Ministeries over security: werk voor overheid én mkb

Drie topmanagers van drie Nederlandse IT-beveiligingsbedrijven hebben begin augustus alarm geslagen over de snelle toename van ransomware-aanvallen. Ronald Prins (van Hunt & Hackett, en voorheen Fox-IT), Job Kuijpers (van Eye) en Pim Takkenberg (van Northwave) waarschuwden voor een nationale ramp-in-ontwikkeling. Volgens de beveiligers moet de overheid veel adequater optreden om bedrijven beter te beschermen tegen cyberaanvallen.

Vooral kwetsbaar mkb

Het gaat de drie securitytopmannen niet alleen om spraakmakende digitale inbraken bij enkele grote bedrijven en organisaties. Ze maken zich juist zorgen over de grote hoeveelheid kleine Nederlandse mkb-bedrijven die een rijpe prooi vormen voor cybercriminelen. Navraag door AG Connect bij verantwoordelijke ministeries en cyberinstanties van de Nederlandse overheid levert uitgebreide antwoorden op.

“Het recent door de NCTV en het NCSC opgestelde Cybersecuritybeeld Nederland 2021 [van 28 juni 2021 - red.] ondersteunt het door de experts geschetste beeld van de toenemende problematiek rondom ransomware en de potentiële dreiging die het heeft voor (onder meer) de nationale veiligheid”, antwoordt het ministerie van Justitie en Veiligheid. Onder dat departement valt het cybersecurityorgaan NCSC (Nationaal Cyber Security Centrum) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid.

‘Grote verschillen in weerbaarheid’

“Eén van de kernbevindingen in het CSBN2021 is dat er grote verschillen aan het ontstaan zijn in de weerbaarheid van bedrijven en organisaties. Wij herkennen dan ook de ernst van de door de experts genoemde uitdagingen voor het mkb.” Eenzelfde geluid komt vanuit het ministerie van EZK (Economische Zaken en Klimaat). “Uiteraard nemen we signalen - zoals deze vanuit de markt - serieus en kijken we continu of en hoe we onze dienstverlening kunnen verbeteren.”

EZK noemt in de reactie aan AG Connect voorbeelden als het aangaan van “(nadere) samenwerkingen tussen bijvoorbeeld politie, KvK, DIVD en ook met private partijen”. DIVD is een vrijwilligersorganisatie voor ICT-security die recent veel werk heeft verzet.

Vanuit de Nederlandse inlichtingendienst AIVD, wat valt onder het ministerie van Binnenlandse Zaken (BZK), krijgt AG Connect eveneens een bevestigende reactie. “Ook de AIVD waarschuwt al langer voor de toenemende cyberdreiging. Daarover heeft de dienst bijvoorbeeld in het meeste recente jaarverslag en de publicatie Dreigingsbeeld Statelijke Actoren [van 3 februari 2021 - red.] uitspraken gedaan.”

Terugwijzen

Naast de erkenning van de alarmmelding door Nederlandse IT-beveiligers stellen de aangeschreven overheidsorganen dat het bedrijfsleven zelf tekortschiet wat ICT-security betreft. Uit het CSBN2021-rapport blijkt volgens JenV ook dat veel organisaties “nog steeds niet alle benodigde basismaatregelen treffen of deze onvoldoende implementeren”.

“Het gaat dan bijvoorbeeld om het gebruik van multifactorauthenticatie, tijdige patching, en logging van netwerkverkeer. Het NCSC publiceerde dit jaar gelijktijdig met het CSBN de Handreiking Cybersecuritymaatregelen, waarin belangrijke (basis)maatregelen worden beschreven die organisaties kunnen treffen.”

EZK en het daaronder vallende Digital Trust Center (DTC) “zien ook dat het mkb nu nog vaak onvoldoende maatregelen neemt om zich te beschermen tegen onder andere ransomware-aanvallen, terwijl de incidenten blijven toenemen”. In de reactie aan AG Connect legt het ministerie uit dat de oorzaak hiervan meestal is terug te voeren op een gebrek aan kennis en/of bewustzijn.

Volgens EZK leeft de notie dat cybersecurity duur is en te ingewikkeld; 'het overkomt me toch niet, het is niet belangrijk’. “Op precies dat punt is het DTC hard bezig om verandering op gang te brengen. En ook wettelijk wordt er het nodige voorbereid door de ministeries van EZK en JenV.” Een concrete uitwerking is de recente uitbreiding van het mandaat van NCSC en DTC om informatie over digitale dreigingen en security-incidenten breder te kunnen delen.

Technopreventie

De overheid kan het echter niet alleen, stipt JenV nog aan. “Bedrijven zullen zelf aan de voorkant moeten investeren in digitale veiligheid, zoals ze dat ook in fysieke veiligheid doen door middel van technopreventie en verzekeren.” Daarnaast, zo vervolgt het ministerie, moeten ook bedrijven die zijn gespecialiseerd in incident respons - zoals dus Hunt & Hackett, Eye en Northwave - blijvend aandacht vragen voor deze problematiek “en samenwerken om Nederland digitaal weerbaar te maken”.