Bedrijfsleven lanceert eigen alarmsysteem tegen hackers

Luidsprekers gekoppeld aan een sirene

Het Nederlandse bedrijfsleven vindt dat de overheid niet snel genoeg informatie deelt over digitale dreigingen. Daarom werken ze aan een eigen alarmsysteem om bedrijven en organisaties te waarschuwen tegen hackers. De hard- en software voor het nieuwe systeem staan al klaar.

Dat zegt Inge Bryan, directeur van cybersecuritybedrijf Fox-IT en nauw betrokken bij het initiatief, tegen het Financieele Dagblad.

Wbni werpt blokkade op voor delen dreigingsinformatie

Het delen van dreigingsinformatie aan het bedrijfsleven is op dit moment juridisch gezien lastig. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt dat instanties als het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) dergelijke informatie alleen mogen doorgeven aan ondernemingen die onderdeel uitmaken van de vitale infrastructuur. Dan moet je denken aan internetproviders, leveranciers van nutsvoorzieningen en financiële instellingen.

Deze beperking heeft in het verleden voor een hoop ellende gezorgd. Afgelopen jaar gaf een beveiligingsexpert aan het NCSC door dat door een beveiligingslek in de VPN-software van Pulse Secure de inloggegevens van meer dan 900 bedrijven in Nederland op straat lagen. Onder de slachtoffers zaten grote namen als het  industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Deco. Hetzelfde overkwam Nederlandse en internationale bedrijven toen er kwetsbaarheden werden ontdekt in Microsoft Exchange Server en thuiswerksoftware van Citrix.

De Wbni verbood het NCSC om deze informatie met de bedrijven te delen, omdat ze geen onderdeel uitmaakten van de vitale sector. Waren de slachtoffers wel op de hoogte gesteld, dan hadden ze maatregelen kunnen nemen om te voorkomen dat vertrouwelijke gegevens op een hackersforum van het dark web waren beland.

Kabinet bezig om delen dreigingsinformatie te vereenvoudigen

De ernst van de wettelijke beperking van de Wbni is doorgedrongen tot politiek Den Haag. Het kabinet werkt dan ook aan een wetsvoorstel om dreigingsinformatie ook te delen met bedrijven en organisaties die niet actief zijn in de kritische infrastructuur. “Met dit wetsvoorstel wordt gehoor gegeven aan de roep van het bedrijfsleven om dreigingsinformatie breder te delen. Dit wetsvoorstel voorziet daarmee in de benodigde grondslag voor de verwerking van persoonsgegevens ten behoeve van de digitale weerbaarheid van bedrijven”, zo schreef demissionair minister van Economische Zaken en Klimaat Stef Blok eind juni in een brief aan de Tweede Kamer.

Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus is druk bezig om een Landelijk Dekkend Stelsel (LDS) op te zetten. Hiermee wil de bewindsman het eenvoudiger maken om dreigingsinformatie en kwetsbaarheden in software te delen met de Rijksoverheid, het bedrijfsleven en partijen die in de vitale sector actief zijn.

Tot slot start het DTC binnenkort een pilot om actuele dreigingsinformatie te delen met niet-vitale bedrijven en organisaties. Het adviesorgaan wil hiermee de digitale weerbaarheid van het bedrijfsleven vergroten. “Tijdig ingelichte bedrijven kunnen namelijk direct maatregelen nemen om de schade van de kwetsbaarheden te beperken”, zo is de gedachte.

Bedrijfsleven is het wachten zat

Het is goed om te horen dat de overheid het delen van informatie over actuele dreigingen in het cyberlandschap serieus neemt en wil vereenvoudigen. Echter, bij dergelijke initiatieven gaat er in praktijk veel tijd overheen voordat dergelijke plannen daadwerkelijk worden uitgevoerd. Het bedrijfsleven heeft daarom besloten om daar niet op te wachten en komt met een eigen alarmsysteem om mogelijke doelwitten te waarschuwen tegen hackers en andere digitale dreigingen.

“We hebben besloten niet meer op de overheid te wachten en zo’n systeem zelf maar op te zetten”, vertelt Inge Bryan van Fox-IT tegenover het Financieele Dagblad. Octavia de Weerdt, directeur van de Nationale Beheersorganisatie Internet Providers (NBIP), vertelt dat de hard- en software die nodig zijn om het alarmsysteem van de grond te krijgen al klaar staan. Bij het waarschuwingssysteem zijn diverse branche- en non-profitorganisaties betrokken, waaronder de NBIP, stichting Digitale Infrastructuur Nederland (DINL) en schakelorganisatie Connect2Trust.

‘De overheid zal altijd juridische beperkingen hebben’

De initiatiefnemers juichen de proactieve houding van de overheid toe, maar zeggen dat het probleem niet wordt opgelost met deze plannen. “Het NCSC onderschat volledig de urgentie en het tempo. Informatie moet binnen enkele minuten worden gedeeld. Dat duurt nu weken”, vertelt Bryan van Fox-IT.

Frank Breedijk van het vrijwilligerscollectief Dutch Institute for Vulnerability Disclosure (DIVD) noemt nog een obstakel voor het snel delen van informatie: de Algemene Verordening Gegevensbescherming (AVG). De Europese privacywetgeving bepaalt dat de overheid persoonsgegevens alleen mag delen als hiervoor een wettelijke basis bestaat. “Als private organisatie mogen we ons beroepen op een gerechtvaardigd belang”, legt Breedijk uit. Zodoende kan actuele dreigingsinformatie over bijvoorbeeld een datalek of ransomware-aanval sneller gedeeld worden met de betrokkenen.

Bryan benadrukt dat kwetsbare bedrijven straks ook ongevraagd geïnformeerd worden, iets wat de overheid niet mag. Dat het alarmsysteem straks naast het waarschuwingssysteem van de overheid bestaat, ziet ze niet als een probleem. “De overheid zal altijd juridische beperkingen hebben die een particulier initiatief niet heeft. En het is ook begrijpelijk dat er informatie is die de overheid voor zichzelf wil houden. Dus je zult uiteindelijk altijd twee systemen hebben.”

NCSC en DTC positief over alarmsysteem

Zowel het NCSC als het DTC is positief over het beoogde alarmsysteem. Wel benadrukken de instanties dat er een duidelijke taakverdeling moet zijn als er zich daadwerkelijk een crisis voordoet. “Het cyberweerbaarder maken van de 1,8 miljoen bedrijven in Nederland is een enorme klus. We kijken graag hoe nieuwe initiatieven elkaar zo goed mogelijk kunnen aanvullen”, vertelt een woordvoerder van het DTC.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen