D66: 'Kabinet moet cyberadvies opvolgen'

Het maakt volgens Verhoeven niet uit dat het kabinet demissionair is. 'Het is slim om alle bedrijven goed te informeren, dat is voor het huidige kabinet gewoon uitvoering. Meer geld naar politie, of defensie, dat is iets voor een nieuw kabinet.' Het kabinet heeft volgens Verhoeven ook de ruimte om in cybersecurity te investeren.

Onder de vitale sectoren worden diensten verstaan die we niet kunnen missen, zoals telecom-, energiebedrijven en de bankensector. Die worden direct op de hoogte gesteld van een cyberaanval. Maar er zijn ook andere bedrijven die, misschien niet vitaal, maar wel belangrijk zijn voor de economie, zoals ASML, NXP en APM Terminals. Laatstgenoemde werd hard getroffen door de cyberaanval van vorige week.

Via-via

Volgens Ron de Mos, lid van de CSR, moeten veel meer Nederlandse bedrijven geïnformeerd worden bij cyberaanvallen. Op dit moment worden veel bedrijven hooguit gewaarschuwd vanuit de 'algemene berichtgeving'. Dat betekent dus 'via-via' of uit het nieuws. Het kan een' kwestie van dagen' zijn voordat niet-vitale bedrijven op de hoogte zijn van cyberdreiging.

Op dit moment spelen inlichtingendiensten mogelijke dreiging door aan het Nationale Cyber Security Centrum, informatieknooppunt en adviesorgaan van het Kabinet. Zij roepen op hun beurt de vitale bedrijven op om extra alert te zijn. Volgens Ron de Mos van CSR is dat niet voldoende en had de schade bij bedrijven als APM Terminals en pakketdienst TNT minder kunnen zijn, als zij eerder waren gewaarschuwd. 'Maar de verantwoordelijkheid ligt ook bij de bedrijven zelf', zegt De Mos.

Pro-actief

'Er zijn ook bedrijven die pro-actief zijn. Denk aan Havenbedrijf Rotterdam, of bedrijven die op Schiphol zitten. Die doen zelf heel veel', zegt De Mos. 'Anderen krijgen hun informatie uit de pers.'

Cybercriminaliteit neemt in omvang toe en vormt een steeds grotere bedreiging, volgens het rapport. 'De groeiende dreiging voor de cybersecurity van Nederland wordt vooral veroorzaakt door beroepscriminelen en statelijke actoren.' Daarom is het volgens De Mos noodzaak dat er zo snel mogelijk een nieuw kabinet komt.

Te laat

Ronald Prins, directeur van internetsecuritybedrijf Fox-IT, is het niet per se eens met de raad. 'Als de aanvallen plaatsvinden, dan is het kwaad al geschied, dan heeft het niet zo veel zin om te gaan informeren.' De vitale sectoren zijn vaak grote sectoren, zegt Prins, 'grote instellingen en ze zijn daardoor in staat om met die informatie om te gaan. De rest van het bedrijfsleven is gewoon nog niet zover om zelfstandig met dit soort informatie om te kunnen gaan', zegt Prins.

WannaCry had in een half uur heel Europa geraakt. Tot die tijd wist niemand wat er precies was gebeurd, zegt Prins. 'En was er dus geen waarschuwing mogelijk.' Het bedrijfsleven heeft volgens hem geen idee waar ze goede securitydiensten vandaan moeten halen. De overheid zou zich meer bezig moeten houden met het uitdelen van keurmerken voor goede beveiligingsdiensten.

Advies

Rogier Spoel, beleidsadviseur bij verladersorganisatie EVO-Fenedex, is blij met het advies van de Raad: 'Toen de Petya-aanval uitbrak moesten we dat vernemen uit de pers, en die berichten zijn soms vaag of sensatiebelust.' Spoel denkt dat een adequate informatievoorziening voor EVO-Fenedex en haar leden van belang is.

'De Haven van Rotterdam is officieel een vitaal bedrijf, maar APM Terminals, dat onder Maersk valt, dan weer niet. Terwijl een cyberaanval op APM wel een enorme impact heeft op het Havenbedrijf en de hele logistieke keten, internationaal zelfs. Terminal 2 werkt nog steeds niet. Geautomatiseerde kranen liggen stil, dat is het paradepaardje van de Rotterdamse Haven. Daardoor kunnen schepen niet laden en lossen. Dus je kunt zeggen dat een 'vitale' keten is ontregeld', zegt De Mos.