'Overheid moet breed alarm slaan bij hackgevaar'
Waarschuwen voor cyberdreigingen

'Overheid moet breed alarm slaan bij hackgevaar'

16-12-2021 12:00 Laatste update: 14:22

De Onderzoeksraad voor Veiligheid (OVV) wil dat de landelijke overheid sneller een grotere groep bedrijven voor ernstige cyberdreigingen gaat waarschuwen. Dat is nu wettelijk nog niet mogelijk.

Het adviesrapport 'Kwetsbaar door software' is door de OVV opgesteld nadat honderden Nederlandse bedrijven eind 2019 en begin 2020 last hadden van kwetsbaarheden in software van Citrix. "Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd", stelt OVV-voorzitter Jeroen Dijsselbloem.

Meer bedrijven waarschuwen

Er moeten regels, afspraken en een centraal orgaan komen om zulke incidenten in de toekomst te voorkomen, stelt de raad. De Onderzoeksraad wijst mede op de rol van het Nationaal Cyber Security Centrum (NCSC). Toen het Citrix-lek eind 2019 bekend werd, lichtte het NCSC snel overheidsdiensten en vitale organisaties in. Citrix is software waarmee mensen op afstand kunnen werken, die in veel organisaties wordt gebruikt.

Andere bedrijven werden toe niet ingelicht, en konden zo ten prooi vallen aan hackers. Daar hebben die bedrijven nu nog steeds last van, stelt de Onderzoeksraad. 

AIVD

Het Citrix-lek werd ook gebruikt door cyberspionnen bij een hackpoging op een ministerie, zo ontdekte de inlichtingendienst AIVD. Dat gebeurde meerdere dagen voordat het NCSC waarschuwde om 'te overwegen Citrix-servers uit te zetten'. De informatie van de AIVD was echter staatsgeheim, waardoor het NCSC niets mocht delen met het publiek. Vervolgens waren de AIVD en NCSC het met elkaar oneens over wat het beste advies voor bedrijven was.

Centrale aanpak vanuit overheid

Het NCSC stelt voor zichzelf geen wettelijk mandaat te zien om bedrijven buiten overheidsdiensten en vitale organisaties te waarschuwen in geval van beveiligingslekken. Daardoor zou een situatie zoals met Citrix op dit moment opnieuw kunnen gebeuren.

De Onderzoeksraad pleit daarom voor een centrale aanpak vanuit de overheid. Daarbij moeten dreigingen op tijd worden gesignaleerd, zodat potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk gewaarschuwd kunnen worden. Zo'n orgaan moet "voldoende mandaat en wettelijke waarborgen" krijgen, aldus de raad.

Wettelijke eisen digitale bedrijfsvoering

De raad stelt dat softwaremakers in de eerste plaats verantwoordelijk zijn voor de veiligheid van hun software. Zij moeten volgens de OVV meer investeren. De raad spreekt van een "overstelpen" van gebruikers met updates en patches, terwijl die gebruikers zelf vaak ook maar beperkte technische kennis hebben, aldus de raad.

Verder stuurt de Onderzoeksraad aan op regels die bedrijven en organisaties dwingen om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen. Zo'n regel zou vergelijkbaar kunnen zij met de Comptabiliteitswet, die eist dat bedrijven een deugdelijk begrotingsbeleid voeren en kunnen verantwoorden.

Europees niveau

Naast een landelijk orgaan dat alle bedrijven kan waarschuwen, beveelt de Onderzoeksraad aan om "op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product".

Als laatste adviseert de raad het bundelen van krachten van bedrijven en overheden. "Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten", aldus de Onderzoeksraad.

Wetsvoorstel

Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) zegt in een reactie dat er inderdaad een "centrale voorziening" nodig is, maar dat bedrijven en organisaties ook "zelf verantwoordelijkheid moeten blijven nemen voor het op orde brengen en houden van hun digitale veiligheid". Er ligt een wetsvoorstel om informatie beter te delen, aldus de minister.

De waarschuwingen van het NCSC zouden verspreid moeten worden door instellingen als het Digital Trust Centre (van het ministerie van Economische Zaken voor ondernemers), Cyberveilig Nederland (belangenvereniging van cyberbeveiligers) en de Nationale Beheersorganisatie Internet Providers (voor providers).