Servers bij een datacenter op Science Park. Beeld ANP

‘Het is van groot belang dat er vanuit de overheid een centrale aanpak komt om cyberdreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen,’ stelt de onafhankelijke OVV in een donderdag verschenen rapport over cyberveiligheid.

De raad onderzocht de afgelopen twee jaar de chaos die in januari 2020 ontstond toen Citrix – alom gebruikte software om op afstand te werken – een lek bleek te bevatten. ‘Uit dit voorval blijkt dat de Nederlandse overheid en het bedrijfsleven zeer kwetsbaar zijn voor cyberaanvallen,’ concludeert de Raad.

De keiharde conclusies over het falende cyberveiligheidsbeleid komt op een pikant moment, nu een nieuw softwarelek al een week grote problemen veroorzaakt bij digitale diensten van overheden en bedrijfsleven.

Bij de Citrixaffaire moesten onder meer het rijk, de gemeenten Amsterdam en Rotterdam, de ziekenhuizen van Amsterdam UMC, De Nederlandsche Bank en veel bedrijven, waaronder Schiphol, de software uitschakelen. Daardoor kwam hun dienstverlening in gevaar. Pas na een week kon het probleem stapsgewijs worden opgelost.

Duizenden bedrijven gekraakt

In de tussentijd werden volgens de OVV ‘duizenden’ bedrijven en instellingen gekraakt door cybercriminelen. ‘Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data van bedrijven en organisaties.’

Het oponthoud ontstond ook doordat de belangrijkste overheidswaakhond op digitaal gebied, het Nationaal Cyber Security Centre (NCSC) alleen overheidsdiensten en ‘cruciale organisaties’ waarschuwde, bijvoorbeeld energiebedrijven, infrastructuurbeheerders (als Prorail en Schiphol) of waterbedrijven als Waternet. Bedrijven en instellingen die niet als ‘vitale infrastructuur’ worden beschouwd, bleven lang in het duister.

Naast de eigen verantwoordelijkheid van softwaregebruikers, ligt er volgens de Raad een belangrijke taak voor de overheid. ‘Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software.’

Bewust niet waarschuwen

Volgens het NCSC is haar wettelijke taak slechts het alarmeren en helpen van overheidsdiensten en vitale bedrijven. Een onderdeel van het ministerie van Economische Zaken, het Digital Trust Center, moet de rest van de maatschappij bijstaan, maar is afhankelijk van informatie van het NCSC. Dankzij die constructie gaat veel kostbare tijd – soms weken – verloren.

Justitieminister Ferd Grapperhaus zei eerder dit jaar in deze krant aan een wetswijziging te werken, waardoor het NCSC meer armslag zou krijgen. Volgens de OVV is dat nog niet voldoende. De raad beveelt de rijksoverheid dwingend aan één centrale cyberveiligheidsdienst op te tuigen.

Daarnaast moet binnen het kabinet één minister (of staatssecretaris) verantwoordelijk worden voor cyberveiligheid. Ook moeten softwareproducenten, bedrijven, overheden en instellingen wettelijk worden verplicht verantwoording af te leggen over hun aanpak.

‘Jaren te laat’

Volgens cyberdeskundige Ronald Prins komen de aanbevelingen ‘jaren te laat’. “De informatie over kwetsbaarheden en lekken ligt bij de NCSC in de la, maar ze willen het vanwege privacy niet algemeen bekendmaken. De overheid wil zich alleen bemoeien met vitale sectoren. Maar die scheidslijn is niet makkelijk te maken. Veel vitale organisaties zijn afhankelijk van de diensten van bedrijven en instellingen die die nu niet worden geïnformeerd, waardoor vitale diensten zelf ook weer gevaar lopen.”

Een groep vrijwilligers uit de digitale wereld gaat noodgedwongen zélf op zoek naar lekken en andere problemen. Sinds begin 2020 heeft dat platform, het Dutch Institute for Vulnerability Disclosure (DIVD), in 32 gevallen ruim 175.000 ‘kwetsbaarheden’ gevonden.

Daarnaast zette een groep cyberbeveiligers, waaronder Prins’ huidige bedrijf Hunt & Hackett en het door hem opgerichte Fox-IT, onlangs een eigen nonprofit-waarschuwingsdienst op voor het bedrijfsleven.