PvdA wil opheldering over cyberweerbaarheid overheid

Hangslot op een printplaat

De Partij van de Arbeid (PvdA) wil tekst en uitleg van het kabinet over de cyberweerbaarheid van de Nederlandse overheid. Is de regering bestand tegen cyberaanvallen? En bestaat er een noodprotocol waardoor de dienstverlening van de regering kan doorgaan, ook als ze het slachtoffer is van een cyberaanval?

Dat blijkt uit schriftelijke vragen die gesteld zijn door Barbara Kathmann van de PvdA.

Honderden organisaties plat door DDoS-aanval op Belnet-netwerk

Aanleiding voor de vragen is de grootschalige DDoS-aanval op het netwerk van Belnet. Overheidsorganen, onderwijsinstellingen en nog zo’n tweehonderd andere organisaties werden daardoor in ‘meer of mindere mate’ van het internet afgesloten. Ook werkten diverse applicaties niet langer door de aanval. In het parlement werden diverse hoorzittingen noodgedwongen geannuleerd.

Daags na de DDoS-aanval wist Belnet, met behulp van hulp van het Centrum voor Cybersecurity België (CCB), de aanval onder controle te krijgen. Dirk Haex, technisch directeur van Belnet, zij dat zijn bedrijf niet eerder zo’n omvangrijke aanval had meegemaakt. “We zijn ons ten volle bewust van de impact die deze aanval heeft veroorzaakt op de organisaties die zijn aangesloten op ons netwerk en hun gebruikers en beseffen dat dit hun werking grondig in de war heeft gestuurd.”

Gezien de omvang van de DDoS-aanval en de werkwijze van de daders, was de aanval hoogstwaarschijnlijk niet gericht op één specifieke organisatie. Het is nog altijd onduidelijk wie er verantwoordelijk is voor deze actie.

Is de overheid bestand tegen een cyberaanval?

Kathmann maakt zich zorgen dat zo’n situatie zich ook in ons land kan voordoen. Daarom heeft ze een aantal schriftelijke vragen opgesteld voor de demissionair minister van Binnenlandse Zaken en Koninkrijksrelaties Kajsa Ollongren. Allereerst vraagt de PvdA’er zich af hoe vaak de Nederlandse overheid het doelwit is geweest van een cyberaanval.

Haar volgende vraag borduurt hier op voort. “Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDoS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?” Ook wil Kathmann weten of de overheid proactief zoekt naar kwetsbaarheden in de beveiliging.

Wel of geen noodprotocol bij cyberaanval?

Verder informeert de sociaaldemocraat of de overheid over een noodprotocol beschikt als ze ooit getroffen wordt door een cyberaanval. Het doel van een noodprotocol is dat de dienstverlening van de regering overeind blijft, zelfs als cybercriminelen, hackers of statelijke actoren er alles aan doen om het vleugellam te leggen. Als er geen noodprotocol bestaat, zo vraagt Kathmann, staat het kabinet er dan voor open om er een te ontwikkelen?

Tot slot wil de politica van minister Ollongren weten of ze contact heeft gehad met haar Belgische collega over de DDoS-aanval op Belnet. Als dat het geval is, dan wil het Kamerlid weten wat er besproken is en wat het heeft opgeleverd. De laatste vraag die de PvdA stelt is welke lessen er te leren zijn van de cyberaanval in België.

Oefenen, oefenen en nog eens oefenen

In maart schreef demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops een voortgangsbrief aan de Tweede Kamer. Daarin zei hij het een en ander over de cyberweerbaarheid van de Nederlandse overheid en samenleving. In de brief benoemde hij diverse initiatieven die het afgelopen jaar van de grond zijn gekomen om de informatiebeveiliging van de overheid te vergroten. Dan moet je denken aan nieuw inkoopbeleid om waakzamer te zijn voor informatieveiligheidseisen en een plan om HTTPS verplicht te stellen bij websites en webapplicaties van de overheid.

De beste manier om alert te zijn en te blijven voor digitale dreigingen en cyberaanvallen, is volgens de staatssecretaris oefenen, oefenen en nog eens oefenen. Maar hoeveel bedrijven en organisaties in de publieke sector ook oefenen, het is onmogelijk om alle denkbare veiligheidsrisico’s uit te sluiten. “Technologie en de bijbehorende bedreigingen lijken zich sneller te ontwikkelen dan dat organisaties adequate beheersmaatregelen kunnen inrichten. Hierbij is het besef gekomen dat men meer en meer moet accepteren dat cyberincidenten niet altijd te voorkomen zijn, maar dat men beter in staat moet zijn deze incidenten te detecteren en beter moet kunnen ingrijpen om de gevolgen te beperken”, aldus Knops.

‘Permanente aandacht’ is volgens de staatssecretaris het sleutelwoord. In zijn ogen betekent dat dat de overheid een krachtige regierol op zich moet nemen, inspelen op technologische ontwikkelingen, overheidsbreed samenwerken en voorwaarden scheppen. “Burgers, ondernemers en andere organisaties moeten blijvend kunnen vertrouwen op de overheid, ook in het digitale tijdperk”, zo eindigde Knops zijn brief.

Update (5 juni 2021): in een brief aan de Tweede Kamer laat demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops weten dat hij niet kan zeggen hoe vaak de Nederlandse overheid het doelwit is geweest van een cyberaanval. “In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen”, schrijft hij.

Knops is ervan overtuigd dat ons land bestand is tegen cyberaanvallen. Dat is onder meer te danken aan de Baseline Informatiebeveiliging Overheid (BIO) en het feit dat de Rijksoverheid en andere overheidsinstanties voortdurend hun eigen systemen testen en controleren op kwetsbaarheden. “De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij.”

De belangrijkste les die we volgens de staatssecretaris kunnen leren van de DDoS-aanval op Belnet, is dat cyberdreigingen niet gebonden zijn aan landsgrenzen. “Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren”, schrijft de staatssecretaris aan de Tweede Kamer.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen