Innovatie & Strategie

Security
nooduitgang

'Het is eigenlijk begonnen bij DigiNotar'

Voorzitter Jeroen Dijsselbloem geeft toelichting op kritisch 'Citrix-rapport' OVV.

© Technisch Beheer Nederland, MultiBel
28 december 2021

Voorzitter Jeroen Dijsselbloem geeft toelichting op kritisch 'Citrix-rapport' OVV.

De naam DigiNotar komt niet voor in het nieuwe rapport van de Onderzoeksraad voor Veiligheid (OVV), maar voorzitter Jeroen Dijsselbloem kent zijn klassiekers in de ICT-security. De grote beveiligingsramp met die Nederlandse 'digitale notaris' voor wereldwijd gebruikte securitycertificaten heeft voor flinke veranderingen gezorgd. Net zoals meer recent de grote ramp met Citrix-software en diverse andere ernstige security-incidenten. Het gaat om 'die ene telkens terugkerende vraag', vertelt Dijsselbloem in gesprek met AG Connect.

"Wie gaat hier over?" De OVV-voorzitter verduidelijkt die ene kernvraag nog, want in de praktijk gaat het er niet alleen om wie er verantwoordelijk ís. Belangrijker nog is wie zich daarnaar gedráágt. "Wie neemt de leiding? Hoe is de crisis response geregeld?" In veel gevallen blijkt dat niet goed geregeld, niet goed vastgelegd en niet goed afgestemd. Telkens weer.

'Ieder voor zich'

Ook ruim een half jaar na de grote Citrix-securityramp wist toenmalig bewindsman Raymond Knops nog te stellen dat beveiliging 'ieder voor zich' is. De staatssecretaris voor Binnenlandse Zaken en Koninkrijksrelaties (BZK) in het kabinet Rutte III heeft formeel gezegd dat elk departement zelf verantwoordelijk is voor het op orde hebben van de ICT-beveiliging. Dit was in reactie op kritische vragen, gesteld tijdens het Algemeen Overleg over digitalisering, naar aanleiding van de Citrix-affaire.

Knops deed de mededeling dat Rijksoverheidsorganisaties 'in control' zijn en dat de centrale overheid gaat inzetten op een beleid van 'pas toe of leg uit'. Datzelfde beleid is ooit ingevoerd voor de omarming van open standaarden door de Nederlandse overheid. In de praktijk blijkt kiezen voor gesloten standaarden en het uitleggen van keuzes best te doen. De vraag is of de complexe kwestie van cybersecurity ontkomt aan eenzelfde ontwikkeling.

Nieuw kabinet, nieuwe kansen?

Knops' keuze om elke overheidsorganisatie het zelf op te laten knappen, kan echter gekeerd worden door de grotere focus op digitalisering en security die het nieuwe kabinet (Rutte IV) lijkt te hebben. Verder zijn er in de loop van de tijd diverse formele adviezen en dringende oproepen gedaan voor betere beveiliging op ICT-gebied. Deze adviezen, oproepen en aanbevelingen zijn gekomen van onder meer securityleveranciers, brancheorganisaties, onderzoekers en wetenschappers, maar ook van formele instanties als de Cyber Security Raad (CSR) en nu ook de Onderzoeksraad voor Veiligheid (OVV).

De OVV is 'aangeslagen' op de grote securityramp door een beveiligingsgat in Citrix-software voor remote toegang tot ICT-systemen. Dat gat is eind 2019 bekend geworden en heeft begin 2020 veel impact gehad. De OVV schrijft in zijn laatst uitgebrachte rapport dat de onderzochte Citrix-software werd gebruikt door 80% van de Rijksoverheidsorganisaties en twee derde van gemeenten en provincies. Daarnaast gebruiken ook gewone bedrijven, onderwijsinstellingen, ziekenhuizen en meer organisaties dergelijke software, voegt de raad daar aan toe.

SolarWinds, Kaseya, Exchange

Het OVV-rapport 'Kwetsbaar door software' heeft weliswaar als ondertitel 'Lessen naar aanleiding van beveiligingslekken door software van Citrix', maar het beperkt zich niet tot behandeling van die ene casus. "In de loop van ons onderzoek zijn er diverse andere incidenten geweest", vertelt voorzitter Dijsselbloem aan AG Connect. Enkele van die security-incidenten zijn ook meegenomen in het onderzoek van dit zelfstandige bestuursorgaan.

Zo valt in het rapport ook te lezen: "De recentere aanvallen via SolarWinds, Kaseya en Microsoft Exchange hebben naar schatting duizenden organisaties wereldwijd getroffen, waaronder een Zweedse supermarktketen en een Nederlandse logistieke dienstverlener voor een supermarktketen". De OVV schrijft dat er sinds 2020 wereldwijd een toename van cyberaanvallen "waarneembaar" is. Deze offensieve ICT-acties lopen uiteen van ransomware tot economische spionage en cybersabotage plus voorbereiding daarop.

In de kern zijn het geen gloednieuwe zaken, alleen wel in veel grotere aantallen en met veel grotere impact. Bovendien is er sprake van een groter aanvalsoppervlak. Aanvallers misbruiken namelijk nog altijd de kwetsbaarheden die in het OVV-rapport zijn geanalyseerd. "Er komen bovendien steeds nieuwe kwetsbaarheden bij. Softwarekwetsbaarheden vormen daarom een steeds urgentere en grotere dreiging voor de digitale en de fysieke veiligheid", stelt de onderzoeksraad in het rapport.

DigiNotar, en ziekenhuizen

OVV-voorzitter Dijsselbloem vergroot het tijdsbestek van impactvolle cyberaanvallen door een historische Nederlandse casus te noemen. "Het is eigenlijk begonnen bij DigiNotar." Die certificaatuitgever bleek in 2011 te zijn gehackt door Iraanse aanvallers. De systemen van het Nederlandse bedrijf zijn toen misbruikt om oneigenlijke certificaten te verstrekken voor domeinnamen van Google. Daarmee zijn vervolgens beveiligde verbindingen 'omgeleid' om bijvoorbeeld Gmail- en chatverkeer af te kunnen tappen.

De OVV heeft toen die geruchtmakende hack onderzocht. Recenter heeft de Onderzoeksraad kritisch gekeken naar cybersecurity in de zorg. In 2018 is onderzoek gestart naar de digitale veiligheid van ziekenhuizen. Aanleiding daarvoor waren ICT-storingen bij het IJsselland Ziekenhuis (in Capelle aan den IJssel) en het Radboudumc (in Nijmegen), plus verschillende ransomware-aanvallen op ziekenhuizen in de afgelopen jaren. Daardoor konden operaties niet worden uitgevoerd en werd de spoedeisende hulp tijdelijk gesloten. De conclusie begin 2020 van het OVV-onderzoek hiernaar was dan ook dat verstoringen van ICT-voorzieningen de veiligheid van patiënten in gevaar kunnen brengen.

Stadions, vliegtuigen, software

"Dus dit is nu het volgende rapport in een reeks", vertelt Dijsselbloem. Daarbij is cybersecurity slechts één van de vele aandachtsgebieden van de onderzoeksraad. Het werkveld van dit orgaan is namelijk heel breed: van instortende stadions tot neerstortende vliegtuigen. En kwetsbare softwaresystemen, die heel Nederland digitaal gevaar laten lopen.

De bredere onderzoeksblik die de OVV nu hanteert, betekent dat het huidige, lopende securitydrama van loggingtool Log4j ook wordt bestreken. Niet letterlijk, maar wel qua soort securityzaak. Daarbij zijn leveranciers zelf ook kwetsbaar gebleken. Cruciaal en verbindend kenmerk is dat het telkens gaat om veelgebruikte software, die daardoor veel verschillende organisaties raakt. In de reactie is er ook sprake van een telkens terugkerend patroon, vertelt de OVV-voorzitter aan AG Connect. "Wie gaat hier over? En over hoeveel verschillende schijven gaat overleg erover?"

Tijd verspillen

"Je kunt niet zoveel tijd verspillen met bepalen wie welke informatie mag delen." Dijsselbloem verwijst hier naar de weken die zaten tussen het begin van de Citrix-securityramp en de bredere aanpak daarvan. Half december 2019 begon het en half januari was een deel van Nederland geïnformeerd. Ondertussen zaten aanvallers niet stil. "Dit patroon doet zich elke keer weer voor."

Ondanks die herhaling - en de historie van impactvolle incidenten, teruggaand tot DigiNotar - is het volgens Dijsselbloem nog een relatief nieuw terrein. "Voor iedereen." Digitalisering en weerbaarheid op dat vlak - of eigenlijk: gebrek aan cyberweerbaarheid - zijn nog jong vergeleken met andere terreinen. Maar ze maken wel onstuimige groei door.

Beter borgen

"In de EU heb je op zo'n beetje elk gebied hele strikte eisen", bijvoorbeeld voor plastic speelgoed uit China, "Behalve voor software". Dijsselbloem erkent dat het lastig is om software te binden aan harde veiligheidseisen, maar hij zegt dat er wel degelijk verbetering mogelijk is. Veiligheid valt beter te borgen, "bijvoorbeeld in het ontwerpproces". Leveranciers moeten daar volgens de OVV beter op worden aangesproken en fabrikanten moeten zelf betere regie voeren op wat zij in hun software gebruiken. Gebrek aan inzicht en grip op softwarecomponenten spelen nu ook bij Log4j.

Daarbij speelt er ook een spanningsveld tussen leveranciers en partners, stipt Dijsselbloem aan. Citrix wist eind 2019 en begin 2020 niet goed welke organisaties allemaal zijn software gebruikten, en dus risico liepen. Effectief en snel waarschuwen was dus niet goed mogelijk. Het OVV-rapport vermeldt daarover: “Naast het publiceren van de kwetsbaarheid en de mitigerende maatregel op zijn website zette de fabrikant zich in om zoveel mogelijk klanten wereldwijd rechtstreeks te waarschuwen. De fabrikant kon niet alle afnemers bereiken omdat hij niet beschikte over alle contactgegevens.”

Centraal cybersecurityorgaan

Terwijl de OVV onderzoek verricht en dan aanbevelingen doet, reikt hij niet concrete maatregelen aan. Toch geeft Dijsselbloem hardop denkend een mogelijke oplossing voor het spanningsveld tussen leveranciers en partners. Hij schetst de mogelijkheid van een niet-commercieel, centraal orgaan dat een breed mandaat heeft en wél contact kan opnemen met kwetsbare partijen. Deze mogelijke intermediair voor ICT-leveranciers, partners, maar ook securityonderzoekers moet dan níet weer een nieuwe tussenlaag zijn, die kostbare tijd opsoupeert.

Eén van de formele aanbevelingen die de OVV nu doet, is namelijk het wegnemen van de struikelblokken van verantwoordelijkheid, leiding en 'bureaucratie'. De onderzoeksraad stelt voor een centrale plek bij de overheid in te richten voor cybersecurity. "Allerlei schakels er tussenuit halen", vat Dijsselbloem het samen. Hij gaat niet zover dat hij zich openlijk uitspreekt voor een minister of zelfs ministerie van securityzaken, maar meer centralisering en kortere lijnen zijn wel hard nodig.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.