De Nederlandse overheid moet alle potentiële slachtoffers waarschuwen voor dreigende aanvallen. Dat stelt de Onderzoeksraad voor Veiligheid (OVV). Nu krijgen alleen de overheid zelf en vitale plekken een alarm. De rest van het land ontvangt geen waarschuwing. Iedereen moet echter op tijd weten wat er kan gebeuren, aldus de OVV.
De OVV deed afgelopen twee jaar onderzoek naar het bedrijf Citrix. Hier konden cybercriminelen via software binnendringen in computersystemen van gebruikers. Toentertijd heeft het Nationaal Cyber Security Centrum (NCSC), dat onderdeel uitmaakt van het ministerie van Justitie en Veiligheid, een waarschuwing gestuurd naar overheidsdiensten en vitale organisaties.
Andere potentiële slachtoffers werden niet ingelicht. Dit hoeft volgens de wet namelijk niet. Hierdoor konden de criminelen nog steeds op grote schaal systemen binnendringen. Zelfs nu hebben zij niet-legitieme toegang tot systemen en data, constateert de Onderzoeksraad.
Advies Onderzoeksraad voor Veiligheid
De Onderzoeksraad stelt dat uit dit voorval blijkt dat zowel de overheid als het bedrijfsleven erg kwetsbaar zijn voor cyberaanvallen. Hackers kunnen slachtoffers immers op elk moment raken. Wanneer ze dit doen, worden zowel de bedrijfsprocessen als privacy en veiligheid verstoord.
In het rapport pleit de OVV voor één centrale cyberveiligheidsdienst. Ook zou er binnen het kabinet een minister of staatssecretaris verantwoordelijk gesteld moeten worden voor cyberveiligheid. Op deze manier is het pas mogelijk om cyberdreigingen te signaleren en potentiële slachtoffers op tijd te waarschuwen.
Wetgeving
Demissionair minister van Justitie en Veiligheid, Ferd Grapperhaus, zei eerder dit jaar al aan een wetswijziging te werken. De NCSC zou meer ruimte krijgen binnen de wet. Dit is dus niet voldoende volgens de Onderzoeksraad.
Jeroen Dijsselbloem, voorzitter van de OVV, stelt dat er tot nu toe slechts gewerkt wordt aan stukjes van de wetgeving. Het nieuwe kabinet lijkt echter een signaal te geven dat het gaat kijken naar de bevoegdheden van het NCSC.
Nu is dit centrum nog “houtje-touwtje”, stelt Dijsselbloem tegenover BNR. De belangrijkste aanbeveling is dan ook één centrale voorziening te creëren die informatie kan ophalen. In andere woorden, deze voorziening moet het internet kunnen scannen én potentiële slachtoffers snel en direct waarschuwen.
Huidige staat
Dijsselbloem zegt dat Nederland zeer kwetsbaar is voor cyberaanvallen. “Nederland is een zeer gedigitaliseerd land. Dat heeft veel voordelen, maar brengt ook kwetsbaarheid met zich mee”. Hij zegt dat we veel gevaar lopen, zowel door Citrix als door de recente kwestie rondom log4j.
De cyberincidenten volgen elkaar snel op. Het aantal partijen dat handig is in hacken neemt ook toe. Daarbij is het hackers inhuren, denk aan Ransomeware-as-a-Service, steeds meer in opkomst.
“Op dit moment gebeurt het acute werk. Iedereen kijkt voor zich, ben ik kwetsbaar?” zegt Dijsselbloem. Het is nu wachten op reparaties door verschillende softwareontwikkelaars. Dit kost tijd, maar alle tijd die nu verloren gaat, wordt door aanvallers gebruikt om weer toe te slaan.
