Het Nationaal Cyber Security Centrum (NCSC) moet in de toekomst bedrijven en organisaties die niet tot de Rijksoverheid of vitale sector behoren waarschuwen voor cyberdreigingen. Om dat mogelijk te maken is een aanpassing van de Wet beveiliging netwerk- en informatiesystemen (Wbni) noodzakelijk. Minister van Justitie en Veiligheid Ferd Grapperhaus pleit daarvoor.
Dat blijkt uit een brief die minister Grapperhaus woensdag naar de Tweede Kamer heeft gestuurd.
Inloggegevens van honderden Nederlandse bedrijven op straat
Het NCSC zet zich in voor een ‘digitaal veilig Nederland’, onder meer door informatie over kwetsbaarheden te verzamelen en zijn kennis te delen met het bedrijfsleven. De juridische mogelijkheden hiervoor zijn echter beperkt. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt namelijk dat het NCSC alleen de Rijksoverheid en bedrijven uit de vitale sector (zoals financiële instellingen en telecombedrijven) over ransomware-aanvallen en andere cyberdreigingen mag informeren.
Dat deze beperking grote maatschappelijke consequenties met zich kan meebrengen, werd afgelopen jaar pijnlijk duidelijk. Een hacker zette toen de gebruikersnamen en wachtwoorden van meer dan 900 Nederlandse bedrijven online. In de VPN-software van Pulse Secure zat een zwakheid. Hierdoor hadden cybercriminelen zonder wachtwoord de volledige toegang tot servers en bedrijfsnetwerken. Zij misbruikten deze fout om inloggegevens te bemachtigen.
Hoewel een patch voor dit kritieke veiligheidsprobleem al meer dan een jaar beschikbaar was, waren er meer dan genoeg bedrijven in ons land die hem niet geïnstalleerd hadden. Beveiligingsdeskundige Matthijs Koot ontdekte dat hackers de inloggegevens van zeker 900 Nederlandse bedrijven online hadden gezet.
Nationale veiligheid loopt gevaar door beperkingen Wbni
Koot meldde dit aan het NCSC. Vanwege de beperkingen die de Wbni oplegt, kon de instantie vrijwel niets met het grootste gedeelte van de aangereikte informatie. “Organisaties die buiten het wettelijke mandaat vallen, mogen niet door het NCSC geïnformeerd worden”, bevestigde een woordvoerder van het ministerie van Justitie en Veiligheid vorig jaar.
Onbegrijpelijk, zo zei de beveiligingsdeskundige destijds. “Er liggen nu allerlei wachtwoorden van medewerkers op straat, terwijl dat voorkomen had kunnen worden. Ik snap dat het NCSC prioriteiten moet stellen, maar dat is geen argument om bij ernstige kwetsbaarheden niets te doen. Als hackers bijvoorbeeld gijzelsoftware installeren, kan dat ook een niet-vitaal bedrijf grote schade toebrengen. Niet-vitale bedrijven leveren geregeld diensten aan de vitale sector en kunnen zo alsnog vitale bedrijven besmetten”, aldus Koot.
Michiel Steltman, directeur van de brancheorganisatie Stichting Digitale Infrastructuur Nederland, viel Koot bij. Hij meende dat het delen van relevante informatie over cyberdreigingen door het NCSC van levensbelang is voor onze nationale veiligheid. “Je ziet dat zo ongeveer alle bedrijven hun best doen om hun cyberveiligheid op orde te houden, maar ook dat bedrijven dingen missen. Waarschuwen is niet alleen goed voor die bedrijven zelf. Het gaat ook om het nationale belang.”
Grapperhaus: ‘Betere informatie-uitwisseling is noodzakelijk’
Minister Grapperhaus heeft de opmerkingen aangehoord en is hiermee aan de slag gegaan. De afgelopen maanden is hij nagegaan of er aanvullingen nodig zijn op de huidige wettelijke taken en bevoegdheden van het NCSC om informatie te delen. In zijn brief aan de Tweede Kamer benadrukt de minister dat cybersecurity een prioriteit is van het kabinet.
“Voor het goed functioneren van het cybersecuritystelsel is een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang”, schrijft Grapperhaus.
Het Landelijk Dekkend Stelsel (LDS), een instrument om informatie-uitwisseling tussen vitale en niet-vitale bedrijven en instanties mogelijk te maken, is hiervoor onmisbaar. Tegelijkertijd is het LDS volgens de minister nog maar een relatief jong onderdeel van de Nederlandse cybersecurityaanpak. Zodoende is het stelsel nog volop in opbouw. “Vanwege de snelle ontwikkelingen op het digitale vlak blijft het nodig om te bezien of de ingezette koers de juiste is, en of het gerichte aanpassingen behoeft.”
Grapperhaus wil Wbni hervormen
Over het delen van informatie over digitale dreigingen door overheidsinstanties aan vitale en niet-vitale organisaties is minister Grapperhaus glashelder. “Voor het goed functioneren van het cybersecuritystelsel is een zo optimaal mogelijke uitwisseling van informatie noodzakelijk”, schrijft hij. Iedere obstakel die dit doel in de weg staat, is onwenselijk.
De minister komt met het voorstel om de Wbni op twee punten aan te passen. Allereerst moet het in zijn ogen mogelijk zijn om ‘in bijzondere gevallen’ informatie rechtstreeks aan individuele organisaties te verstrekken die geen onderdeel uitmaken van de Rijksoverheid of vitale infrastructuur van Nederland. Daarnaast moeten Organisaties die Kenbaar Tot Taak (OKTT’s) -schakelorganisaties die andere partijen kunnen waarschuwen in geval van een cyberdreiging- beschikken over opties om hun achterban te informeren.
De wijzigingen van de Wbni moeten nog nader worden uitgewerkt en afgestemd met alle belanghebbenden binnen het cybersecuritystelsel. “Ik streef ernaar, gezien de urgentie van een digitaal veilig Nederland, dit traject met voorrang op te pakken”, aldus minister Grapperhaus.
