet wordt opgemerkt. En de koelsystemen van reactoren kunnen moedwillig worden lamgelegd, met rampen zoals die in Fukushima tot gevolg.’
Miguel De Bruycker, directeur van het Centrum voor Cybersecurity Belgium (CCB), relativeert het rapport. ‘Ik beschik over geen enkele aanwijzing dat de IT-netwerken van onze nucleaire sites slecht beveiligd zijn. De operatoren nemen de nodige maatregelen tegen cyberaanvallen. Wel bestaan er in België geen wettelijke normen die de operatoren verplichten om expliciet in cyberbeveiliging te voorzien – er gelden alleen algemene normen. We hebben intussen al samengezeten met het Federaal Agentschap voor Nucleaire Controle om te bekijken hoe we de wetgeving kunnen aanpassen. Op 1 februari treedt onze jurist in dienst, hij kan er meteen invliegen.’
Heeft België wel een rampscenario klaarliggen voor het geval hackers hun slag slaan in Doel of Tihange? De Bruycker: ‘Een van de opdrachten van het CCB is precies om noodplannen uit te werken voor de cyberveiligheid van kritieke infrastructuren. Sinds eind 2015 bereiden we een draftversie voor. Tegen maart leggen we dat plan voor aan de Nationale Veiligheidsraad.’
Kristof Clerix
‘Cyberterroristenkunnen rampen zoals die in Fukushima veroorzaken.’
