Advies: overheid moet meer waarschuwen voor cyberaanvallen
De Nederlandse overheid moet beter waarschuwen voor dreigende cyberaanvallen. Alle "potentiële slachtoffers" moeten op tijd weten wat er zou kunnen gebeuren. Dat zegt de Onderzoeksraad voor Veiligheid (OVV). Nu krijgen alleen de overheid zelf en vitale plekken een alarm. De rest van het land ontvangt geen waarschuwing, omdat dit van de wet niet hoeft.
Lees ook | 'Er is vooruitgang geboekt op Digitalisering'
Het kritische rapport van de OVV komt op een lastig moment, nu een nieuw softwarelek al dagen grote problemen veroorzaakt bij digitale diensten van overheden en in het bedrijfsleven.
Citrix
De raad onderzocht de afgelopen twee jaar de lek bij het bedrijf Citrix, waar kwaadwillenden via de software binnen konden dringen in computersystemen van gebruikers. Volgens de raad blijkt uit dit voorval dat de Nederlandse overheid en het bedrijfsleven zeer kwetsbaar zijn voor cyberaanvallen.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid stuurde destijds meteen een waarschuwing naar overheidsdiensten en vitale organisaties, maar niet naar andere potentiële slachtoffers. Van de wet hoeft dat namelijk niet. "Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen.
Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties, constateert de Onderzoeksraad. De aanvallers kunnen zo'n slachtoffer op elk moment raken. Als dat gebeurt, worden "bedrijfsprocessen, dienstverlening, privacy en veiligheid" verstoord, aldus de Onderzoeksraad.
Centrale aanpak
Volgens de OVV is het belangrijk dat er vanuit de overheid een centrale aanpak komt om cyberdreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen.
Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus zei dit jaar nog tegen het Parool aan een wetswijziging te werken, wat de NCSC meer ruimte zou geven binnen de wet.
De OVV pleit in het rapport om nog meer te doen tegen cybercriminaliteit. De OVV roept de rijksoverheid dwingend op om één centrale cyberveiligheidsdienst op te tuigen en vindt ook dat er binnen het kabinet een minister of staatssecretaris verantwoordelijk moet worden gesteld voor cyberveiligheid.
Luister ook | Ellen Nauta (Hof van Twente) heeft nog steeds last van grootschalige hack
Zeer kwetsbaar
Ook volgens Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid, is Nederland zeer kwetsbaar voor cyberaanvallen. 'We lopen veel gevaar. Zowel door Citrix en misschien nog wel meer door 'log4j'. Nederland is een zeer gedigitaliseerd land. Dat heeft veel voordelen, maar brengt ook kwetsbaarheid met zich mee. De incidenten volgen elkaar sneller op en het aantal partijen dat er handigheid in heeft om er misbruik van te maken is ook razendsnel toegenomen.
Op dit moment gebeurt het acute werk. Iedereen kijkt voor zich, ben ik kwetsbaar? Het is nu wachten op allerlei reparaties, die verschillende softwareontwikkelaars nu aan het ontwikkelen zijn. Maar dat kost allemaal tijd. En elk stukje tijd wat verloren gaat, wordt door aanvallers gebruikt om iets te proberen.’
Wetgeving
Tot nu toe werd er gewerkt aan stukjes wetgeving, zegt Dijsselbloem, maar het nieuwe kabinet lijkt nu een signaal gegeven te hebben dat men ook gaat kijken naar het mandaad van het Nationaal CyberSecurity Centrum (NCSC). Dijsselbloem: ‘Dat moet echt gebeuren. Het is nu echt nog ‘houtjetouwtje’. Onze belangrijkste aanbeveling is om één centrale voorziening te creëren met een stevige wettelijke mandaad, die informatie kunnen ophalen. Het internet kunnen scannen en potentiële slachtoffers die in gevaar zijn snel en direct kunnen waarschuwen.’