Internetproviders willen bedrijven waarschuwen voor beveiligingslekken

Het nieuwe, gezamenlijke meldingssysteem wordt door de Nederlandse internetproviders en onder meer de TU Delft ontwikkeld, vertelt Octivia de Weerdt, directeur van NBIP, aan het Financieele Dagblad. Dat systeem vat automatisch informatie uit diverse bronnen samen. Op basis daarvan moeten beveiligingsproblemen in de netwerken van de providers snel ontdekt en gecorrigeerd worden.

Het platform kan daarnaast informatie doorgeven die bij het NCSC binnenkomt. Het NCSC krijgt regelmatig meldingen over ernstige beveiligingslekken bij bedrijven. Maar de overheidsorganisatie mag die informatie alleen doorgeven aan bedrijven in de vitale sector en aan organisaties die behoren tot het Landelijk Dekkend Stelsel (LDS). Dat zijn naast het NCSC ook bijvoorbeeld het Digital Trust Center, CERT's als het SURFcert en zogeheten OKTT-organisaties. Zij kunnen informatie weer doorgeven aan bij hen aangesloten partijen.

Het NBIP is volgens Tweakers nu één van die OKTT's geworden, die 'objectief kenbaar tot taak' heeft om andere organisaties te informeren over beveiligingslekken. De informatie die het NBIP van het NCSC krijgt, kan het dus delen met het bedrijfsleven. Welke informatie het NBIP precies krijgt van het NCSC, is nog niet duidelijk. 

Meldingen blijven probleem

Dat veel bedrijven nog buiten de boot vallen onder het huidige LDS en daardoor gevaar lopen, is al meermaals aangekaart. In augustus bleek bijvoorbeeld dat het ministerie van Justitie en Veiligheid - waar het NCSC onder valt - al maanden wist dat diverse organisaties in Nederland gevaar liepen door beveiligingsproblemen, maar die informatie niet met hen deelde.

Beveiligingsonderzoeker Matthijs Koot vertelde AG Connect in maart dat hij het NCSC in augustus vorig jaar op de hoogte stelde van een beveiligingslek bij onder meer GWK Travelex. Het grenswisselkantoor bleek het lek in VPN-dienst Pulse Secure nog niet te hebben gedicht, ook al was er al een patch voor. Maar ook na herhaalde meldingen van Koot aan het NCSC werd het lek niet gedicht: GWK Travelex werd met de jaarwisseling via het gat in de beveiliging gehackt. Het NCSC en GWK wilden destijds niet bevestigen of ontkennen dat er bij het grenswisselkantoor melding was gemaakt over het lek. 

De Cyber Security Raad benadrukte vorige maand nog maar eens dat het LDS sneller uitgerold moet worden. "We kunnen het ons niet veroorloven dat onze cyberweerbaarheid in het geding komt doordat de informatievoorziening in ons land hapert", aldus de Raad in zijn advies. Daar wordt overigens ook aan gewerkt: in augustus werd het Cyber Weerbaarheidscentrum Brainport in Eindhoven aangewezen als OKTT, net als het NBIP nu.