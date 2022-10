Het is een doorn in het oog van het Nederlandse bedrijfsleven: de overheid deelt belangrijke informatie over cyberdreigingen niet meteen met de grootste bedrijven van het land.

De wet staat nog niet toe dat het Nationaal Cyber Security Center (NCSC) zulke informatie met niet-vitale sectoren deelt – een groot deel van het bedrijfsleven vist dus achter het net. Maar met een omweggetje hebben initiatiefnemers ASML en ABN Amro een manier gevonden om de cruciale kennis te bemachtigen om hun productieketens te beveiligen tegen hackers.

Via de nieuwe stichting CISO Circle of Trust – opgericht in samenwerking met NCSC – krijgen de beveiligingsbazen van tien Nederlandse topbedrijven toegang tot de meest accurate en actuele waarschuwingen over kwetsbaarheden en actieve hackersgroepen. En ze mogen die informatie ook gaan delen met hun toeleveranciers. Dat is met name voor ASML belangrijk: het hightechbedrijf werkt met honderden toeleveranciers in binnen- en buitenland.

‘Geen praatclub’

Dinsdag, tijdens cybersecurityconferentie ONE in Den Haag, kondigde de CISO Circle of Trust zijn bestaan aan met een persbericht. De techniek werkt al, het NCSC werkt mee om ook de meest gevoelige informatie te kunnen delen. Andere bedrijven die meedoen zijn onder meer Shell, Philips, Akzo en KPN.

„Dit is geen praatclub. We hebben een platform gebouwd om actuele dreigingsinformatie te delen om je bedrijf en je toeleveranciersketen beter te beveiligen”, zegt Aernout Reijmer, verantwoordelijk voor de informatiebeveiliging bij ASML.

Het systeem is zo ingericht dat gevoelige informatie over de herkomst van een kwetsbaarheid of dreiging niet zomaar doorgegeven kan worden. Bovendien worden de deelnemers geacht ook zelf kwetsbaarheden die ze tegenkomen te delen.

Er was geen tijd om te wachten op wetswijziging, zegt Reijmer. „Dat duurt twee jaar.” Ondertussen slaan hackers dagelijks toe. Dat merkte ASML’s toeleverancier VDL, die vorig jaar weken plat lag door een hackaanval. Ook in andere branches zijn de problemen tastbaar. Zo zorgde een ransomware-aanval op een toeleverancier van supermarktketen Albert Heijn ervoor dat er geen kaas meer in de schappen lag.

Reële dreiging

NCSC heeft toegang tot de meest actuele informatie over cyberdreigingen, onder meer met gegevens van de veiligheidsdiensten. Er is geen mandaat om economische bedrijvigheid in Nederland te beveiligen. Maar de dreigingen zijn zo reëel dat NCSC manieren zoekt om de economie toch te kunnen beschermen. Zo heeft de Rotterdamse haven sinds dit voorjaar toestemming om kritische informatie te delen met toeleveranciers.

ASML gaat de informatie van de Circle of Trust inzetten voor zijn toeleveranciersketen, ook in het buitenland. Reijmer: „We hebben net zo’n netwerk opgebouwd met de halfgeleiderindustrie in de VS en gaan dat nu ook in Oost-Azië opzetten.”

Ook bij Chinese chipbedrijven? „Ook in China hebben ze ransomware en willen we dat onze klanten beschermd blijven. We zullen goed opletten welke informatie we mogen delen en welke niet.”