Beheer

Governance
caution malware code

IT-beveiligers slaan alarm over groei ransomware-aanvallen

Overheid moet bedrijven verplichten zich te beschermen tegen cyberaanvallen

© CC0
4 augustus 2021

Overheid moet bedrijven verplichten zich te beschermen tegen cyberaanvallen

Drie directeuren van Nederlandse IT-beveiligers zeggen in De Volkskrant dat de snelle stijging van het aantal cyberaanvallen met ransomware zich ontwikkelt tot een nationale ramp. Ze suggereren dat de overheid veel adequater moet optreden. Er is veel aandacht voor fysieke veiligheid maar wat de overheden doen op het gebied van digitale veiligheid is te vrijblijvend en vooral veel te traag.

De drie - Job Kuijpers, directeur en oprichter van Eye, Ronald Prins, oprichter van Hunt & Hackett en Pim Takkenberg, directeur cybersecurity bij Northwave - zeggen in de ochtendkrant om te komen in het werk. De oorzaak zit in het feit dat bedrijven over het algemeen erg slecht zijn voorbereid op een hack. Het gaat niet alleen om spraakmakende digitale inbraken bij een aantal grote bedrijven maar juist om een enorme hoeveelheid kleine mkb-bedrijven.

Volgens Piet Kerkhofs, medeoprichter van Eye dat zich vooral op mkb richt, moeten de bedrijven in 90% van de gevallen betalen of alles opnieuw opbouwen. Eenmaal getroffen door ransomware waarbij ook de backups zijn vernietigd, is er weinig wat het beveiligingsbedrijf nog kan doen. Het herstellen van de ict van een bedrijf is kostbaar. Kerkhofs zegt vaak twee tot drie weken bezig te zijn. Bedrijven zijn daarbij slecht verzekerd. Kuijpers verbaast zich erover dat nog geen 5% van de mkb-bedrijven een verzekering heeft tegen IT-beveiligingsincidenten, terwijl ze wel allemaal een brandverzekering hebben. "De kans op een brand is 1 op 8.000. De kans op een hack 1 op 8."

Rol voor de overheid

De drie vinden dat de overheden de sluipende nationale ramp onvoldoende op het netvlies hebben. Organisaties als het Nationaal Cyber Security Center (NCSC) en het Digital Trust Center hebben te weinig mandaat en nauwelijks budget. De drie pleiten voor een actievere houding. Prins vindt dat het NCSC net als in Groot-Brittannië een normenkader moet afdwingen net als het verplichten van het aanbrengen van updates.

Ook zouden de betrokken overheidsdiensten veel meer informatie moeten uitwisselen en delen met andere partijen. Takkenberg: " Ze zien voorbodes van aanvallen, deel die, of haal aanvalsservers uit de lucht. Nu is het afwachten en wachten op klappen." Prins pleit er ook voor om het businessmodel van ransomwaregroepen stuk te maken. "Elke keer als ze Nederland aanvallen, maak je hun infrastructuur kapot. Dat vinden ze irritant en vervolgens gaan ze ergens anders heen."

Lees meer over Beheer OP AG Intelligence
1
Reacties
P.J. Westerhof LL.M MIM 29 augustus 2021 21:55

"Overheid moet bedrijven verplichten zich te beschermen tegen cyberaanvallen".
Volstrekte onzin. In 95% van de gevallen is geen sprake van een 'aanval' maar van verwijtbare nalatigheid, slordigheid, schuld afschuiven en populisme.

Er is al decennia (inter)nationale wet- en regelgeving die de plicht tot beveiliging in zich dragen.
Verantwoordelijk 'bestuurders' bij overheden en bedrijfsleven ontduiken die verplichtingen. Uit onwil, onkunde of desinteresse. En het gemak van niet hoofdelijk aansprakelijk te zijn voor schade en mismanagement.

De tot handhaven verplichte overheid blijft in gebreke door capaciteitsgebrek of politieke prioriteiten.
Zoals bij de Autoriteit Persoonsgegevens, dat door een reeks ministers de strot flink kreeg en krijgt dichtgeknepen.
Zoals recentelijk weer door minister Dekker, met veel minachting, onwil, onkunde en desinteresse.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.