Het Nationaal Cyber Security Center (NCSC) heeft samen met het Landelijk Dekkend Stelsel (LDS) als taak om maatschappelijke ontwrichting door cyberdreigingen en -incidenten te voorkomen en te beperken, en om de digitale weerbaarheid van de samenleving te versterken. Toch is de overheidsorganisatie relatief beperkt in wat het allemaal mag. En ook het LDS is niet landelijk dekkend.

Stel je voor: je krijgt een lijst met daarop bedrijven die systemen in huis hebben die kwetsbaar zijn als gevolg van een al bekend lek. In plaats van die informatie met de bedrijven te delen en ze actief te waarschuwen zodat ze de kwetsbaarheden aan kunnen pakken, houd je de informatie voor jezelf. De bedrijven blijven daardoor dus risico lopen op een hack.

Dit is precies wat er in Nederland gebeurd is. Beveiligingsonderzoeker Matthijs Koot verstuurde naar eigen zeggen in augustus namelijk een lijst met organisaties die kwetsbaar waren voor het lek in de VPN-dienst van Pulse Secure naar het NCSC. In januari deed hij dat nogmaals, toen het Citrix-lek aan het licht kwam. Maar het NCSC mocht die informatie niet met alle kwetsbare organisaties delen. Dat is namelijk niet hun taak.

Alleen Rijk en vitaal