Knops pleit voor meer oefenen met cybersecurity-incidenten

Hangslot op een zwartgekleurd toetsenbord

Demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops vindt dat er in de toekomst nog meer geoefend moet worden met cybersecurity-incidenten. Alleen zo is de maatschappij in staat om cyberaanvallen te herkennen en de gevolgen ervan te beperken. Doordat technologie en de cyberdreigingen die daarmee gepaard gaan zich zo snel ontwikkelen, kunnen we het ons niet permitteren om niets te doen.

Dat schrijft staatssecretaris Knops in een voortgangsbrief aan de Tweede Kamer. Daarin vertelt hij over wat hij tussen 2018 en 2020 heeft gedaan om de digitale weerbaarheid van de publieke sector te verhogen.

Deze initiatieven kwamen de afgelopen jaren van de grond

Zo is sinds eind 2018 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Daarin zijn normen voor informatiebeveiliging vastgelegd waar de Rijksoverheid, provincies, gemeenten en waterschappen zich aan moeten houden. In samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) zijn meerdere BIO-gerelateerde hulpmiddelen en producten ontwikkeld.

Om het inkoopbeleid van ICT-producten en diensten te verbeteren, is het instrument ‘Inkoopeisen Cybersecurity Overheid (ICO) ontwikkeld. Daarin wordt onder meer benadrukt hoe belangrijk het is om rekening te houden met informatieveiligheidseisen bij dit soort producten en diensten. Daarbij is rekening gehouden met verschillende inkoopcategorieën, zoals clouddiensten en serverplatforms.

Verder introduceerde ENSIA (Eenduidige Normatiek Single Information Audit) één verantwoordingsproces voor informatiebeveiliging bij gemeenten, is een vervangingsplan voor PKIoverheid-certificaten in gang gezet en werkt het ministerie aan een plan om van HTTPS verplicht te stellen bij overheidswebsites en webapplicaties. Verder zet de overheid de komende jaren haar beste beentje voor om de herkenbaarheid van overheidswebsites en e-mail te verbeteren. Kortom, de overheid zit niet stil om informatiebeveiliging in de publieke sector te verbeteren.

Steeds meer overheidsorganen trainen met gesimuleerde hackaanval

Een ander aspect waar Knops de nadruk op legt, is het organiseren en houden van oefeningen met cyberincidenten en -dreigingen. Door regelmatig te oefenen zijn IT’ers beter in staat om cyberaanvallen te identificeren, vroegtijdig in te grijpen en de schade te beperken. Met dat in het achterhoofd vindt sinds 2019 jaarlijks de Overheidsbrede Cyberoefening plaats. Aan de hand van een gesimuleerde hackaanval wordt er door de overheid geoefend met het goed afhandelen van een cyberincident.

Ook lokale en regionale overheidsorganen oefenen steeds vaker. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties ontwikkelde de afgelopen jaren drie oefenpakketten voor gemeenten en provincies. Ook waterschappen zijn actief bezig om te oefenen met cyberaanvallen en digitale dreigingen.

Oefenen, oefenen en nog eens oefenen

In de ogen van staatssecretaris Knops zijn er de afgelopen jaren belangrijke stappen gezet om de digitale weerbaarheid van de publieke sector te verhogen. Tegelijkertijd erkent hij dat de afhankelijkheid van digitale processen nog nooit zo groot was. Door de coronapandemie is dat alleen maar verder toegenomen. Incidenten zoals met de software van Citrix en ransomware-aanvallen bij de gemeente Hof van Twente, het Staring College in Lochem en Borculo, en de Universiteit Maastricht laten zien dat er nog werk voor de boeg is om digitale dienstverleningsprocessen en systemen minder kwetsbaar te maken.

“Technologie en de bijbehorende bedreigingen lijken zich sneller te ontwikkelen dan dat organisaties adequate beheersmaatregelen kunnen inrichten”, schrijft staatssecretaris Knops. “Hierbij is het besef gekomen dat men meer en meer moet accepteren dat cyberincidenten niet altijd te voorkomen zijn, maar dat men beter in staat moet zijn deze incidenten te detecteren en beter moet kunnen ingrijpen om de gevolgen te beperken.” Oefenen, oefenen en nog eens oefenen is volgens de staatssecretaris de belangrijkste remedie om cyberdreigingen eerder bloot te leggen en er tegen op te treden.

Knops: ‘Informatiebeveiliging is een gezamenlijke verantwoordelijkheid’

Stilzitten en niets doen is geen optie volgens Knops. “We zijn als samenleving afhankelijk van digitale middelen en zien tegelijkertijd een permanente digitale dreiging die de komende jaren zal blijven groeien. Stilzitten is om die reden geen optie: als overheid moeten we onszelf scherp houden en onze inzet blijven aanscherpen op basis van voortschrijdend inzicht.”

De staatssecretaris stelt dat informatiebeveiliging ‘een gezamenlijke verantwoordelijkheid’ is van de gehele publieke sector. “Permanente aandacht blijft nodig voor de risico’s die verdergaande technologische en maatschappelijke ontwikkelingen brengen. Voor de overheid betekent dat vooral: een krachtige regierol, inspelen op de ontwikkelingen, overheidsbreed samenwerken en voorwaarden scheppen. Burgers, ondernemers en andere organisaties moeten blijvend kunnen vertrouwen op de overheid, ook in het digitale tijdperk.”

‘Betalen van losgeld bij cyberaanval is zeer onwenselijk’

Het is niet de eerste keer dat staatssecretaris Knops het belang benadrukt van oefenen met fictieve cyberaanvallen. Afgelopen januari schreef hij een brief aan de Tweede Kamer waarin hij het belang van permanent oefenen ook al benadrukte. In de brief stelde hij tevens dat het betalen van losgeld bij een ransomware-aanval ‘zeer onwenselijk’ is.

“Het betalen van losgeld is zeer onwenselijk, omdat dit het crimineel verdienmodel ondersteunt. De politie ziet bovendien dat losgeld door criminelen direct wordt geïnvesteerd in nieuwe ransomware-aanvallen. Het advies is daarom om altijd aangifte te doen bij de politie en geen losgeld te betalen”, aldus Knops.

Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus en het Nationaal Cyber Security Centrum (NCSC) delen deze mening. “Er is geen enkele garantie dat de sleutel (decryptor) of het wachtwoord aan u wordt overhandigd nadat u het gevraagde losgeld heeft betaald. Daarnaast zijn er cases bekend waarbij na betaling hetzelfde slachtoffer nogmaals werd geraakt”, stelde het NCSC afgelopen december.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen