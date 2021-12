De Nederlandse aanpak van digitale veiligheid moet „snel en fundamenteel” veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat schrijft de Onderzoeksraad voor Veiligheid (OVV) in een donderdag verschenen onderzoek naar grote beveiligingsproblemen in begin 2020 door een lek in Citrix, veelgebruikte software om op afstand toegang te krijgen tot bedrijfsnetwerken.

Aanleiding voor het onderzoek was een kwetsbaarheid in die software. Hackers konden die benutten en maakten er eind 2019, begin 2020 op grote schaal misbruik van. Het Nationaal Cybersecurity Centrum (NCSC) riep organisaties half januari op om het programma uit voorzorg uit te schakelen.

„Uit het voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd”, concludeert Jeroen Dijsselbloem, voorzitter van de OVV. „De urgentie neemt almaar toe, de dreiging neemt almaar toe – zie afgelopen weekend de problemen rond [in logapp] Log4J – en de gemeenschap die er een slaatje uit wil slaan wordt steeds actiever. En wij zijn nog steeds aan het studeren op wetgeving.”

Bij elke schakel gaat tijd verloren Jeroen Dijsselbloem Voorzitter OVV

De OVV is kritisch op de „beperkte” rol van de overheid en het functioneren van het Nationaal Cyber Security Centrum (NCSC), het overheidsorgaan dat verantwoordelijk is voor de digitale veiligheid van Nederland. Het centrum wordt door onder meer inlichtingendiensten en softwareleveranciers gevoed met allerlei cruciale informatie, maar benut die informatie onvoldoende. Formeel speelt het centrum alleen een rol bij het beveiligen van de overheid en bedrijven in de vitale sector.

Bedrijven die buiten het mandaat van het NCSC vallen, kunnen onder de huidige wetgeving die ‘dreigingsinformatie’ niet krijgen. Zij zijn – in afwachting van een wet die het mandaat van het NCSC moet verruimen – afhankelijk van andere organisaties, zoals het Digital Trust Center, een onderdeel van het ministerie van Economische Zaken en Klimaat. Het NCSC werkt daarnaast samen met andere CERTs – computer emergency response teams – van bijvoorbeeld de zorgsector of de Nederlandse gemeenten. „Bij elke schakel in deze digitale polder gaat tijd verloren”, zegt Dijsselbloem. „Het blijft fragmentarisch en daardoor ineffectief. Dat past niet bij de acute dreiging van zulke kwetsbaarheden.”

Belangrijke informatie uit internetscans kan het NCSC bovendien vanwege „juridische bezwaren” niet verzamelen, zegt de OVV. Nederland is daarom deels afhankelijk van cybersecurity-experts die in hun vrije tijd wél het internet verkennen op zoek naar kwetsbare machines, die vervolgens organisaties inlichten.

Investeringen in cybersecurit

Het coalitieakkoord van woensdag bevatte voor het eerst een digitaliseringsparagraaf, waarin cybersecurity en „het beschermen van bedrijven, vitale infrastructuur en economisch kapitaal” aan bod komen. Er komt extra geld voor een algoritmetoezichthouder, onder te brengen bij de Autoriteit Persoonsgegevens (AP), die al jaren kampt met tekorten en daarvoor structureel meer geld krijgt; op termijn 8 miljoen euro. „Er moet nog veel gebeuren, maar dit is een mooie stap in de goede richting”, reageert de AP.

Volgens Kamerlid Lisa van Ginneken (D66) was er niet eerder een akkoord met zoveel aandacht voor het „het digitaliseringsvraagstuk”. „We hebben de positie ingenomen en de ambitie uitgesproken dat zaken als digitale burgerrechten en data-ethiek er echt toe doen.” Daar zitten ook investeringen in cybersecurity bij, zegt Van Ginneken. „Je ziet in de financiële paragraaf op heel veel posten enorme verruiming. Dat gaat ook om extra geld voor cybersecurity.”

Dijsselboem ziet er evenwel nog niet de doorbraak in die volgens hem nodig is. „Het coalitieakkoord is in lijn met hoe het nú gaat. We behouden het versnipperde landschap met allemaal stukjes bevoegdheden, maar alles bij elkaar onvoldoende mandaat om snel en effectief op te mogen treden. We moeten hier een stap verder gaan en zorgen dat er één voorziening komt die én de informatie kan binnenhalen én rechtstreeks potentiële slachtoffers snel kan waarschuwen.”

Van Ginneken is het met de kritiek van Dijsselbloem eens, maar zegt ook dat het akkoord „invullingsvraagstukken” bewust open laat. „We zeggen heel nadrukkelijk in het coalitieakkoord dat het nu te versnipperd is en er echt veel meer centraal gecoördineerd moet worden, vanuit samenwerking. In zoverre is het in lijn met de aanbeveling van Jeroen Dijsselbloem. Maar als hij zegt: ik zie het niet zo concreet terug in het regeerakkoord, dan kan ik me dat voorstellen.”