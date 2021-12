De Nederlandse aanpak van digitale veiligheid moet „snel en fundamenteel” veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat schrijft de Onderzoeksraad voor Veiligheid (OVV) in een donderdag verschenen onderzoek naar grote beveiligingsproblemen die begin 2020 ontstonden door een lek in software van Citrix.

De veelgebruikte software van Citrix, waarmee werknemers op afstand toegang kunnen krijgen tot bedrijfsnetwerken en -systemen, bleek kwetsbaar te zijn. Het Nationaal Cybersecurity Centrum (NCSC) riep organisatie half januari op om het programma uit schakelen uit angst voor misbruik. Hackers wereldwijd maakte op grote schaal misbruik van het lek.

„Uit het voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd”, concludeert Jeroen Dijsselbloem, oud-minister van Financiën en voorzitter van de OVV.

Kritisch op NCSC

De onderzoeksraad is kritisch op de „beperkte” rol van de overheid en het functioneren van de NCSC, het overheidsorgaan dat verantwoordelijk is voor de digitale veiligheid van Nederland. Het centrum is het landelijke aanspreekpunt voor zulke cyberincidenten en krijgt zo allerlei ‘dreigingsinformatie’ van softwareleveranciers, de cybersecurity-industrie, andere nationale centra en inlichtingendiensten uit binnen- en buitenland.

Die cruciale informatie, bijvoorbeeld over waar kwetsbare servers staan, wordt echter nu niet breed gedeeld omdat het NCSC formeel niet „de taken en de verantwoordelijkheden” voor organisaties buiten die overheidsdiensten en bedrijven in de vitale sector. De onderzoeksraad vindt het van groot belang er een „centrale aanpak” komt, waarmee alle potentiële slachtoffers van cyberaanvallen zo snel mogelijk gewaarschuwd worden.

Snelweg voor hackers

Onbekende kwetsbaarheden in software - zogenoemde zero days - kunnen binnen de kortste keren een snelweg voor hackers vormen om binnen te dringen, zoals nu ook bij de recente problemen rond Log4J duidelijk werd. Softwareleveranciers moeten op Europees niveau aangespoord worden meer verantwoordelijkheid nemen, adviseert de OVV.

Alleen patches - beveiligingsupdates - verspreiden om die door klanten te laten installeren is onvoldoende, vindt de OVV. Toen de beveiligingsupdate die het lek in Citrix dichtte al een aantal weken voorhanden was, bleken nog steeds tienduizenden servers wereldwijd kwetsbaar te zijn. Zo’n zevenhonderd daarvan stonden in Nederland.

„Zoals afgelopen weekend ook duidelijk is geworden met de Log4J-kwetsbaarheid, kunnen we telkens geconfronteerd worden met kwetsbaarheden in systemen (software en hardware) met potentieel verregaande gevolgen”, reageert demissionair minister Ferd Grapperhaus (Justitie en Veiligheid, CDA). Hij benadrukt dat de huidige rol van het NCSC „niet genoeg is” en wijst op een wetswijzing die het mandaat van het NCSC op termijn gaat verruimen. „Daarmee komt straks sneller en efficiënter dreigingsinformatie op de juiste plekken terecht.”

