Overslaan en naar de inhoud gaan

Nederland te traag met aanpak security, Onderzoeksraad slaat alarm

De Onderzoeksraad voor Veiligheid (OVV) luidt de noodklok over de staat van cybersecurity in Nederland. De kloof tussen cyberdreiging en -weerbaarheid wordt steeds groter, constateert het zelfstandige bestuursorgaan. Dit nadat een jaar geleden het OVV-onderzoeksrapport naar aanleiding van de Citrix-securityramp is uitgebracht, met daarin zeven aanbevelingen. De aanpak van cybersecurity heeft versnelling nodig, aldus de raad nu.
Security Nederland
© Shutterstock.com
Shutterstock.com

Betrokken partijen moeten sneller handelen en ze moeten het tempo op alle relevante gebieden verhogen. Dit stelt de raad in de vandaag gepubliceerde notitie opvolging aanbevelingen van het onderzoek. Daarbij richt het orgaan zich op overheidsorganisaties én bedrijven, die het eind 2021 ook aansprak met het onderzoeksrapport ‘Kwetsbaar door software: Lessen naar aanleiding van beveiligingslekken door software van Citrix'.

Citrix-ramp en -files

Dat rapport is tot stand gekomen na de grote securityramp door kwetsbare Citrix-systemen. Die impactvolle gebeurtenis is eind 2019 begonnen en heeft nog een flinke nasleep gehad, ook geruime tijd later. Veel uiteenlopende bedrijven, organisaties en overheden zijn geraakt, hetzij door cyberaanvallen hetzij door (preventief) zelf uitschakelen van systemen. Doordat mogelijkheden voor thuiswerken daarmee ontoegankelijk waren, moesten veel werknemers toch naar (een) kantoor gaan en is het nieuwe woord 'Citrix-file' ontstaan.

De OVV is in de zomer van 2020 begonnen met eigen onderzoek naar deze cybersecurityramp. Daarbij is met name de aanpak van het probleem onderzocht in de maanden nadat het lek in Citrix' software ontdekt was. De raad heeft in dat onderzoek "bijzondere aandacht" gegeven aan de verantwoordelijkheden en bevoegdheden omtrent digitale veiligheid in Nederland. Het doel was om de digitale veiligheid in ons land te vergroten, verklaarde de raad toen.

Telkens weer

Het gaat om 'die ene telkens terugkerende vraag', vertelde OVV-voorzitter Jeroen Dijsselbloem aan AG Connect bij het verschijnen van het onderzoeksrapport een jaar geleden. "Wie gaat hier over?" De OVV-voorzitter verduidelijkte die ene kernvraag nog, want in de praktijk gaat het er niet alleen om wie er verantwoordelijk ís. Belangrijker nog is wie zich daarnaar gedráágt. "Wie neemt de leiding? Hoe is de crisis response geregeld?" In veel gevallen blijkt dat niet goed geregeld, niet goed vastgelegd en niet goed afgestemd. Telkens weer.

Nu, een jaar later, is de situatie niet veel verbeterd. Of in ieder geval niet genoeg. Wat daarbij ook meespeelt, is het feit dat dreiging en impact van digitale aanvallen steeds groter wordt. Niet alleen komt stilstand dus neer op achteruitgang, maar (te) kleine verbeteringen betekenen ook achteruitgang. De OVV stelt dan ook dat de kloof tussen cyberdreiging en weerbaarheid steeds groter wordt.

In de notitie nu stipt de raad aan dat het in 2021 verschillende aanbevelingen heeft gedaan aan overheidspartijen en het bedrijfsleven. "De eerste aanbeveling is erop gericht om op korte termijn de responscapaciteit te vergroten. De zes andere aanbevelingen hebben als doel om een systeem te laten ontstaan waarbinnen fabrikanten en afnemers voortdurend werken aan het veiliger maken van software", legt de OVV uit.

Aanbevelingen herkend

Die zeven aanbevelingen zijn niet aan dovemansoren gericht, maar toch schort het nog aan concrete en snelle opvolging. "Uit de reacties op het onderzoeksrapport blijkt dat het kabinet en het bedrijfsleven het belang van een verbeterde aanpak voor cybersecurity herkennen. De Raad vindt het hoopvol dat de partijen verschillende intenties uitspreken en acties benoemen die ze (gaan) ondernemen."

Tot zover het positieve nieuws, want deze woorden leiden nog niet snel genoeg dat daden. "Het gaat echter meerdere jaren te duren (tot 2026) tot de acties zijn uitgevoerd", meldt de OVV. "De Raad roept partijen op om te komen tot een voortdurende versnelling van het handelen om de digitale veiligheid te vergroten. Snellere actie is nodig. Naast de overheid wordt hierbij ook gewezen naar bedrijven, die ook te weinig en te traag vorderingen maken.

Vrijwillige naleving

"Fabrikanten van software komen nog niet collectief in actie, zij wijzen vooral naar de verantwoordelijkheid van de afnemer en het ontbreken van een gelijk speelveld. Het is op dit moment nog niet duidelijk welk effect Europese wet- en regelgeving zal hebben op deze dynamiek." Het kabinet werkt wel aan wettelijke basis, zoals aanbevolen door de OVV, om overheden te verplichten tot betere beveiliging. Maar "voor bedrijven houdt het kabinet het bij vrijwillige naleving van aangescherpte gedragscodes".

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in